基于因子分析与子空间协同表示的网络安全入侵检测方法专利检索-概率安全分析核能专利检索查询-专利查询网

基于因子分析与子空间协同表示的网络安全入侵检测方法

阅读：447发布：2020-05-12

专利汇可以提供基于因子分析与子空间协同表示的网络安全入侵检测方法专利检索，专利查询，专利分析的服务。并且本发明公开了一种基于因子分析与子空间协同表示的网络安全入侵检测方法，获得某个时刻或时间段内反映网络不同安全状态的安全因子，包括TCP连接基本特征、TCP连接的内容特征、基于时间的网络流量统计特征、基于主机的网络流量统计特征，通过4种算法对因子进行分析，求得不同因子对网络入侵检测的贡献权重，将因子按照4种算法获得贡献权重的均值大小进行排序，抽取贡献权重最大的N个因子。本发明利用子空间协同表示分类算法来对网络的安全状态检测，快速有效，方法巧妙，构思新颖，具有良好的应用前景。，下面是基于因子分析与子空间协同表示的网络安全入侵检测方法专利的具体信息内容。

权利要求

1.一种基于因子分析与子空间协同表示的网络安全入侵检测方法，其特征在于：包括以下步骤，
步骤(A)，将网络数据标准化、归一化；
步骤(B)，对网络数据进行因子分析，利用四种因子分析算法得到每个因子的贡献权重并计算每种因子的贡献权重均值；
步骤(C)，提取贡献权重最大的N个因子，利用子空间协同表示分类算法对网络数据进行检测，若检测为正常，则返回步骤(A)，进行下一时刻或者下一时间段的网络数据态势评估；若检测为异常，则为异常事件，报警输出。
2.根据权利要求1所述的基于因子分析与子空间协同表示的网络安全入侵检测方法，其特征在于：步骤(A)，所述网络数据，包括TCP连接基本特征、TCP连接的内容特征、基于时间的网络流量统计特征、基于主机的网络流量统计特征；
所述TCP连接基本特征包括以下因子：网络连接持续时间、网络协议类型、目标主机的网络服务类型、从源主机到目标主机的数据的字节数、从目标主机到源主机的数据的字节数；
所述TCP连接的内容特征包括以下因子：登录尝试失败的次数、是否成功登录、compromised条件出现的次数；
所述基于时间的网络流量统计特征包括以下因子：过去两秒内，与当前连接具有相同的目标主机的连接数、过去两秒内，与当前连接具有相同服务的连接数、过去两秒内，在与当前连接具有相同目标主机的连接中，出现“SYN”错误的连接的百分比、过去两秒内，在与当前连接具有相同服务的连接中，出现“SYN”错误的连接的百分比、过去两秒内，在与当前连接具有相同目标主机的连接中，出现“REJ”错误的连接的百分比、过去两秒内，在与当前连接具有相同服务的连接中，出现“REJ”错误的连接的百分比、过去两秒内，在与当前连接具有相同目标主机的连接中，与当前连接具有相同服务的连接的百分比、过去两秒内，在与当前连接具有相同目标主机的连接中，与当前连接具有不同服务的连接的百分比、过去两秒内，在与当前连接具有相同服务的连接中，与当前连接具有不同目标主机的连接的百分比；
所述基于主机的网络流量统计特征包括以下因子：前100个连接中，与当前连接具有相同目标主机的连接数、前100个连接中，与当前连接具有相同目标主机相同服务的连接数、前100个连接中，与当前连接具有相同目标主机相同服务的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机不同服务的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同源端口的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同服务的连接中，与当前连接具有不同源主机的连接所占的百分比、前
100个连接中，与当前连接具有相同目标主机的连接中，出现“SYN”错误的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同服务的连接中，出现“SYN”错误的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机的连接中，出现“REJ”错误的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同服务的连接中，出现“REJ”错误的连接所占的百分比。
3.根据权利要求1所述的基于因子分析与子空间协同表示的网络安全入侵检测方法，其特征在于：步骤(A)，所述数据标准化，包括以下步骤，
(A1)，计算样本的均值，式中X为数据样本；
(A2)，计算样本的标准差，
(A3)，根据样本的均值和标准差将数据标准化，
4.根据权利要求1所述的基于因子分析与子空间协同表示的网络安全入侵检测方法，其特征在于：步骤(A)，所述数据归一化，包括以下步骤，
(A4)，计算样本的最小值，Xmin＝min{Xi'j}；
(A5)，计算样本的最大值，Xmax＝max{Xi'j}；
(A6)，根据样本的最小值和最大值将数据归一化，
5.根据权利要求1所述的基于因子分析与子空间协同表示的网络安全入侵检测方法，其特征在于：步骤(B)，所述对网络数据进行因子分析，利用四种因子分析算法得到每个因子的贡献权重并计算每种因子的贡献权重均值，包括以下步骤，
(B1)，利用方差阈值过滤法计算每种因子的贡献权重；
(B2)，利用基于互信息的特征选择法计算每种因子的贡献权重；
(B3)，利用基于Lasso回归的特征选择法计算每种因子的贡献权重；
(B4)，利用基于ReliefF算法的特征选择法计算每种因子的贡献权重；
(B5)，将每种因子的4个贡献权重取均值。
6.根据权利要求5所述的基于因子分析与子空间协同表示的网络安全入侵检测方法，其特征在于：方法(B1)，所述方差阈值过滤法，包括以下步骤，
(1)，计算每一个因子的方差var(i)；
(2)，将获取到的方差按降序排序；
(3)，截取大于阈值T的方差的因子作为过滤后的结果。
7.根据权利要求5所述的基于因子分析与子空间协同表示的网络安全入侵检测方法，其特征在于：方法(B2)，所述基于互信息的特征选择法，包括以下步骤，(1)，记特征矩阵为类别(label)向量为其中n为样本数量，s为特征数
量，xi为第i个特征向量(i＝1,…,s)；
(2)，计算每一个特征向量xi与Y的互信息MI(i)；
(3)，将获取到的互信息MI按降序排序；
(4)，截取大于阈值T的互信息的因子作为特征选择的结果；
所述互信息MI：计算公式如下，
其中X和Y为两个离散随机变量，p(x,y)为X和Y的联合概率分布，p(x)和p(y)分别为X、Y的边缘分布概率。
8.根据权利要求5所述的基于因子分析与子空间协同表示的网络安全入侵检测方法，其特征在于：方法(B3)，所述基于Lasso回归的特征选择法，包括以下步骤，(1)，记特征矩阵为类别(label)向量为其中n为样本数量，s为特征数
量；
(2)，对X和Y进行Lasso回归；
(3)，将获取到的Lasso回归结果按降序排序；
(4)，截取回归结果大于阈值T的因子作为特征选择的结果。
9.根据权利要求5所述的基于因子分析与子空间协同表示的网络安全入侵检测方法，其特征在于：方法(B4)，所述基于ReliefF算法的特征选择法，包括以下步骤，(1)，记特征矩阵为类别(label)向量为其中n为样本数量，s为特征数
量；
(2)，利用Relief算法计算每个因子的权值W；
(3)，将获取到的因子权值按降序排序；
(4)，截取结果大于阈值T的因子作为特征选择的结果；
步骤(2)所述权值W的计算方法如下：
(1)，在X中随机选择样本点Ri；
(2)，寻找与Ri同类的k个最近邻样本Hj；
(3)，对于每个C≠class(Ri)，分别找到与Ri不同类的k个最近邻样本Mj(C)；
(4)，循环p次，更新每个因子的贡献权值，更新公式如下：
(5)，重复执行(1)、(2)、(3)、(4)共m次。
10.根据权利要求1所述的基于因子分析与子空间协同表示的网络安全入侵检测方法，其特征在于：步骤(C)所述提取贡献权重最大的N个因子，利用子空间协同表示分类算法对网络数据进行检测，包括以下步骤，
(C1)，输入类别数为C的训练样本X以及对应的标签B，待测试样本y，参数λ，提取贡献权重最大的N个因子；
(C2)，将训练样本X以类别数划分为C个子集；
(C3)，计算第l类与测试样本y的偏置Tikhonov矩阵Γl,y，
(C4)，计算第l类的测试样本近似值
(C5)，重复执行(C3)、(C4)共C次
(C6)，分别计算每一类与y的距离rl，通过获得y的分类；
(C7)，若分类结果为正常，则对下一条网络数据进行监测；若分类结果为异常则发出警告；
所述偏置Tikhonov矩阵Γl,y计算公式如下：
其中x1,x2,…,xn构成第l类的子空间Xl；
所述测试样本近似值计算公式如下：
所述近似值与样本y的距离计算公式如下：

说明书全文

基于因子分析与子空间协同表示的网络安全入侵检测方法

技术领域

[0001] 本发明涉及网络安全技术领域，具体涉及一种基于因子分析与子空间协同表示的网络安全入侵检测方法。

背景技术

[0002] 信息技术的广泛应用和网络空间的快速发展，极大促进了社会繁荣进步，但是信息化发展过程中信息安全问题日益突出，比如病毒感染、非法入侵、暴力破解和拒绝服务攻击等等都频繁发生。为了防患未然，事先对网络安全预测评判分析，根据安全的危害程度采取相应的防护措施，可以有效的减小资产损失。

[0003] 作为与科技建设工作同等重要的运维工作，已被逐渐重视起来。如何节约运维的成本、提高运维的效率、保障运维的安全，这是一个很广阔的课题。而网络安全分析作为运维中必不可少的一环，关系着最为关键的系统的稳定运行，格外受到关注。

[0004] 网络安全在大大小小企业管理都是不可缺少的一部分，当前的网络安全预测评判分析，并不能实现网络安全的态势评估，无法构建对网络安全量化分析的方法，是需要解决的问题。

发明内容

[0005] 为了克服现有技术存在的不足，本发明的目的是提供一种基于因子分析与子空间协同表示的网络安全入侵检测方法，获得某个时刻或时间段内反映网络不同安全状态的安全因子，包括 TCP连接基本特征、TCP连接的内容特征、基于时间的网络流量统计特征、基于主机的网络流量统计特征，通过4种算法对因子进行分析，求得不同因子对网络入侵检测的贡献权重，将因子按照4种算法获得贡献权重的均值大小进行排序，抽取贡献权重最大的N个因子，利用子空间协同表示分类算法来对网络的安全状态检测，快速有效，方法巧妙，构思新颖，具有良好的应用前景。

[0006] 为了达到上述目的，本发明所采用的技术方案是：

[0007] 一种基于因子分析与子空间协同表示的网络安全入侵检测方法，包括以下步骤，[0008] 步骤(A)，将网络数据标准化、归一化；

[0009] 步骤(B)，对网络数据进行因子分析，利用四种因子分析方法得到每个因子的贡献权重并计算每种因子的贡献权重均值；

[0010] 步骤(C)，提取贡献权重最大的N个因子，利用子空间协同表示分类算法对网络数据进行检测，若检测为正常，则返回步骤(A)，进行下一时刻或者下一时间段的网络数据态势评估；若检测为异常，则为异常事件，报警输出。

[0011] 本发明中，步骤(A)，所述网络数据，包括TCP连接基本特征、TCP连接的内容特征、基于时间的网络流量统计特征、基于主机的网络流量统计特征。

[0012] 前述TCP连接基本特征包括以下因子，

[0013] 网络连接持续时间、网络协议类型、目标主机的网络服务类型、从源主机到目标主机的数据的字节数、从目标主机到源主机的数据的字节数。

[0014] 前述TCP连接的内容特征包括以下因子，

[0015] 登录尝试失败的次数、是否成功登录、compromised条件出现的次数。

[0016] 前述基于时间的网络流量统计特征包括以下因子，

[0017] 过去两秒内，与当前连接具有相同的目标主机的连接数、过去两秒内，与当前连接具有相同服务的连接数、过去两秒内，在与当前连接具有相同目标主机的连接中，出现“SYN”错误的连接的百分比、过去两秒内，在与当前连接具有相同服务的连接中，出现“SYN”错误的连接的百分比、过去两秒内，在与当前连接具有相同目标主机的连接中，出现“REJ”错误的连接的百分比、过去两秒内，在与当前连接具有相同服务的连接中，出现“REJ”错误的连接的百分比、过去两秒内，在与当前连接具有相同目标主机的连接中，与当前连接具有相同服务的连接的百分比、过去两秒内，在与当前连接具有相同目标主机的连接中，与当前连接具有不同服务的连接的百分比、过去两秒内，在与当前连接具有相同服务的连接中，与当前连接具有不同目标主机的连接的百分比。

[0018] 前述基于主机的网络流量统计特征包括以下因子，

[0019] 前100个连接中，与当前连接具有相同目标主机的连接数、前100个连接中，与当前连接具有相同目标主机相同服务的连接数、前100个连接中，与当前连接具有相同目标主机相同服务的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机不同服务的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同源端口的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同服务的连接中，与当前连接具有不同源主机的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机的连接中，出现“SYN”错误的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同服务的连接中，出现“SYN”错误的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机的连接中，出现“REJ”错误的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同服务的连接中，出现“REJ”错误的连接所占的百分比。

[0020] 步骤(A)，所述数据标准化，包括以下步骤，

[0021] (A1)，计算样本的均值，式中X为样本数据；

[0022] (A2)，计算样本的标准差，

[0023]

[0024] (A3)，根据样本的均值和标准差将数据标准化，

[0025] 所述数据归一化，包括以下步骤，

[0026] (A4)，计算样本的最小值，Xmin＝min{X’ij}；

[0027] (A5)，计算样本的最大值，Xmax＝max{X’ij}；

[0028] (A6)，根据样本的最小值和最大值将数据归一化，

[0029] 前述的基于因子分析与子空间协同表示的网络安全入侵检测方法，步骤(B)，所述对网络数据进行因子分析，利用四种因子分析方法得到每个因子的贡献权重并计算每种因子的贡献权重均值，包括以下步骤，

[0030] (B1)，利用方差阈值过滤法计算每种因子的贡献权重；

[0031] (B2)，利用基于互信息的特征选择法计算每种因子的贡献权重；

[0032] (B3)，利用基于Lasso回归的特征选择法计算每种因子的贡献权重；

[0033] (B4)，利用基于ReliefF算法的特征选择法计算每种因子的贡献权重；

[0034] (B5)，将每种因子的4个贡献权重取均值

[0035] 前述的方差阈值过滤法，(B1)，包括以下步骤，

[0036] (1)，计算每一个因子的方差var(i)；

[0037] (2)，将获取到的方差按降序排序；

[0038] (3)，截取大于阈值T的方差的因子作为过滤后的结果。

[0039] 前述的基于互信息的特征选择法，(B2)，包括以下步骤，

[0040] (1)，记特征矩阵为类别(label)向量为其中n为样本数量，s为特征数量，xi为第i个特征向量(i＝1,…,s)；

[0041] (2)，计算每一个特征向量xi与Y的互信息MI(i)；

[0042] (3)，将获取到的互信息MI按降序排序；

[0043] (4)，截取大于阈值T的互信息的因子作为特征选择的结果。

[0044] 所述互信息MI：计算公式如下，

[0045]

[0046] 其中X和Y为两个离散随机变量，p(x,y)为X和Y的联合概率分布，p(x)和p(y)分别为X、Y的边缘分布概率。

[0047] 前述的基于Lasso回归的特征选择法，(B3)，包括以下步骤，

[0048] (1)，记特征矩阵为类别(label)向量为其中n为样本数量，s为特征数量；

[0049] (2)，对X和Y进行Lasso回归；

[0050] (3)，将获取到的Lasso回归结果按降序排序；

[0051] (4)，截取回归结果大于阈值T的因子作为特征选择的结果。

[0052] 前述的基于ReliefF算法的特征选择法，(B4)，包括以下步骤，

[0053] (1)，记特征矩阵为类别(label)向量为其中n为样本数量，s为特征数量；

[0054] (2)，利用Relief算法计算每个因子的权值W；

[0055] (3)，将获取到的因子权值按降序排序；

[0056] (4)，截取结果大于阈值T的因子作为特征选择的结果。

[0057] 步骤(2)所述权值W的计算方法如下：

[0058] (1)，在X中随机选择样本点Ri；

[0059] (2)，寻找与Ri同类的k个最近邻样本Hj；

[0060] (3)，对于每个C≠class(Ri)，分别找到与Ri不同类的k个最近邻样本Mj(C)；

[0061] (4)，循环p次，更新每个因子的贡献权值，更新公式如下：

[0062]

[0063] (5)，重复执行(1)、(2)、(3)、(4)共m次。

[0064] 前述的基于因子分析与子空间协同表示的网络安全入侵检测方法，步骤(C)，提取贡献权重最大的N个因子，利用子空间协同表示分类算法对网络数据进行检测，包括以下步骤，

[0065] (C1)，输入训练样本X(类别数为C)以及对应的标签B，待测试样本y，参数λ，提取贡献权重最大的N个因子；

[0066] (C2)，将训练样本X以类别数划分为C个子集；

[0067] (C3)，计算第l类与测试样本y的偏置Tikhonov矩阵Γl,y，

[0068] (C4)，计算第l类的测试样本近似值

[0069] (C5)，重复执行(C3)、(C4)共C次

[0070] (C6)，分别计算每一类与y的距离rl，通过获得y的分类；

[0071] (C7)，若分类结果为正常，则对下一条网络数据进行监测；若分类结果为异常则发出警告。

[0072] 所述偏置Tikhonov矩阵Γl,y计算公式如下：

[0073]

[0074] 其中x1,x2,…,xn构成第l类的子空间Xl。

[0075] 所述测试样本近似值计算公式如下：

[0076]

[0077] 所述近似值与样本y的距离计算公式如下：

[0078]

[0079] 本发明的有益效果是：本发明的基于因子分析与子空间协同表示的网络安全入侵检测方法，获得某个时刻或时间段内反映网络不同安全状态的安全因子，包括TCP连接基本特征、 TCP连接的内容特征、基于时间的网络流量统计特征、基于主机的网络流量统计特征，通过4 种算法对因子进行分析，求得不同因子对网络入侵检测的贡献权重，将因子按照4种算法获得贡献权重的均值大小进行排序，抽取贡献权重最大的N个因子，利用子空间协同表示分类算法来对网络的安全状态检测，快速有效，方法巧妙，构思新颖，具有良好的应用前景。
附图说明

[0080] 图1是本发明的基于因子分析与子空间协同表示的网络安全入侵检测方法的流程图；

[0081] 图2是本发明的本发明的基于因子分析与子空间协同表示的网络安全入侵检测方法的框架图。

具体实施方式

[0082] 下面将结合说明书附图，对本发明作进一步的说明。

[0083] 如图1所示，本发明的基于因子分析与子空间协同表示的网络安全入侵检测方法，获得某个时刻或时间段内反映网络不同安全状态的安全因子，包括TCP连接基本特征、TCP连接的内容特征、基于时间的网络流量统计特征、基于主机的网络流量统计特征，通过4种算法对因子进行分析，求得不同因子对网络入侵检测的贡献权重，将因子按照4种算法获得贡献权重的均值大小进行排序，抽取贡献权重最大的N个因子，利用子空间协同表示分类算法来对网络的安全状态检测，快速有效，方法巧妙，构思新颖，包括以下步骤，[0084] 步骤(A)，将网络数据标准化、归一化；

[0085] 步骤(B)，对网络数据进行因子分析，利用四种因子分析方法得到每个因子的贡献权重并计算每种因子的贡献权重均值；

[0086] 步骤(C)，提取贡献权重最大的N个因子，利用子空间协同表示分类算法对网络数据进行检测，若检测为正常，则返回步骤(A)，进行下一时刻或者下一时间段的网络数据态势评估；若检测为异常，则为异常事件，报警输出。

[0087] 步骤(A)，所述网络数据，包括TCP连接基本特征、TCP连接的内容特征、基于时间的网络流量统计特征、基于主机的网络流量统计特征。

[0088] 前述TCP连接基本特征包括以下因子，

[0089] 网络连接持续时间、网络协议类型、目标主机的网络服务类型、从源主机到目标主机的数据的字节数、从目标主机到源主机的数据的字节数。

[0090] 前述TCP连接的内容特征包括以下因子，

[0091] 登录尝试失败的次数、是否成功登录、compromised条件出现的次数。

[0092] 前述基于时间的网络流量统计特征包括以下因子，

[0093] 过去两秒内，与当前连接具有相同的目标主机的连接数、过去两秒内，与当前连接具有相同服务的连接数、过去两秒内，在与当前连接具有相同目标主机的连接中，出现“SYN”错误的连接的百分比、过去两秒内，在与当前连接具有相同服务的连接中，出现“SYN”错误的连接的百分比、过去两秒内，在与当前连接具有相同目标主机的连接中，出现“REJ”错误的连接的百分比、过去两秒内，在与当前连接具有相同服务的连接中，出现“REJ”错误的连接的百分比、过去两秒内，在与当前连接具有相同目标主机的连接中，与当前连接具有相同服务的连接的百分比、过去两秒内，在与当前连接具有相同目标主机的连接中，与当前连接具有不同服务的连接的百分比、过去两秒内，在与当前连接具有相同服务的连接中，与当前连接具有不同目标主机的连接的百分比。

[0094] 前述基于主机的网络流量统计特征包括以下因子，

[0095] 前100个连接中，与当前连接具有相同目标主机的连接数、前100个连接中，与当前连接具有相同目标主机相同服务的连接数、前100个连接中，与当前连接具有相同目标主机相同服务的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机不同服务的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同源端口的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同服务的连接中，与当前连接具有不同源主机的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机的连接中，出现“SYN”错误的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同服务的连接中，出现“SYN”错误的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机的连接中，出现“REJ”错误的连接所占的百分比、前100个连接中，与当前连接具有相同目标主机相同服务的连接中，出现“REJ”错误的连接所占的百分比。

[0096] 步骤(A)，所述数据标准化，包括以下步骤，

[0097] (A1)，计算样本的均值，式中X为数据样本；

[0098] (A2)，计算样本的标准差，

[0099]

[0100] (A3)，根据样本的均值和标准差将数据标准化，

[0101] 所述数据归一化，包括以下步骤，

[0102] (A4)，计算样本的最小值，Xmin＝min{X’ij}；

[0103] (A5)，计算样本的最大值，Xmax＝max{X’ij}；

[0104] (A6)，根据样本的最小值和最大值将数据归一化，

[0105] 前述的基于因子分析与子空间协同表示的网络安全入侵检测方法，步骤(B)，所述对网络数据进行因子分析，利用四种因子分析方法得到每个因子的贡献权重并计算每种因子的贡献权重均值，包括以下步骤，

[0106] (B1)，利用方差阈值过滤法计算每种因子的贡献权重；

[0107] (B2)，利用基于互信息的特征选择法计算每种因子的贡献权重；

[0108] (B3)，利用基于Lasso回归的特征选择法计算每种因子的贡献权重；

[0109] (B4)，利用基于ReliefF算法的特征选择法计算每种因子的贡献权重；

[0110] (B5)，将每种因子的4个贡献权重取均值

[0111] 前述的方差阈值过滤法，(B1)，包括以下步骤，

[0112] (1)，计算每一个因子的方差var(i)；

[0113] (2)，将获取到的方差按降序排序；

[0114] (3)，截取大于阈值T的方差的因子作为过滤后的结果。

[0115] 前述的基于互信息的特征选择法，(B2)，包括以下步骤，

[0116] (1)，记特征矩阵为类别(label)向量为其中n为样本数量，s为特征数量，xi为第i个特征向量(i＝1,…,s)；

[0117] (2)，计算每一个特征向量xi与Y的互信息MI(i)；

[0118] (3)，将获取到的互信息MI按降序排序；

[0119] (4)，截取大于阈值T的互信息的因子作为特征选择的结果。

[0120] 所述互信息MI：计算公式如下，

[0121]

[0122] 其中X和Y为两个离散随机变量，p(x,y)为X和Y的联合概率分布，p(x)和p(y)分别为X、Y的边缘分布概率。

[0123] 前述的基于Lasso回归的特征选择法，(B3)，包括以下步骤，

[0124] (1)，记特征矩阵为类别(label)向量为其中n为样本数量，s为特征数量；

[0125] (2)，对X和Y进行Lasso回归；

[0126] (3)，将获取到的Lasso回归结果按降序排序；

[0127] (4)，截取回归结果大于阈值T的因子作为特征选择的结果。

[0128] 前述的基于ReliefF算法的特征选择法，(B4)，包括以下步骤，

[0129] (1)，记特征矩阵为类别(label)向量为其中n为样本数量，s为特征数量；

[0130] (2)，利用Relief算法计算每个因子的权值W；

[0131] (3)，将获取到的因子权值按降序排序；

[0132] (4)，截取结果大于阈值T的因子作为特征选择的结果。

[0133] 步骤(2)所述权值W的计算方法如下：

[0134] (1)，在X中随机选择样本点Ri；

[0135] (2)，寻找与Ri同类的k个最近邻样本Hj；

[0136] (3)，对于每个C≠class(Ri)，分别找到与Ri不同类的k个最近邻样本Mj(C)；

[0137] (4)，循环p次，更新每个因子的贡献权值，更新公式如下：

[0138]

[0139] (5)，重复执行(1)、(2)、(3)、(4)共m次。

[0140] 前述的基于因子分析与子空间协同表示的网络安全入侵检测方法，步骤(C)，提取贡献权重最大的N个因子，利用子空间协同表示分类算法对网络数据进行检测，包括以下步骤，

[0141] (C1)，输入训练样本X(类别数为C)以及对应的标签B，待测试样本y，参数λ，提取贡献权重最大的N个因子；

[0142] (C2)，将训练样本X以类别数划分为C个子集；

[0143] (C3)，计算第l类与测试样本y的偏置Tikhonov矩阵Γl,y，

[0144] (C4)，计算第l类的测试样本近似值

[0145] (C5)，重复执行(C3)、(C4)共C次

[0146] (C6)，分别计算每一类与y的距离rl，通过获得y的分类；

[0147] (C7)，若分类结果为正常，则对下一条网络数据进行监测；若分类结果为异常则发出警告。

[0148] 所述偏置Tikhonov矩阵Γl,y计算公式如下：

[0149]

[0150] 其中x1,x2,…,xn构成第l类的子空间Xl。

[0151] 所述测试样本近似值计算公式如下：

[0152]

[0153] 所述近似值与样本y的距离计算公式如下：

[0154]

[0155] 本发明的基于因子分析与子空间协同表示的网络安全入侵检测方法，能够在获得有限的网络数据因子的条件下，利用四种因子分析方法，获得每种因子的贡献权重均值，再利用贡献权重最大的N个因子使用子空间协同表示的分类算法能够预测网络是否收到攻击，经检验，我们的方法能够达到最低97.6％的准确率。

[0156] 以上显示和描述了本发明的基本原理、主要特征及优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

标题	发布/更新时间	阅读量
基于岸基雷达面向智能船舶的多船协同避碰系统和方法	2020-05-11	269
一种面向农药残留数据的多维交叉分析方法与系统	2020-05-12	416
核电站数字化正常和事故运行规程接口设置系统和方法	2020-05-12	822
基于冲突消解的智能车辆城市交叉口通行决策多目标优化模型	2020-05-13	729
基于便携终端信息的险态驾驶场景辨识系统及其辨识方法	2020-05-11	696
基于等碰撞概率线法的航天器近距离安全操作控制方法	2020-05-12	306
一种基于物联网的分布式环境安全学习及预警方法	2020-05-13	772
一种多维异构取证信息的关联分析系统及方法	2020-05-13	26
一种基于AP-PBFT算法的区块链信用机制	2020-05-08	552
一种核电厂灾害概率安全分析方法及装置	2020-05-08	76

基于因子分析与子空间协同表示的网络安全入侵检测方法

基于因子分析与子空间协同表示的网络安全入侵检测方法

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：