專利名稱：：基于新穎發(fā)現(xiàn)和窗函數(shù)的分類融合入侵檢測(cè)方法
技術(shù)領(lǐng)域：
：本發(fā)明屬于網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域：
，特別是涉及一種入侵檢測(cè)方法，可用于檢測(cè)網(wǎng)絡(luò)異常入侵行為。技術(shù)背景入侵檢測(cè)系統(tǒng)IDS是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動(dòng)的安全防護(hù)設(shè)備。入侵檢測(cè)系統(tǒng)IDS以信息來源的不同和檢測(cè)方法的差異分為幾類。根據(jù)信息來源可分為基于主機(jī)IDS和基于網(wǎng)絡(luò)的IDS，根據(jù)檢測(cè)方法又可分為異常入侵檢測(cè)和濫用入侵檢測(cè)。不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署，唯一的要求是IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，"所關(guān)注流量"指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的集線器HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都己經(jīng)全面升級(jí)到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在(l)盡可能靠近攻擊源；(2)盡可能靠近受保護(hù)資源，這些位置通常是服務(wù)器區(qū)域的交換機(jī)上、Internet接入路由器之后的第一臺(tái)交換機(jī)上、重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。針對(duì)于預(yù)定義信息的類型，入侵檢測(cè)系統(tǒng)IDS又可分為兩類一種基于標(biāo)志，另一種基于異常情況。對(duì)于基于標(biāo)識(shí)的檢測(cè)方法來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測(cè)主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的"正常"情況比較，得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在于如何定義所謂的"正常"情況。兩種檢測(cè)方法所得出的結(jié)論有非常大的差異。基于標(biāo)志檢測(cè)方法的核心是維護(hù)一個(gè)知識(shí)庫(kù)，對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且知識(shí)庫(kù)必須不斷更新。基于異常的檢測(cè)方法則無(wú)法準(zhǔn)確判別出攻擊的手法，但它可以判別更廣泛甚至未發(fā)覺的攻擊。現(xiàn)有的基于異常的入侵檢測(cè)的方法很多，如神經(jīng)網(wǎng)絡(luò)方法、支持向量機(jī)分類方法等、其中支持向量機(jī)分類方法存在著檢測(cè)率不夠高，計(jì)算復(fù)雜度較高不適用于復(fù)雜的入侵檢測(cè)等問題。
發(fā)明內(nèi)容本發(fā)明的目的在于克服以上所述的支持向量機(jī)分類方法的缺點(diǎn)，提出了一種基于新穎發(fā)現(xiàn)和窗函數(shù)的分類融合入侵檢測(cè)方法，以提高入侵檢測(cè)的檢測(cè)率，降低虛警率和復(fù)雜度。本發(fā)明的技術(shù)方案是將網(wǎng)絡(luò)行為向量化作為樣本，對(duì)正常的網(wǎng)絡(luò)行為當(dāng)作訓(xùn)練樣本進(jìn)行建模，用兩種不同的方法對(duì)未知的網(wǎng)絡(luò)行為進(jìn)行檢測(cè)，根據(jù)融合的測(cè)試結(jié)果來確定是否要采取預(yù)警措施。具體實(shí)現(xiàn)步驟如下:(1)當(dāng)主機(jī)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的傳送時(shí)，對(duì)主機(jī)的網(wǎng)絡(luò)行為進(jìn)行采集，得到描述網(wǎng)絡(luò)行為的數(shù)據(jù)集，并對(duì)該數(shù)據(jù)集進(jìn)行映射和歸一化后得到特征^(2)從已采集到的數(shù)據(jù)集中選擇非入侵行為的正常數(shù)據(jù)的特征向量作為訓(xùn)練樣本集，并用SVND算法訓(xùn)練生成第一分類器，使得樣本集經(jīng)過非線性核函數(shù)映射到特征空間得到向量模型產(chǎn)生決策函數(shù)f，該函數(shù)記正常樣本輸出為+1，異常樣本輸出為-h(3)重新采集新的網(wǎng)絡(luò)行為數(shù)據(jù)集作為新樣本輸入，計(jì)算其決策函數(shù)f值，并通過指數(shù)轉(zhuǎn)換將該函數(shù)f輸出的結(jié)果轉(zhuǎn)換成概率估計(jì)形式；(4)將步驟(2)中的正常數(shù)據(jù)的特征向量作為訓(xùn)練樣本集，用PARZEN窗函數(shù)方法對(duì)其進(jìn)行概率密度分布估計(jì)來訓(xùn)練第二分類器；(5)將步驟G)中的新的數(shù)據(jù)集作為新樣本輸入，根據(jù)貝葉斯決策，對(duì)異常樣本進(jìn)行預(yù)先建模，并根據(jù)步驟(4)中的概率密度分布估計(jì)設(shè)定概率密度閾值，如果新樣本的概率密度分布估計(jì)值大于該閾值分類器輸出為正常，反之則記為異常；(6)將以上第一分類器與第二分類器的輸出結(jié)果按如下公式進(jìn)行加權(quán)融合Xti(^(如W)+(1-D(々(如D+(尸2(如"2)+(尸2(如《))式中/,j為樣本X的決策函數(shù)值，A(4^)指對(duì)于第一分類器樣本X屬于類別叫的概率密度估計(jì)，g(xl叫)指對(duì)于第二分類器樣本X屬于類別叫的概率密度估計(jì)，P指權(quán)值，6(設(shè)定為0.5，《設(shè)定為0.8;(7)根據(jù)加權(quán)融合的結(jié)果y(x)決定網(wǎng)絡(luò)行為是否為入侵行為，如果融合的結(jié)果y(x)小于設(shè)定閾值則判定為入侵行為，采取預(yù)警措施，否則重復(fù)步驟(3)。本發(fā)明具有如下優(yōu)點(diǎn)1、計(jì)算復(fù)雜度低傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)方法或者支持向量機(jī)分類方法，需要對(duì)全部的網(wǎng)絡(luò)行為數(shù)據(jù)集進(jìn)行支持向量的估計(jì)和建模，與現(xiàn)有方法不同的是，本發(fā)明僅需要首先訓(xùn)練非攻擊行為的正常樣本集，然后對(duì)新采集的樣本集進(jìn)行判別，大大降低了復(fù)雜度。2、具有較好的魯棒性由于本發(fā)明采取了兩種不同的分類器進(jìn)行融合，一種是基于距離量度的分類器，另一種是基于概率密度估計(jì)的分類器，這兩種差異較大的分類器融合后可以擁有更好的魯棒性。仿真實(shí)驗(yàn)結(jié)果表明，與現(xiàn)有的支持向量機(jī)分類方法相比，本發(fā)明將檢測(cè)率提高到98.63%-100%,將虛警率降低到0-12.09%，本發(fā)明采取兩種分類器的加權(quán)融合，提升了單個(gè)分類器的性能，對(duì)非入侵行為的正常數(shù)據(jù)用兩種不同方法訓(xùn)練，全面地描述了非入侵行為的正常數(shù)據(jù)，敏感識(shí)別入侵行為，使得本發(fā)明在保持較高檢測(cè)率的同時(shí)，也擁有較低的虛警率。圖1是本發(fā)明的主要操作過程示意圖；圖2是用SVND算法訓(xùn)練生成的第一分類器原理圖；圖3是用PARZEN窗函數(shù)訓(xùn)練生成的第二類分類器原理圖；圖4是第一分類器對(duì)數(shù)據(jù)集的檢測(cè)效果圖；圖5是第二分類器對(duì)數(shù)據(jù)集的檢測(cè)效果圖；圖6是兩種分類器融合后對(duì)數(shù)據(jù)集的檢測(cè)效果圖。具體實(shí)施方式參照?qǐng)Dl，本發(fā)明的實(shí)施過程如下步驟l，采集主機(jī)網(wǎng)絡(luò)行為數(shù)據(jù)集，處理數(shù)據(jù)集得到特征向量。主機(jī)在兩個(gè)IP地址之間傳送網(wǎng)絡(luò)數(shù)據(jù)包序列的同時(shí)，在一段時(shí)間內(nèi)對(duì)主機(jī)的網(wǎng)絡(luò)行為進(jìn)行采集，得到描述網(wǎng)絡(luò)行為的數(shù)據(jù)集，并對(duì)該數(shù)據(jù)集進(jìn)行映射和歸一化后得到特征向量。這里以KDDCUP1999數(shù)據(jù)集為例，其中例[l]描述的是數(shù)據(jù)集中一個(gè)拒絕攻擊服務(wù)器的網(wǎng)絡(luò)行為的數(shù)據(jù)記錄；例[2]描述的是針對(duì)HTTP服務(wù)器的攻擊行為的數(shù)據(jù)記錄。這些數(shù)據(jù)記錄被描述為一個(gè)包含38個(gè)持續(xù)變量和3個(gè)符號(hào)變量以及反映入侵或正常網(wǎng)絡(luò)行為的最后一位標(biāo)簽的網(wǎng)絡(luò)行為，數(shù)據(jù)記錄中的每一位都代表不同的意義，如cpu占用率、內(nèi)存利用率等。'[l]:102，tcp,http,SF,181,5450,0,0，0,0,0,1，0,0,0,0,0,0,0，0,0,0,8,8,0,0,0,0，1,0,0,9,9,1，0,0.11,0,0，0,0,normal.[2]:0,icmp，ecri,SF，1032,0,0,0,0,0,0,0，0,0，0，0，0，0,0,0,0,0,511,511,0,0,0,0,1,0,0,255,255,1,0,1,0，0,0，0，0,smurf.在檢測(cè)數(shù)據(jù)之前，通常要對(duì)這些數(shù)據(jù)先進(jìn)行處理首先，將每個(gè)不同的符號(hào)串映射到相應(yīng)的數(shù)字上，例如，icmp—0,tcp—1,udp—2，http—19,SF—7;然后，將數(shù)據(jù)集歸一化到單位超立方體[O,l]上。通過對(duì)這些數(shù)據(jù)的處理，將例[1]和例[2]可以轉(zhuǎn)化為如下形式[l]:0.001748701,0.5,0.275362319,0.7,2.61042E-07,4.1605E-06,0，0,0,0,0,1,0,0,0，0,0,0,0，0,0,0,0.015655577,0.015655577,0,0,0,0,1,0,0，0.035294118,0.035294118，1,0，0.11，0，0，0，0，0，0[2]:0,0,0.144927536，0.7,1.48837E-06,0,0,0,0，0，0,0，0,0,0，0,0,0，0,0，0,0,1,1,0,0,0,0,1,0,0,1,1,1,0,1,0,0，0,0,0,1。步驟2，選擇非入侵行為的正常數(shù)據(jù)集作為訓(xùn)練樣本集，訓(xùn)練生成第一分類器。從步驟1中已采集到的描述網(wǎng)絡(luò)行為的數(shù)據(jù)集中選擇非入侵行為的正常數(shù)據(jù)的特征向量作為訓(xùn)練樣本集，并采用SVND算法訓(xùn)練生成第一分類器，圖2是SVND算法的原理圖，圖2a為初始空間中的樣本集，黑色點(diǎn)為異常樣本，白色點(diǎn)為正常樣本，樣本集經(jīng)非線性核函數(shù)O從初始空間映射到特征空間得到向量模型產(chǎn)生決策函數(shù)f，如圖2b該函數(shù)將正常樣本和異常樣本在特征空間分開，該函數(shù)記正常樣本輸出為+1，異常樣本輸出為-l;該決策函數(shù)f的產(chǎn)生是指對(duì)一個(gè)包含N個(gè)樣本的樣本集",/=l,...,A^，對(duì)于一個(gè)新的輸入樣本x，其決策函數(shù)計(jì)算公式為式中a為拉普拉斯算子，A為映射核函數(shù)，p表示的是分類超平面中的常數(shù)項(xiàng)，其計(jì)算公式為式中w表示分離超平面的法向量，O(x)表示映射函數(shù)，本發(fā)明選取的映射核函數(shù)為高斯核函數(shù)&(X,'，X)二式中g(shù)為高斯參數(shù)。步驟3,重新采集數(shù)據(jù)集，計(jì)算決策函數(shù)f中的距離測(cè)度p并將它轉(zhuǎn)換成概率估計(jì)形式。重新采集新的網(wǎng)絡(luò)行為數(shù)據(jù)集作為新樣本輸入，計(jì)算其決策函數(shù)f值中的距離測(cè)度戶并通過指數(shù)轉(zhuǎn)換將該距離測(cè)度轉(zhuǎn)換成概率估計(jì)形式，對(duì)于第一分類器~，按下式進(jìn)行轉(zhuǎn)換:P(x|6;r)=exp(-p(xl)/s)式中p(X^r)為樣本x屬于類別叫的距離測(cè)度，s是0-l之間的任意實(shí)數(shù)，戶(xl叫)為轉(zhuǎn)換后的概率估計(jì)形式。步驟4，用PARZEN窗函數(shù)方法訓(xùn)練第二分類器。用PARZEN窗函數(shù)方法訓(xùn)練第二分類器，是指一個(gè)包含N個(gè)樣本的樣本集{、，/=1,...,7\^，對(duì)于一個(gè)新的輸入樣本X，估計(jì)輸入樣本的概率密度分布估計(jì)值，按照如下公式計(jì)算2》W=拳一』{-"^"}式中X,為描述正常行為特征的訓(xùn)練樣本，d為數(shù)據(jù)空間的維數(shù)，CT為調(diào)節(jié)參數(shù)，^(X)是估計(jì)出的概率密度值。步驟5,對(duì)步驟3中的數(shù)據(jù)集進(jìn)行概率密度分布估計(jì)，并根據(jù)貝葉斯決策設(shè)定概率密度閾值。將步驟3中的新的數(shù)據(jù)集作為新樣本輸入，對(duì)異常樣本進(jìn)行預(yù)先建模，假設(shè)異常樣本是均勻分布的，估計(jì)新樣本的概率密度分布估計(jì)值；根據(jù)貝葉斯決策，將概率密度閾值設(shè)定為訓(xùn)練樣本的概率密度分布估計(jì)的最小值。圖3是第二類分類器的原理圖，其中i。為正常樣本所屬區(qū)域，A為異常樣本所屬區(qū)域，當(dāng)新樣本的概率密度分布估計(jì)值大于設(shè)定閾值時(shí)則落入?yún)^(qū)域i。，否則則落入?yún)^(qū)域i，。步驟6，將第一分類器與第二分類器的輸出結(jié)果進(jìn)行加權(quán)融合。根據(jù)多種分類方法的加權(quán)投票的融合公式，針對(duì)于本發(fā)明中的第一分類器和第二分類器兩種分類器，提出以下新的融合公式對(duì)兩種分類器的輸出結(jié)果進(jìn)行加權(quán)融合x力4(^(^^k)w)+(1—/")(《(4^)〈《)+(尸2(4^)"2)+(尸2(H叫)〈《))式中為樣本X的決策函數(shù)值，/(xk)指對(duì)于第一分類器樣本X屬于類別叫的概率密度估計(jì)，g(xl叫)指對(duì)于第二分類器樣本X屬于類別叫的概率密度估計(jì)，6>指權(quán)值，6設(shè)定為0.5，《設(shè)定為0.8;步驟7，根據(jù)加權(quán)融合的結(jié)果y(x)決定網(wǎng)絡(luò)行為是否為入侵行為。設(shè)定閾值為0.7，如果加權(quán)融合的結(jié)果y(x)小于設(shè)定閾值，則判定該網(wǎng)絡(luò)行為為入侵行為，系統(tǒng)采取預(yù)警措施，將該網(wǎng)絡(luò)行為納入病毒庫(kù)；對(duì)于加權(quán)融合的結(jié)果yOO大于設(shè)定閾值的情況則重復(fù)步驟3，繼續(xù)采集新的網(wǎng)絡(luò)行為數(shù)據(jù)樣本集進(jìn)行判別。以下給出仿真實(shí)驗(yàn)結(jié)果分析，以進(jìn)一步說明本發(fā)明的效果-數(shù)據(jù)集分為30個(gè)子集，每個(gè)子集都包含39256條異常數(shù)據(jù)以及9727條正常數(shù)據(jù)，測(cè)試方法為隨機(jī)選取一個(gè)正常數(shù)據(jù)子集進(jìn)行訓(xùn)練，測(cè)試的時(shí)候則在全部數(shù)據(jù)集上進(jìn)行測(cè)試，記錄每次測(cè)試的檢測(cè)率以及虛警率。分別用第一分類器、第二分類器以及第一分類器和第二分類器的融合對(duì)數(shù)據(jù)集進(jìn)行測(cè)試。檢測(cè)率以及虛警率評(píng)價(jià)標(biāo)準(zhǔn)檢測(cè)率和虛警率的定義如下檢測(cè)率=正確分出的異常樣本/全部的異常樣本，虛警率=錯(cuò)誤分出的正常樣本/全部的正常樣本，圖4、圖5、圖6，分別是用第一分類器、第二分類器以及第一分類器和第二分類器的融合對(duì)數(shù)據(jù)集進(jìn)行測(cè)試的效果圖。從這三種方法的效果圖可以看出，第一分類器和第二分類器的融合效果無(wú)論是檢測(cè)率還是虛警率都要優(yōu)于單一的第一分類器和第二分類器。用第一分類器、第二分類器、第一分類器和第二分類器的融合隨機(jī)選擇一個(gè)正常數(shù)據(jù)集進(jìn)行訓(xùn)練，并在9個(gè)不同的數(shù)據(jù)子集上進(jìn)行測(cè)試，其檢測(cè)率和虛警率如表1所示。表1三種分類方法在不同子集上的測(cè)試結(jié)果<table>tableseeoriginaldocumentpage10</column></row><table>從表1可以看出，在這9個(gè)數(shù)據(jù)子集上第一分類器和第二分類器的融合的檢測(cè)率都比單一的第一分類器和第二分類器要高，同樣虛警率也低于單一的第一分類器和第二分類器。將第一分類器、第二分類器、第一分類器和第二分類器的融合以及支持向量機(jī)分類方法在全部數(shù)據(jù)子集中進(jìn)行比較，總的檢測(cè)率和虛警率范圍如表2所示，表2四種檢測(cè)方法的效果比較<table>tableseeoriginaldocumentpage11</column></row><table>從表2可以看出，第一分類器與第二分類器融合后的性能效果要優(yōu)于單一的第一、第二分類器和支持向量機(jī)分類方法。權(quán)利要求1、一種基于新穎發(fā)現(xiàn)和窗函數(shù)的分類融合入侵檢測(cè)方法，包括如下步驟(1)當(dāng)主機(jī)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的傳送時(shí)，對(duì)主機(jī)的網(wǎng)絡(luò)行為進(jìn)行采集，得到描述網(wǎng)絡(luò)行為的數(shù)據(jù)集，并對(duì)該數(shù)據(jù)集進(jìn)行映射和歸一化后得到特征向量；(2)從已采集到的數(shù)據(jù)集中選擇非入侵行為的正常數(shù)據(jù)的特征向量作為訓(xùn)練樣本集，并用SVND算法訓(xùn)練生成第一分類器，使得樣本集經(jīng)非線性核函數(shù)映射到特征空間得到向量模型產(chǎn)生決策函數(shù)f，該函數(shù)記正常樣本輸出為+1，異常樣本輸出為-1；(3)重新采集新的網(wǎng)絡(luò)行為數(shù)據(jù)集作為新樣本輸入，計(jì)算其決策函數(shù)f值，并通過指數(shù)轉(zhuǎn)換將該函數(shù)f輸出的結(jié)果轉(zhuǎn)換成概率估計(jì)形式；(4)將步驟(2)中的正常數(shù)據(jù)的特征向量作為訓(xùn)練樣本集，用PARZEN窗函數(shù)算法對(duì)其進(jìn)行概率密度分布估計(jì)來訓(xùn)練第二分類器；(5)將步驟(3)中的新的數(shù)據(jù)集作為新樣本輸入，根據(jù)貝葉斯決策，對(duì)異常樣本進(jìn)行預(yù)先建模，并根據(jù)步驟(4)中的概率密度分布估計(jì)設(shè)定概率密度閾值，如果新樣本的概率密度分布估計(jì)值大于該閾值分類器輸出為正常，反之則記為異常；(6)將以上第一分類器與第二分類器的輸出結(jié)果按如下公式進(jìn)行加權(quán)融合<mathsid="math0001"num="0001"><math><![CDATA[<mrow><mi>y</mi><mrow><mo>(</mo><mi>x</mi><mo>)</mo></mrow><mo>=</mo><mfrac><mn>1</mn><mn>2</mn></mfrac><mrow><mo>(</mo><msub><mi>f</mi><mrow><mi>T</mi><mo>,</mo><mn>1</mn></mrow></msub><mrow><mo>(</mo><msub><mi>P</mi><mn>1</mn></msub><mrow><mo>(</mo><mi>x</mi><mo>|</mo><msub><mi>&omega;</mi><mi>T</mi></msub><mo>)</mo></mrow><mo>&GreaterEqual;</mo><msub><mi>&theta;</mi><mn>1</mn></msub><mo>)</mo></mrow><mo>+</mo><mrow><mo>(</mo><mn>1</mn><mo>-</mo><msub><mi>f</mi><mrow><mi>T</mi><mo>,</mo><mn>1</mn></mrow></msub><mo>)</mo></mrow><mrow><mo>(</mo><msub><mi>P</mi><mn>1</mn></msub><mrow><mo>(</mo><mi>x</mi><mo>|</mo><msub><mi>&omega;</mi><mi>T</mi></msub><mo>)</mo></mrow><mo>&lt;</mo><msub><mi>&theta;</mi><mn>1</mn></msub><mo>)</mo></mrow><mo>+</mo><mrow><mo>(</mo><msub><mi>P</mi><mn>2</mn></msub><mrow><mo>(</mo><mi>x</mi><mo>|</mo><msub><mi>&omega;</mi><mi>T</mi></msub><mo>)</mo></mrow><mo>&GreaterEqual;</mo><msub><mi>&theta;</mi><mn>2</mn></msub><mo>)</mo></mrow><mo>+</mo><mrow><mo>(</mo><msub><mi>P</mi><mn>2</mn></msub><mrow><mo>(</mo><mi>x</mi><mo>|</mo><msub><mi>&omega;</mi><mi>T</mi></msub><mo>)</mo></mrow><mo>&lt;</mo><msub><mi>&theta;</mi><mn>2</mn></msub><mo>)</mo></mrow><mo>)</mo></mrow></mrow>]]></math></maths>式中fT，1為樣本x的決策函數(shù)值，P1(x|ωT)指對(duì)于第一分類器樣本x屬于類別ωT的概率密度估計(jì)，P2(x|ωT)指對(duì)于第二分類器樣本x屬于類別ωT的概率密度估計(jì)，θ指權(quán)值，θ1設(shè)定為0.5，θ2設(shè)定為0.8；(7)根據(jù)加權(quán)融合的結(jié)果y(x)決定網(wǎng)絡(luò)行為是否為入侵行為，如果融合的結(jié)果y(x)小于設(shè)定閾值則判定為入侵行為，采取預(yù)警措施，否則重復(fù)步驟(3)。2、根據(jù)權(quán)利要求1所述的入侵檢測(cè)方法，其中步驟(2)所述的訓(xùn)練生成第一分類器，是指對(duì)于一個(gè)包含N個(gè)樣本的樣本集",/=l,...,A^，對(duì)于一個(gè)新的輸入樣本X，其決策函數(shù)計(jì)算公式為其中a為拉普拉斯算子，/t為映射核函數(shù)，表示的是分類超平面中的常數(shù)項(xiàng)，其計(jì)算公式為-p=(w.d)=兀",("，x,)其中w表示分離超平面的法向量，O(JC)表示映射函數(shù)，本發(fā)明選取的映射核函數(shù)為高斯核函數(shù)A(X,.,X)A:(x,，x)=其中g(shù)為高斯參數(shù)。全文摘要本發(fā)明公開一種基于新穎發(fā)現(xiàn)和窗函數(shù)的分類融合入侵檢測(cè)方法，主要解決現(xiàn)有支持向量機(jī)分類方法檢測(cè)率低，復(fù)雜度高的問題。其實(shí)現(xiàn)步驟為(1)采集主機(jī)網(wǎng)絡(luò)行為數(shù)據(jù)集，處理數(shù)據(jù)集得到特征向量；(2)選擇非入侵行為的正常數(shù)據(jù)集作為訓(xùn)練樣本集，訓(xùn)練生成第一分類器；(3)重新采集數(shù)據(jù)集，計(jì)算決策函數(shù)f并將它轉(zhuǎn)換成概率估計(jì)形式；(4)用PARZEN窗函數(shù)方法訓(xùn)練第二分類器；(5)對(duì)步驟3中的數(shù)據(jù)集進(jìn)行概率密度分布估計(jì)，并根據(jù)貝葉斯決策設(shè)定概率密度閾值；(6)將第一分類器與第二分類器的輸出結(jié)果進(jìn)行加權(quán)融合(7)根據(jù)加權(quán)融合的結(jié)果y(x)對(duì)網(wǎng)絡(luò)行為采取預(yù)警或重復(fù)步驟(3)。本發(fā)明具有檢測(cè)率高、虛警率低的優(yōu)點(diǎn)，適用于網(wǎng)絡(luò)入侵檢測(cè)。文檔編號(hào)H04L9/36GK101594352SQ200910023169公開日2009年12月2日申請(qǐng)日期2009年7月2日優(yōu)先權(quán)日2009年7月2日發(fā)明者彪侯,公茂果,芳劉,周偉達(dá),康張,焦李成,爽王,馬文萍,高宜楠申請(qǐng)人:西安電子科技大學(xué)