1.一種基于分布式遷移網絡學習的入侵檢測系統，包括：

網絡行為記錄預處理模塊，包括已有記錄預處理子模塊和新記錄預處理子模塊；該已有記錄預處理子模塊，用于對已有的有標簽網絡行為記錄集完成量化和歸一化處理，并將量化和歸一化處理后的參數傳入新記錄預處理子模塊；該新記錄預處理子模塊，利用已有記錄預處理子模塊傳入的參數對新的網絡行為記錄進行量化和歸一化處理，并將量化和歸一化處理后的結果傳輸給異常檢測模塊；

異常檢測模塊，包括異常檢測學習子模塊和異常檢測測試子模塊；該異常檢測學習子模塊，將預處理后的已有的有標簽網絡行為記錄集分為正常和異常兩類，從中分別隨機抽取部分樣本，采用分布式網絡集成學習算法進行學習，生成異常檢測學習機，并將該學習機傳輸給異常檢測測試子模塊；該異常檢測測試子模塊，采用異常檢測學習機對輸入的預處理后的新的網絡行為記錄進行分類識別，若輸出結果為正常，則不作處理，結束檢測，否則，將該記錄傳入異常行為分析模塊；

異常行為分析模塊，包括遷移樣本預選取子模塊、異常行為分析學習子模塊和異常行為分析測試子模塊；該遷移樣本預選取子模塊，將已有的有標簽的網絡行為記錄設定源域樣本和目標域有標簽樣本，根據目標域待指導樣本對源域樣本完成預選取，將選出的源域遷移樣本輸入異常行為分析學習子模塊；該異常行為分析學習子模塊，將輸入的源域遷移樣本和目標域有標簽樣本一同作為訓練樣本，采用引入遷移學習的分布式網絡集成學習算法進行學習，生成異常行為分析學習機；該異常行為分析測試子模塊，對輸入的異常記錄采用異常行為分析學習機進行分類識別，輸出其攻擊類型。

2.一種基于分布式遷移網絡學習的入侵檢測方法，包括如下步驟；

(1)輸入已有的有標簽網絡行為記錄集X，對該已有的有標簽網絡行為記錄集進行量化和歸一化預處理，得到預處理后的結果X′；

(2)將已有的有標簽網絡行為記錄集預處理后的結果X′分為正常與異常兩類，異常中包括M類攻擊類型，從正常和異常樣本中分別隨機抽取一部分樣本，采用分布式網絡集成學習算法在含有K₁個節點的網絡拓撲結構上進行T₁輪訓練，生成異常檢測學習機的分類器網絡系統；

(3)設定X′中正常類型的樣本作為源域樣本集X^S，樣本數為m，異常類型的樣本作為目標域樣本集X^T，X^T中檢測率較低的異常類型的樣本作為目標域待指導樣本集X^T1，樣本數為n₁，并將X^S平分為m/n₁份，表示為：其中[·]為取整運算，將與X^T1組合為訓練集采用AdaBoost算法訓練過程中調整樣本權重的方法調整樣本權重，選出權重較大的源域樣本子集

(4)將源域樣本子集與目標域其它類型樣本作為訓練樣本，再次使用AdaBoost算法訓練過程中調整樣本權重的方法調整樣本權重，從中去除權重較大的源域樣本，將中剩余的樣本組成源域遷移樣本集TR_D；

(5)從目標域樣本集X^T中隨機抽取一部分樣本組成目標域樣本子集TR_S，與選出的源域遷移樣本集TR_D一同作為訓練樣本，將TR_D賦予與目標域待指導樣本相同的標簽，布局含有K₂個節點的網絡拓撲結構，輸入采樣率ρ₂、訓練輪數T₂，將TR_S和TR_D分布在各節點上，生成每個節點上的訓練樣本集S_k，k＝1，2，…，K₂，根據該訓練樣本集通過如下步驟生成異常行為分析學習機：

5a)初始化各節點訓練樣本集S_k中樣本的權重；

5b)對各節點訓練樣本集S_k進行有放回的加權采樣，獲得各節點的訓練子集，到各節點的學習算法中進行訓練，得到各節點的基分類器用各節點的基分類器對該S_k進行分類，其中t為當前訓練輪數；

5c)根據對S_k的分類結果計算各節點上目標域樣本的加權錯誤率ε_k，t，并根據ε_k，t，計算各基分類器的權重

5d)更新源域遷移樣本和目標域樣本的權重，當t＜T₂時，轉步驟5b，當t＝T₂時，結束訓練，得到由所有基分類器(k＝1，2，…，K₂，t＝1，2，…，T₂)組成的異常行為分析學習機的分類器網絡系統；

(6)對已有的網絡行為記錄進行量化和歸一化處理，并記錄預處理后的參數：當有新的網絡行為記錄x″輸入時，根據已有網絡行為記錄預處理得到的參數，對其進行量化和歸一化預處理，得到預處理后的網絡行為記錄結果x′″；

(7)將x′″輸入到步驟2生成的異常檢測學習機的分類器網絡系統中進行分類，得到分類結果：

H1(x′′′)=sign(Σk=1K1Σt=1T1(αk,t1hk,t1(x′′′)+Σpαp,t1hp,t1(x′′′)))]]>

其中，為異常檢測學習機中各基分類器對x′″的分類結果，為各基分類器的權重，p為節點k的近鄰節點標號，當H₁(x′″)為1時，表示屬于正常類型，不作任何處理，結束檢測過程；當H₁(x′″)為-1時，表示屬于異常類型，則轉入步驟(8)；

(8)將x′″輸入到步驟5生成的異常行為分析學習機的分類器網絡系統中進行分類，得到分類結果：

H2(x′′′)=arg maxy∈Y(Σk=1K2Σt=1T2(αk,t2I[hk,t2(x′′′)=y]+Σpαp,t2I[hp,t2(x′′′)=y]))]]>

其中，為異常行為分析學習機中各基分類器對x′″的分類結果，且其中Y＝{1，2，…，M}，1，2，…，M分別為M種攻擊類型的索引號，I[·]為指示函數，其值為0或1，H₂(x′″)∈Y；

(9)將H₂(x′″)作為索引號，查找該索引號對應的攻擊類型，將該攻擊類型作為最終的檢測結果輸出。