[发明专利]一种基于半监督聚类的多层入侵检测方法

摘要

本发明公开了一种基于半监督聚类的多层入侵检测方法，其特征在于，主要方法为采用遗传算法将绝大多数正常流量从攻击中过滤出去；将少量带标记的数据导入到遗传算法识别出的攻击中，并通过K最邻近算法对未带标记的数据进行标记扩展；对标记扩展后的数据进行半监督聚类，聚类后每一簇的类别判定为该簇中标记数量最多的类别；利用原始标记数据和扩展后的标记数据训练一个能识别正常流量的最小二乘支持向量机，有效地筛选出了第一层遗传算法中为了提高攻击查全率而误判的正常流量。本发明只需要少量的标记数据就可以获得较优的性能，特别是针对出现频率较低的攻击，相比于传统的入侵检测系统，具有较高的查全率和准确率，并且可以及时做出响应。

主权项

1.一种基于半监督聚类的多层入侵检测方法，其特征在于，包括以下步骤：S1、从NSL‑KDD数据集中获取训练数据，从训练数据中随机选取一组正常流量作为初代种群并对其进行预处理，得到初代种群对应的特征数据；S2、对特征数据进行预处理，得到特征数据对应的特征值，将得到的特征值表示为一组浮点数并作为父代；S3、基于父代采用遗传算法生成新的个体，得到并保存子代；S4、判断子代的数量是否达到阈值，若是则将所有子代共同作为检测器并进入步骤S5；否则比较子代与父代适应度函数的大小，将适应度较大的作为新的父代，返回步骤S3；S5、获取每条待测数据与检测器中样本的最小距离，判断每条待测数据对应的最小距离是否小于等于阈值r，若是则将该待测数据作为正常流量；否则将该待测数据作为第一攻击数据；S6、获取训练数据中的恶意攻击，并随机采取其10％的攻击作为标记数据，将标记数据导入第一攻击数据中，得到第二攻击数据；S7、采用K最近邻方法对训练数据中未标记的恶意攻击进行攻击类型扩展标记，将扩展标记后的数据加入第二攻击数据得到第三攻击数据；S8、对第三攻击数据进行聚类，将聚类后每一簇的类别判定为该簇中标记数量最多的类别，得到带有类别信息的第三攻击数据；S9、根据第三攻击数据中的标记和训练数据中的正常流量构建最小二乘支持向量机，根据最小二乘支持向量机从带有类别信息的第三攻击数据中筛选出正常数据，将带有类别信息的第三攻击数据中剩下的数据作为带有类别信息的第四攻击数据；S10、判断待测数据是否位于带有类别信息的第四攻击数据中，若是则将该待测数据检测为对应的攻击类别；否则将该待测数据作为正常流量，完成入侵检测。