基于否定选择和信息增益的入侵检测方法技术

本发明专利技术公开了一种基于否定选择和信息增益的入侵检测方法，主要解决现有NSA方法检测效果差且不稳定的问题，其实现步骤是：(1)读入自体模式集；(2)对读入的自体模式集中的数据进行转化、归一化和离散化处理；(3)计算处理后的41维特征的信息增益；(4)根据计算的信息增益值结果，选取信息增益值由大到小排序中的前N维特征，以这N维特征中的数据作为自体模式集，训练生成检测器集；(5)利用生成的检测器集对测试集中的数据进行检测。本发明专利技术具有正检率高、误报率实低，且在在训练数据较少时仍能取得满意检测效果的优点，可用于及时识别异常的网络数据，保证网络安全。

【技术实现步骤摘要】

【技术保护点】
１．一种基于否定选择和信息增益的入侵检测方法，包括如下步骤：（１）从ＫＤＤ９９的数据训练集中读入正常网络数据，作为自体模式集Ｓ；（２）对自体模式集Ｓ中的数据依次进行特征转化、归一化和离散化处理；（３）计算处理后数据的每一维特征的信息增益：Ｇ（Ｆ）＝Ｉ（ｓ１，．．．，ｓｍ）－Ｅ（Ｆ）其中：Ｉ（ｓ１，ｓ２，．．．，ｓｍ）表示判别一个给定样本的标签所需的期望信息，计算公式为：式中，ｓ为自体模式集中的样本总数，ｍ表示自体模式集Ｓ中的类别数，ｓｉ（ｉ＝１，…，ｍ）表示属于第Ｉ类的样本数；Ｅ（Ｆ）表示第Ｆ维特征的熵：式中ｓｉｊ表示Ｓｊ中属于类别ｉ的样本个数，Ｓｊ（ｊ＝１，Ｌ　ｖ）表示自体模式集Ｓ的ｖ个子集；（４）对所有特征的信息增益值由大到小排序，选取前Ｎ维特征，采用ＮＳＡ算法生成检测器集Ｄ，其中０＜Ｎ≤４１；（５）从ＫＤＤ９９的测试集中读入测试数据ｔ，如果该测试数据被检测器集Ｄ中的某个检测器ｄ覆盖，即Ｄｉｓ（ｔ，ｄ）＜ｒｄ，将其判为网络入侵数据，反之，将其判为正常的网络数据，其中，Ｄｉｓ（ｔ，ｄ）表示该测试数据与检测器ｄ之间的欧氏距离，ｒｄ为检测器ｄ的半径。

【技术特征摘要】

【专利技术属性】
技术研发人员：公茂果，焦李成，张建，刘芳，马文萍，马晶晶，方玲芬，王彦涛，段婷婷，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：87