基于图正则化概念分解的网络入侵检测研究

基于图正则化概念分解的网络入侵检测研究

仇群辉1，史建立1，李 岩2，欧卫华3?

【摘 要】作为一种有效的主动探测网络恶意攻击防护措施，入侵检测在变电站信息系统安全防护中得到了广泛的应用．但实际网络入侵数据类型的多样性、非负性和高维度性等特点使得现有方法存在检测率低、误报率高等不足．基于非负矩阵分解的方法在入侵检测上取得了较好的效果，却忽略了嵌入在数据局部的几何结构和标记信息．为此，本文提出一种基于图正则化约束的概念分解算法．通过将数据的几何结构和标记信息同时作为约束条件，建立了一种新的概念分解模型，并提出了迭代更新求解算法．通过在网络入侵数据集KDD99上的实验验证，其结果展示了所提算法的有效性和鲁棒性．

【期刊名称】新疆大学学报（自然科学版）

【年(卷),期】2017(034)002

【总页数】6

【关键词】正则化概念分解；聚类算法；智能变电站；入侵检测

0 引言

变电站安全防护是智能变电站的重要组成部分．国内变电站系统以分区防护为基础，分为安全I区和II区[1,2]．安全I区负责采集设备运行实时数据并向调度中心实时传送；安全II区负责采集安防、消防和计量等辅助信息．同时采用外网和内网物理隔离．正常访问时可建立与内网的链接，有恶意入侵行为时，则断开与内网的链接．入侵攻击严重的威胁着变电站信息系统安全，因此主动入侵检测是智能变电站信息系统安全研究的重要课题．

入侵检测实质上是一个模式识别问题，即在网络环境中，根据网络数据的特征属性，将网络数据分为正常或异常类型．传统的基于监督学习[3,4]的入侵检测算法需要大量的训练样本以便获得良好的泛化能力，且当入侵行为发生改变时，需要重新训练，非常耗时．将聚类技术[5]应用于入侵检测中，克服了监督学习中对训练数据标记的要求，同时能有效检测未知的入侵行为，因而得到了广泛的应用．然而实际中网络入侵数据具有数据量大、维数高的特点，传统K-means等算法容易受噪声数据的影响，运行速度慢，无法有效过滤不同类型的数据．因此如何降维以及提取有效的特征是网络入侵检测的首要任务．

尽管已有很多成熟的降维方法，如主成分分析(PCA)、局部线性嵌入(LLE)，但入侵检测数据都是非负的，这些方法降维后可能出现负值元素，因而不适合解决该问题．在现有非负降维算法中，非负矩阵分解(NMF)[6]算法得到了广泛的应用，但它只能用于原始特征空间的数据，因此无法利用该算法的优势；概念分解算法(CF)[7]克服了NMF的缺点，可将原始空间中的线性不可分的数据映射到线性可分的高维空间中．但是，不论是NMF算法还是CF算法，他们都是根据新的数据表示是如何生成