基于数据挖掘的网络入侵检测方法   0    0

本发明涉及基于数据挖掘的网络入侵检测方法。现有技术中存在样本权值更新缺陷所造成的分类准确率降低，冗余弱分类器造成的分类速度慢、计算开销大等问题。本发明方法在弱分类器训练阶段，采用改进权值更新方法的Adaboost算法进行弱分类器训练，根据各个样本在前t次训练中的加权平均正确率来更新样本权值，抑制了噪声样本权值的无限扩大，令所有样本的权值更新更均衡。在弱分类器组合阶段，提出一种新的弱分类器间相似度度量方式，并基于该相似度度量方式和层次聚类算法进行选择性集成，将相似度超过阈值的弱分类器归入一类，取每类中分类准确率最高的弱分类器组合成强分类器，从而剔除冗余弱分类器，提高了分类速度，减少了计算开销。

1.基于数据挖掘的网络入侵检测方法，其特征在于该方法具体步骤包括：
步骤(1)使用改进权值更新方法的Adaboost算法进行弱分类器训练：
步骤(1.1)设初始训练集为D＝{(x1,y1),(x2,y2),...,(xN,yN)}，N为训练集中训练样本总数；初始化训练样本的权值：每一个训练样本最初的权值均为1/N，初始权值向量为{1/N,
1/N,…,1/N}；
步骤(1.2)训练T个弱分类器，第t个弱分类器的训练方式如下，1≤t≤T：
步骤(1.2.1)根据训练样本权值从初始训练集D中有放回地随机抽取N个训练样本，作为第t个弱分类器ht的训练集Dt；
步骤(1.2.2)根据训练集Dt训练得到弱分类器ht；
步骤(1.2.3)计算ht的分类错误率εt和权重αt；
其中I[ht(xn)＝yn]，表示第t个弱分类器对第n个训练样本的预测值与实际值是否相等；若相等，则为1；若不相等，则为0；(xn,yn)表示第n个训练样本；
步骤(1.2.4)如果εt＜0.5，则重新训练ht；如果εt≥0.5，进入下一步；
步骤(1.2.5)更新训练样本权值，更新方式如下：
首先，统计第n个训练样本在前t个弱分类器的组合下能够被正确分类的概率Et(n)：
然后，计算第n个训练样本第t+1次的权值Wt+1(n)，前t次的分类准确率越低，权值提升越大：
其中，Zt是归一化因子，
步骤(1.3)返回训练阶段得到的T个弱分类器集合H＝{h1,h2,…,hT}；
步骤(2)定义一种新的分类器间相似度度量方式：
步骤(2.1)设 表示T个训练集中训练样本的下标矩阵，Dt
＝[dt1,dt2,…,dtN]为矩阵的第t行，表示第t个弱分类器的训练样本集，dtn是第t个弱分类器抽取的第n个训练样本的下标表示，dtn∈[1,N]；
步骤(2.2)定义两个弱分类器hi和hj之间训练集的相似度为Sim(i,j)，表示训练集Di和Dj的交集大小占总训练样本数N的比重；
步骤(2.3)设矩阵 表示T个弱分类器对N个训练样本的分
类结果，mtn表示第t个弱分类器对第n个训练样本的分类情况， 1表示分类正确，0表示分类错误；
步骤(2.4)定义两个弱分类器hi和hj之间分类结果的相似度为Rim(i,j)，即被两个弱分类器划分到相同类别的训练样本数量占总训练样本数N的比重：
步骤(2.5)定义两个弱分类器hi和hj之间的相似度为Tim(i,j)＝Sim(i,j)+Rim(i,j)，由此得到T个弱分类器间的相似度矩阵
步骤(3)基于步骤(2)中度量方式和层次聚类算法的选择性集成方法进行弱分类器组合，具体方式如下：
步骤(3.1)首先设置一个相似度阈值δ，若两个弱分类器hi和hj之间的相似度Tim(i,j)＞δ，则可将hi和hj划分到同一个类中；
步骤(3.2)将T个弱分类器分别划分到一个类中，共得到T个初始类{C1,C2,…,CT}，C1到CT分别表示第一到第T个类；
步骤(3.3)找到相似度最大的两个类Cu和Cv，若其相似度Cim(Cu,Cv)＞δ，则将Cu和Cv合并为一个类，于是总的类数减少了一个；定义任意两个类Ca和Cb之间的相似度为Cim(Ca,Cb)，并定义Ca中任一弱分类器与Cb中任一弱分类器的相似度的最小值为类间相似度：Cim(Ca,Cb)＝min{Tim(i,j)|hi∈Ca,hj∈Cb}；
步骤(3.4)依据步骤(3.3)公式重新计算旧类与合并类之间的相似度；
步骤(3.5)重复步骤(3.3)和步骤(3.4)，直到任意两个类之间的相似度都小于等于δ；
步骤(3.6)最后得到K个类{C1,C2,...,CK}，K＜T，从每个类中选取分类准确率最高的弱分类器组合成强分类器，选择性集成后的强分类器的决策函数