基于云模型的入侵检测数据划分方法

摘要

本发明提供一种基于云模型的入侵检测数据划分方法。技术方案包括5个步骤：步骤①：建立云模型数据；步骤②：计算云模型特征；步骤③：输入待检测入侵检测数据；步骤④：计算数据属性隶属度；步骤⑤：划分信号类别。本发明的有益效果：在进行入侵检测数据属性判断时，改变了以往依靠主观经验对数据的信号含义进行划分的方式，通过入侵检测数据属性隶属度的定量分析来划分信号含义；在后续的DCA异常检测中，提高了入侵检测的检测率，降低了虚警率，具备计算量小，实时性好等优点。

主权项

一种基于云模型的入侵检测数据划分方法，其特征在于，包括下述步骤：步骤①：建立云模型数据：从入侵检测标准数据集中选取N个正常数据存入矩阵X＝[x_ij]_N×M中形成云模型数据，其中N的大小根据所需云模型的规模确定，M代表标准数据集的属性数：步骤②：计算云模型特征：利用下列公式计算云模型第j属性的期望Ex_j、熵En_j、超熵He_j、卡方值CS_j和权重因子P_j，j＝1,2,…,M：${\mathrm{Ex}}_j=\frac{{\Sigma }_{i=1}^N{x}_{\mathrm{ij}}}{N}$  (公式一)${\mathrm{En}}_j=\sqrt{\frac{\pi }{2}}\times \frac{{\Sigma }_{i=1}^N|x_{\mathrm{ij}}-{\mathrm{Ex}}_j|}{N}$  (公式二)${\mathrm{He}}_j=\sqrt{\frac{{\Sigma }_{i=1}^N{(x_{\mathrm{ij}}-{\mathrm{Ex}}_j)}^2}{N-1}-{\mathrm{En}}_j^2}$  (公式三)${\mathrm{CS}}_j=\frac{{\Sigma }_{i=1}^N(x_{\mathrm{ij}}-{\mathrm{Ex}}_j)}{{\mathrm{Ex}}_j}$  (公式四)$P_j=\frac{{\mathrm{CS}}_j}{{\Sigma }_{j=1}^M{\mathrm{CS}}_j}$  (公式五)步骤③：输入待检测入侵检测数据：将K个待检测入侵检测数据存入矩阵Z＝[z_i′j]_K×M,从云模型数据中随机选取K个正常数据存入矩阵Y＝[y_i′j]_K×M，其中K<N；步骤④：计算数据属性隶属度。利用下列公式分别计算正常数据的第j属性隶属度μ_j和待检测入侵检测数据的第j属性隶属度μ′_j：${\mu }_j=\exp [-\frac{{({\mathrm{Ey}}_j-{\mathrm{Ex}}_j)}^2}{2E{n}^{\prime 2}}]$  (公式六)${\mu }_j^{\prime }=\exp [-\frac{{({\mathrm{Ez}}_j-{\mathrm{Ex}}_j)}^2}{{2\mathrm{En}}^{\prime 2}}]$  (公式七)上述公式中，En′是以En_j为均值、He_j为标准差的正态随机数；步骤⑤：划分信号类别：针对待检测入侵检测数据，依据以下情况划分信号：若Eμ′_j＞Eμ_j，将K个待检测入侵检测数据划分为DS危险信号；若Eμ′_j＞Eμ_j且Varμ′_j＜Varμ_j，将K个待检测入侵检测数据划分为PAMPS病原相关分析模式信号；若Eμ′_j≤Eμ_j，将K个待检测入侵检测数据划分为SS安全信号；其中，${\mathrm{E\mu }}_j^{\prime }=\frac{{\Sigma }_{j=1}^M{\mu }_j^{\prime }}{N},$${\mathrm{E\mu }}_j=\frac{{\Sigma }_{j=1}^M{\mu }_j}{N},$${\mathrm{Var\mu }}_j^{\prime }=\frac{{\Sigma }_{j=1}^M{({\mu }_j^{\prime }-{\mathrm{E\mu }}_j^{\prime })}^2}{N},$${\mathrm{Var\mu }}_j=\frac{{\Sigma }_{j=1}^M{({\mu }_j-{\mathrm{E\mu }}_j)}^2}{N}.$