1.一種基于相對熵的入侵報警分析方法，其特征在于包括以下幾個步驟：?

（1）、選取報警特征?

通過分析入侵檢測系統的報警數據，選取“源IP地址，目的IP地址，源端口，目的端口和報警類型”五個報警特征，針對這些報警特征的特征組合，識別網絡異常；?

（2）、選擇采樣間隔?

選擇采樣間隔是指確定基于時間序列的連續入侵報警抽樣的時間間隔，根據網絡中時間間隔內實際的入侵報警數目、大多數攻擊所持續的時間和所引起報警的數量，設置采樣間隔t為連續t分鐘不重合時間序列報警，構造報警流中各個特征參數的相對熵時間序列；?

（3）、確定參考分布?

對于時間間隔t，參考分布q_t(x)可表達為以下分布的高斯混合分布：?

公式中，p_t-1(x)為前一時間間隔的樣本分布；p_t-n(x)為前一天同一時間間隔的樣本分布，?為經管理員經驗確定為正常時間間隔的樣本分布；q_t-1(x)為前一時間間隔的參考分布，α₁，α₂，α₃為權重參數，且α₁+α₂+α₃＝1；?

（4）、計算相對熵?

在時間間隔t內，針對每個報警特征，計算當前時間段分布p(x)和參考分布q(x)之間的Kullback–Leibler?distance，or?divergence(簡稱KL距離)，對于每一個報警特征x_i，定義如下：?

公式中，p_t(x_i)為時間間隔t內報警特征x_i的分布，q_t(x_i)為時間間隔t內報警特征x_i的參考分布。?

由相對熵的公式，結合網絡入侵檢測中數據的實際意義，給出了下面兩個約定：?

約定1：對于報警特征x_i，若時間間隔t內，p(x_i)和q(x_i)均為0，定義?為0；這說明針對某一特征，該時間間隔內的數據包在實際檢測階段和訓練階段都沒有被捕獲，從相似的角度來說是完全相似的，它們之間沒有差距，所以約定其值為0；?

約定2：當p(x_i)和q(x_i)其中一個為0，即和時，分配β∈(0，1]到相應的0值項，保持另外一個分布的影響。當β很小（接近于0）時，即使對于較小數量的攻擊行為也能檢測到，這樣計算結果將對報警中新出現的攻擊類型更為敏感；對于相對較大的β，計算結果對于分布的變化更敏感，強調較大范圍的攻擊；?

（5）、進行閾值檢測?

通過監測每個時間段內各入侵報警特征的相對熵，從周期性方差變化中識別波動，發現網絡異常。若時間間隔t內，計算的入侵報警流量中包含k個報警特征{C_1，...，C_k}，對于每一報警特征C_j，{D_1，...，D_n}是實驗數據中該報警特征的KL距離；當當前值D_i與歷史值的平均值相?差n個標準方差時，就標記為異常，n的缺省值是3，此值可不斷調整；?

其中是平均值，σ是標準差；?

（6）、分析異常類型?

應用基于特征分布的報警分析方法，選取“源IP地址，目的IP地址，源端口，目的端口和報警類型”作為特征參數，分析這五個參數的分布變化，對報警流量進行監測；同一時間間隔內，當有三個及以上特征參數相對熵超出閾值時，認為有異常情況發生，找到離群值。其中“分類”特征是指該時間間隔內報警流中起主要作用的分類，該“分類”的特征分布與參考分布具有最大距離max_i∈[1，N]|p_i-q_i|；結合表一和特征分布情況，分析這些離群值所在樣本間隔內的報警信息，標記異常類型。?