基于正常度函数的网络入侵检测

摘要

提出了一个基于网络数据的异常检测方法,它是一种基于实例的分类方法的扩展.首先将数据空间区域划分成互不相交的网格单元,与平分属性维不同,提出一种新的数值属性维划分方法--S函数影射法,这种方法能够用较少的网格较好地将训练样本中的正常数据和异常数据划分开.以网格单元为处理单位,定义每一个网格单元对其他单元的正常度影响函数,这样,在确定任一网格单元是否处于正常数据子空间中,可以用所有有效网格单元对此单元的影响度函数的和来衡量.在分类时,将新的数据投影到网格单元,并根据网格单元的正常度值来判断是否异常.在KDDCUP'99的实验数据上进行了测试,结果表明,此方法简单有效、实用性强、检测率高,而且在识别新入侵和减少误报率上有很好的表现。