(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107809430A(43)申请公布日2018.03.16(21)申请号201711048813.8(22)申请日2017.10.31(71)申请人常州大学地址213164江苏省常州市武进区滆湖路1号(72)发明人倪彤光顾晓清(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书5页附图2页(54)发明名称一种基于极值点分类的网络入侵检测方法(57)摘要本发明公开了一种基于极值点分类的网络入侵检测方法，其步骤如下：(1)收集网络正常数据流，将每个非数值属性转化为数值，形成训练数据集；(2)计算训练集的极值点，获得基于极值点分类的网络入侵检测模型；(3)接收网络未标记的数据流，将每个非数值属性转化为数值，采用基于极值点分类的网络入侵检测模型进行分类。本发明采用数据几何轮廓分析技术进行二元分类，将网络流量的数据分类为正常数据和入侵数据，能提高入侵检测处理大规模网络数据的及时性和准确性。CN107809430ACN107809430A权利要求书1/2页1.一种基于极值点分类的网络入侵检测方法，其特征包括以下步骤：步骤1.收集网络正常数据流，将每个非数值属性转化为数值，形成训练数据集X；步骤2.计算训练集X的极值点，获得基于极值点分类的网络入侵检测模型；步骤3.接收网络未标记的数据流，将每个非数值属性转化为数值，采用基于极值点分类的网络入侵检测模型进行分类；上述步骤2所述的获得基于极值点分类的网络入侵检测模型的具体步骤是：2×d步骤2.1每次迭代，产生随机高斯矩阵Kj∈R，其中矩阵Kj的元素满足高斯分布N(0,1)，d是训练集X的特征数，j为迭代的次数，j的初始值为1；步骤2.2将X投影到二维平面Rj，得到二维数据集Cj＝{cj,1,cj,2,...,cj,N}，其中cj,k＝d×1Kjxk，xk和cj,k分别是X和Cj数据集的第k个样本，xk∈R，N是X中样本的个数；步骤2.3以原点为中心划分二维平面Rj得到2m个中心夹角为α的等分区域，其中α＝π/m；步骤2.4得到Cj分布在第i对中心角对称的等分区域的数据集和其中i＝0,1,…,m-1，k＝1,2,...,N,arctan()表示反余切函数；步骤2.5计算第i对中心角对称的等分区域的中心单位向量和其中i＝0,1,…,m-1；步骤2.6计算第i对中心角对称的等分区域的二维样本与所属区域的中心单位向量的点乘操作，获得点乘操作的最大值和其中i＝0,1,…,m-1；步骤2.7获得第i对等分区域中点乘操作最大值对应的二维点和其中i＝0,1,…,m-1；步骤2.8获得第i对等分区域中的极值点：其中i＝0,1,…,m-1；步骤2.9得到二维平面Rj上的极值点集Pj：2CN107809430A权利要求书2/2页步骤2.10判断当前j是否满足j＜jmax，若是，则令j＝j+1，返回步骤2.1，若否，则执行步骤2.11；步骤2.11将jmax个极值点集Pj和对应的高斯矩阵Kj保存为网络入侵检测模型W：上述步骤3所述的采用基于极值点分类的网络入侵检测模型进行分类的方法的具体步骤是：步骤3.1对于待检测的没有标记的网络数据流z，每次迭代，得到它在二维平面Rj的投影向量zj，其中zj＝Kjz，j为迭代次数，j的初始值为1；步骤3.2判断zj是否在二维平面Rj的极值点集Pj的内部，若是，则转向步骤3.3，若否，则输出分类结果：数据流z是网络攻击流；步骤3.3判断当前j是否满足j＜jmax，若是，则令j＝j+1，返回步骤3.1，若否，则输出分类结果：数据流z是网络正常流。3CN107809430A说明书1/5页一种基于极值点分类的网络入侵检测方法技术领域[0001]本发明涉及计算机网络安全领域，尤其涉及一种基于极值点分类的网络入侵检测方法。背景技术[0002]随着互联网技术的发展，网络攻击手段日益复杂化、多元化、智能化，网络安全问题日益突出。入侵检测方法作为网络安全系统的一个重要的动态防护措施，通过收集和分析网络行为、审计数据，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象，来检测系统外部的入侵者的攻击行为。现阶段一定规模的网络环境通常都配置入侵检测系统，以期在网络入侵的异常行为发生时，可迅速发现并进行拦截。因此，网络入侵检测方法对网络系统的安全发挥着非常重要的作用，也是当前网络安全领域研究的一个热点。[0003]入侵检测本质上是分类问题，目前通常采用模式识别的方法来进行入侵检测的研究，如神经网络、遗传算法、支持向量机、决策树等。当这些方法时间复杂度都较高，不适合处理大规模网络入侵问题，甚至在一些中等规模的数据集上就花费时间过多。为降低时间复杂度，常用的方法有近似计算和减少训练样本数等，但这些方法往