技術領域

本發明涉及信息安全技術領域，特別是涉及一種網絡數據的異常檢測方法。

背景技術

隨著信息時代的發展，網絡在人們的工作和生活中發揮著越來越重要的作用，如何保障開放的Intenert系統中的信息安全已成為當前研究的迫切任務。入侵檢測正是針對該任務而形成的信息安全領域的重要研究內容，相關的學者和研究人員在設計實時有效的入侵檢測系統上做了大量的工作，受人體免疫系統的啟發，Forrest等提出的否定選擇算法已被廣泛地應用于異常入侵檢測的研究中。

基于否定選擇算法的異常檢測方法生成能夠識別異體的檢測器，檢測器構建的一般步驟如圖1所示，該異常檢測方法對正常數據的檢測率較高，在一定程度上擴展了未知病毒模式，實現信息安全的保障。

存在的問題是：(1)該方法的入侵檢測的候選檢測器是隨機生成的，這將導致為篩選出一個成熟檢測器，需要拋棄多個候選檢測器，構建檢測器集的效率不高，尤其是當自體范圍極小，或者總體空間極大時更為明顯。(2)方法中的自體半徑需要根據經驗人工確定，對于高維數據，或是人們無法理解的復雜數據，很難人為地給出的相對準確有效的自體半徑。

發明內容

發明目的：本發明針對基于否定選擇算法的入侵檢測方法中存在的問題，提出了一種基于改進否定選擇的入侵檢測方法。

技術方案：一種基于改進否定選擇的入侵檢測方法，包括如下步驟：、

（1）讀入自體數據集，從數據集中目標值標注為正常的樣本，每一行為一次觀測，每一列對應一個屬性的所有觀測值；

（2）自體數據集預處理，包含字符屬性數值化處理和數值屬性歸一化處理

（3）迭代調整k-means算法的聚類中心，構建檢測器集；同時得出檢測器半徑；

（31）初始化k-means中心，即從自體數據集中隨機取若干個中心；（32）計算所有樣本到每個中心的距離；（33）將樣本歸入中心；（34）根據每個中心的樣本更新中心位置得到新的中心；（35）循環執行步驟（32）（33）（34），當中心不再變化或變化趨于穩定時終止循環，得到檢測器集以及檢測器半徑；

（4）對測試數據預處理，找出每個樣本中的字符特征，將字符特征數值化；對測試樣本每個屬性值歸一化；

（5）用生成的檢測器集對數據進行檢測，得到預處理后的待測數據；判斷待測數據是否在檢測器的范圍之內；若是，則判定此訪問為正常訪問；否則為異常訪問。

本發明采用上述技術方案，具有以下有益效果：（1）通過k-means聚類構建聚類中心，以聚類中心構建檢測器集，替代生成候選檢測器再篩選的過程，使訓練過程更高效。（2）通過聚類構建的檢測器集的規模更加精簡，利用更少的檢測器就能覆蓋自體，使得檢測階段更高效。（3）自適應地生成了檢測器的半徑，檢測的準確率不會受到用戶輸入的自體半徑的影響，從而提高了方法的穩定性。（4）對于自體比較分散的數據集，本方法更具有優勢。

附圖說明

圖1為現有技術中基于否定選擇算法的入侵檢測方法流程圖；

圖2為本發明實施例的方法流程圖；

圖3為本發明實施例的生成檢測器的流程圖；

圖4為本發明實施例的利用檢測器檢測的流程圖；

圖5為本發明實施例的原始否定選擇算法的檢測器初始自體半徑對檢測率的影響示意圖；

圖6為本發明實施例的兩種方法在不同檢測率下的檢測器集規模對比示意圖；

圖7為本發明實施例的兩種方法在不同漏警率下的檢測器集規模對比示意圖。

具體實施方式

下面結合具體實施例，進一步闡明本發明，應理解這些實施例僅用于說明本發明而不用于限制本發明的范圍，在閱讀了本發明之后，本領域技術人員對本發明的各種等價形式的修改均落于本申請所附權利要求所限定的范圍。

圖2為本發明實施例的方法流程圖，步驟具體包括：

（1）讀入自體數據集：讀入KDD99數據集中目標值標注為正常的樣本，每一行為一次觀測，每一列對應一個屬性的所有觀測值。

（2）自體數據預處理：包含字符屬性數值化處理和數值屬性歸一化處理，具體為：

（21）找出樣本中各列字符屬性，將字符屬性數值化；