一种基于深度模糊最小最大超盒的网络入侵检测方法

信息传输、软件和信息技术服务业

1、成果由北京理工大学单独持有；2、本成果已授权专利

技术许可、合作开发、技术服务和咨询、技术转让等

可国（境）内外转让

会同成果完成团队与意向方共同研讨合作方案

北京理工大学产业开发研究院

北京市科学技术委员会;中关村科技园区管理委员会

1.一种基于深度模糊最小最大超盒的网络入侵检测方法包括以下步骤： 第1步、对国际标准数据集UNSW-NB15进行预处理，并将预处理后的数据集分成训练集和测试集两部分数据； 第2步、将训练集中的数据输入到DFMH的训练算法中，生成初始超盒，具体包括， 第2.1步、超盒的概念；超盒是由一组最大值点和一组最小值点构成的模糊集合，超盒的定义公式为 Bi＝{C,Dh,Vi,Wi,f(Dh,Vi,Wi)} 其中i为超盒序号，C为超盒所属类别，D为网络流量数据集在V和W之间的数据子集，V为超盒的最小值数组，W为超盒的最大值数组，f为隶属度函数，根据公式 计算样本Dh相对于超盒Bj的隶属度； 第2.2步、初始化超盒的敏感系数γ、初始超盒的半径r以及超盒优化的层数L，超盒的敏感系数γ＝1，初始超盒的半径r＝0.1，超盒优化的层数L＝2； 第2.3步、初始超盒半径设置；对每个N维训练样本，将其所有维度数据都减去r和加上r之后的数据组作为该样本初始超盒的V和W，并将该样本的类别作为相应初始超盒的类别； 第3步、将所有初始超盒输入到DFMH优化算法中，对所有超盒进行划分，并将所有同类超盒进行合并，最后将属于不同类且重叠的超盒进行收缩，生成最终的分类模型，具体包括， 第3.1步、超盒划分；首先将所有初始超盒划分为互相正交的两个子集，即非重叠超盒集和重叠超盒集，在非重叠超盒集中的任意两个超盒都不重叠，而在重叠超盒集中的任意一个超盒都与至少一个其他超盒重叠；借助函数 对超盒进行重叠测试，该函数包含了两个超盒之间4种可能的重叠状态，其中Bj＝(Vj,Wj)，Bk＝(Vk,Wk)；测试结果为1时表明超盒Bj和Bk之间存在重叠，反之则不存在；在进行划分时，每次首先从初始超盒集H中随机选取一个超盒，并将其与H中所有其他超盒进行重叠测试，若存在重叠，则将其划分至重叠超盒集，反之则划分至非重叠超盒集，一轮划分结束后将该超盒从H中去除，重复该划分过程直到H为空集； 第3.2步、同类超盒合并；首先将重叠超盒集划分为n个，其中n为类别总数，每一份中的超盒都属于同一类别；对于重叠超盒集中的所有超盒，将所有属于同一类的超盒进行合并；对于两个重叠超盒Bj＝(Vj,Wj)，Bk＝(Vk,Wk)，合并后的新超盒满足 Vli＝min(Vji,Vki),Wli＝max(Wji,Wki)i＝1。