[发明专利]基于数据挖掘的网络入侵检测方法

摘要

本发明涉及基于数据挖掘的网络入侵检测方法。现有技术中存在样本权值更新缺陷所造成的分类准确率降低，冗余弱分类器造成的分类速度慢、计算开销大等问题。本发明方法在弱分类器训练阶段，采用改进权值更新方法的Adaboost算法进行弱分类器训练，根据各个样本在前t次训练中的加权平均正确率来更新样本权值，抑制了噪声样本权值的无限扩大，令所有样本的权值更新更均衡。在弱分类器组合阶段，提出一种新的弱分类器间相似度度量方式，并基于该相似度度量方式和层次聚类算法进行选择性集成，将相似度超过阈值的弱分类器归入一类，取每类中分类准确率最高的弱分类器组合成强分类器，从而剔除冗余弱分类器，提高了分类速度，减少了计算开销。

主权项

1.基于数据挖掘的网络入侵检测方法，其特征在于该方法具体步骤包括：步骤(1)使用改进权值更新方法的Adaboost算法进行弱分类器训练：步骤(1.1)设初始训练集为D＝{(x₁,y₁),(x₂,y₂),...,(x_N,y_N)}，N为训练集中样本总数；初始化训练样本的权值：每一个训练样本最初的权值均为1/N，初始权值向量为{1/N,1/N,···,1/N}；步骤(1.2)训练T个弱分类器，第t个弱分类器的训练方式如下，1≤t≤T：步骤(1.2.1)根据样本权值从初始训练集D中有放回地随机抽取N个训练样本，作为第t个弱分类器h_t的训练集D_t；步骤(1.2.2)根据训练集D_t训练得到弱分类器h_t；步骤(1.2.3)计算h_t的分类错误率ε_t和权重α_t；其中I[h_t(x_n)＝y_n]，表示第t个分类器对第n个样本的预测值与实际值是否相等；若相等，则为1；若不相等，则为0；(x_n,y_n)表示第n个样本；步骤(1.2.4)如果ε_t＜0.5，则重新训练h_t；如果ε_t≥0.5，进入下一步；步骤(1.2.5)更新样本权值，更新方式如下：首先，统计第n个样本在前t个弱分类器的组合下能够被正确分类的概率E_t(n)：然后，计算第n个样本第t+1次的权值W_t+1(n)，前t次的分类准确率越低，权值提升越大：其中，Z_t是归一化因子，步骤(1.3)返回训练阶段得到的T个弱分类器集合H＝{h₁,h₂,···,h_T}；步骤(2)定义一种新的分类器间相似度度量方式：步骤(2.1)设表示T个训练集中训练样本的下标矩阵，D_t＝[d_t1,d_t2,…,d_tN]为矩阵的第t行，表示第t个弱分类器的训练样本集，d_tn是第t个弱分类器抽取的第n个训练样本的下标表示，d_tn∈[1,N]；例如，d₂₄＝5表示第2个弱分类器抽取的第4个训练样本为(x₅,y₅)；步骤(2.2)定义两个弱分类器h_i和h_j之间训练集的相似度为Sim(i,j)，表示训练集D_i和D_j的交集大小占总样本数N的比重；步骤(2.3)设矩阵表示T个弱分类器对N个样本的分类结果，m_tn表示第t个弱分类器对第n个训练样本的分类情况，1表示分类正确，0表示分类错误；步骤(2.4)定义两个弱分类器h_i和h_j之间分类结果的相似度为Rim(i,j)，即被两个弱分类器划分到相同类别的样本数量占总样本数N的比重：步骤(2.5)定义两个分类器h_i和h_j之间的相似度为Tim(i,j)＝Sim(i,j)+Rim(i,j)，由此得到T个弱分类器间的相似度矩阵步骤(3)基于步骤(2)中度量方式和层次聚类算法的选择性集成方法进行弱分类器组合，具体方式如下：步骤(3.1)首先设置一个相似度阈值δ，若两个弱分类器h_i和h_j之间的相似度Tim[i][j]＞δ，则可将h_i和h_j划分到同一个类中；步骤(3.2)将T个弱分类器分别划分到一个类中，共得到T个初始类{C₁,C₂,…,C_T}，C₁到C_T分别表示第一到第T个类；步骤(3.3)找到相似度最大的两个类C_u和C_v，若其相似度Cim(C_u,C_v)＞δ，则将C_u和C_v合并为一个类，于是总的类数减少了一个；定义任意两个类C_a和C_b之间的相似度为Cim(C_a,C_b)，并定义C_a中任一弱分类器与C_b中任一弱分类器的相似度的最小值为类间相似度：Cim(C_a,C_b)＝min{Tim[i][j]h_i∈C_a,h_j∈C_b}；步骤(3.4)依据步骤(3.3)公式重新计算旧类与合并类之间的相似度；步骤(3.5)重复步骤(3.3)和步骤(3.4)，直到任意两个类之间的相似度都≤δ；步骤(3.6)最后得到K个类{C₁,C₂,...,C_K},K＜T，从每个类中选取分类准确率最高的弱分类器组合成强分类器，选择性集成后的强分类器的决策函数