CN104601565A - 一种智能优化规则的网络入侵检测分类方法 - Google Patents

Abstract

一种智能优化规则的网络入侵检测分类方法，该方法包含两部分：量子粒子群算法和C-支持向量机分类器(C-SVM)两部分。本发明首先利用量子粒子群算法对网络历史数据进行聚类，根据不同的聚类计算出智能规则，然后采用C-支持向量机分类器(C-SVM)分别对其进行分类，从而判断出当前计算机网络是否受到攻击以及何种攻击。该方法将量子粒子群算法的全局搜索优化能力强的特点进行聚类，并结合C-支持向量机分类器(C-SVM)，一定程度上解决了传统入侵检测方法耗时长，检测率低等问题。在国际标准数据上的模拟测试结果表明，本发明提供的方法对于网络入侵检测的效果优于其它三种入侵检测方法。

Description

一种智能优化规则的网络入侵检测分类方法

技术领域

本发明涉及网络入侵检测技术领域，尤其涉及一种基于智能优化规则的网络入侵检测分类方法。

背景技术

入侵检测是对网络入侵的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

常用的入侵检测方法可分为特征检测与异常检测两种。特征检测的难点是无法检测出未知的入侵行为。异常检测的难点是如何建立正常行为特征库来避免把正常的行为当作入侵行为。

近年来，研究智能优化技术在入侵检测领域中的应用逐渐成为一个热门课题。其中，基于无监督学习的聚类算法虽然能发现未知的攻击类型，但对已知攻击类型存在检测率低，不能确定确切类型等问题。基于监督学习的分类算法又由于训练样本的选取等问题，经常出现“过拟合”的问题，导致检测率降低。

发明内容

本发明针对基于无监督学习的入侵检测聚类算法检测率低，基于监督学习的入侵检测算法的选取训练样本困难等问题，提供一种智能优化规则的网络入侵检测分类方法。通过在国际标准数据集(10％KDDCup99实验数据集)上测试，对比其他入侵检测算法的整体检测效果，该算法的整体检测效果较优于其它入侵检测算法。

本发明技术方案：

一种智能优化规则的网络入侵检测分类方法，所述方法包括以下步骤：

第1步、对10％KDDCup99数据集进行预处理，将预处理后的数据集分为训练集和测试集两部分；

第2步、将训练集中的训练数据输入到量子粒子群算法指导聚类中心的选取；

第3步、对每个聚类簇中的样本构造一个C-支持向量机分类器(C-SVM)，获得多个候选C-支持向量机分类器(C-SVM)；

第4步、对于测试集的每条连接数据，计算该条连接数据到各个聚类中心的距离，选择距离最近的聚类中心所对应的C-支持向量机分类器(C-SVM)对该条连接数据进行识别， 输出结果。

第1步中所述数据预处理的方法包括以下步骤：

第1.1步、文本数值化：将符号类型数据变换为数值类型。在10％KDDCup99数据集中，protocol(协议)、服务service、连接状态flag三个属性是符号型变量，为了满足本发明分类算法的数据要求，需要对这些符号类型数据进行数值化，变换为数值类型数据；

第1.2步、数值归一化：利用平均值标准差法对10％KDDCup99数据集进行数值归一化处理，避免造成“大数吞小数”的现象；

第1.3步、将10％KDDCup99数据集随机选取其中的80％为训练数据集，其余20％作为测试集；

第2步所述的利用量子粒子群算法进行聚类中心的选取过程包括以下步骤：

第2.1步、初始化粒子位置得到每个粒子的坐标X_i＝(X_i1，X_i2，…，X_in)、速度V_i＝(V_i1，V_i2，…，V_in)、个体极值P_i＝(P_i1，P_i2，…，P_in)、全局极值P_g＝(P_g1，P_g2，…，P_gn)。其中n代表聚类数目，例如：X_ij代表第i个粒子所表示的第j个聚类中心的坐标。并指定最大迭代次数MaxIter＝50；

第2.2步、定义粒子的性能函数：

$J(U,c_1,c_2,...,c_k)=\underset{i=1}{\overset{c}{\mathrm{\Σ}}}{J}_i=\underset{i=1}{\overset{c}{\mathrm{\Σ}}}\underset{j}{\overset{n}{\mathrm{\Σ}}}{u}_{\mathrm{ij}}^m{d}_{\mathrm{ij}}^2;$

计算每个粒子的性能，J_i代表聚类中心i的性能，其中c_i为模糊组i的聚类中心，共有k个聚类中心，d_ij为聚类中心i数据点j间的欧几里德距离，d_ij＝||c_i-x_j||，u_ij表示隶属矩阵U的元素值，每个隶属度元素u_ij表示数据点j隶属于聚类中心i的程度，为了与引入模糊划分相适应，隶属矩阵U允许有取值在0、1间的元素。并且，规定一个数据集的隶属度的和等于1；

$u_{\mathrm{ij}}=\frac{1}{{\mathrm{\Σ}}_{k=1}^c{\left(\frac{d_{\mathrm{ij}}}{d_{\mathrm{kj}}}\right)}^{\frac{2}{m-1}}};$

第2.3步、更新每个粒子的平均最优位置mbset，更新方程为：

$X_i(t+1)=P+\mathrm{\β}*|\mathrm{mbset}-X_i\left(t\right)|*\ln \left(\frac{1}{u}\right),u=\mathrm{rand};$

$\mathrm{mbset}=\frac{{\mathrm{\Σ}}_{i=1}^M{p}_i}{M};$

设适应度函数的目标函数f(X)＝J(U，c₁，c₂，…，c_k)，那么每个粒子i的局部最优位置如公式所示：

$P_i(t+1)=\left\{\begin{array}{cc}{P}_i\left(t\right);& f\left(X_i(t+1)\right)\≤f\left(P_i\left(t\right)\right)\\ X_i(t+1);& f\left(X_i(t+1)\right)>f\left(P_i\left(t\right)\right)\end{array}\right.;$

然后设粒子群中的粒子数为s，利用如下公式更新全局最优位置P_g；

P_g(t)∈{P₀(t)，P₁(t)，…，P_s(t)}；

f(P_g(t))＝max{f(P₀(t))，f(P₁(t))，…，f(P_s(t))}；

在上述公式中β为收缩扩张系数，β₁与β₂分别代表β的初始值和最终值。P_i为第i个粒子的个体极值pbset，P_g为全局最优，M为粒子的数目，Maxlter为最大的迭代次数，t是当前的迭代次数。一般取β₁＝1.2，β₂＝0.7能取得较好的收敛性；

第2.4步、重新计算每个粒子的平均最优位置mbset，随机点rand，新位置X_i(t+1)；

$\mathrm{\β}=({\mathrm{\β}}_1-{\mathrm{\β}}_2)*\frac{\mathrm{Maxlter}-t}{\mathrm{Maxlter}}+{\mathrm{\β}}_2;$

第2.5步、判断是否满足终止条件即Maxlter＝50，如果满足则输出结果，停止算法，否则返回第2.2步进行计算；

第3步所述C-支持向量机分类器(C-SVM)构造过程包括以下步骤：

第3.1步、选用C-支持向量机分类器(C-SVM)作为单个二分类器模型，令训练样本的类别标签y_i∈{-1，1}，i＝1，…，m，m为训练样本的数目，为求解两类样本的分类超平面wx+b＝0，求解优化问题：

$\underset{w,b,\mathrm{\ξ}}{\min }{w}^{T}w+\frac{1}{2}C{\mathrm{\Σ}}_{i=1}^m{\mathrm{\ξ}}_i;$

s.t.y_i(w^Tφ(x_i)+b)≥1-ξ_i(ξ_i≥0，i＝1，…，m)；

其中C为惩罚参数，ξ_i为松弛变量； 

第3.2步、利用拉格朗日乘子法和KTT条件，将以上的优化问题转成对偶问题

$\underset{\mathrm{\λ}}{\max }{\mathrm{\Σ}}_{i=1}^m-\frac{1}{2}{\mathrm{\Σ}}_{i,j=1}^m{\mathrm{\λ}}_i{\mathrm{\λ}}_j{y}_i{y}_j\mathrm{\φ}{\left(x_i\right)}^T\mathrm{\φ}\left(x_j\right);$

$s.t.0\≤{\mathrm{\λ}}_i\≤C,i=1,...,m,{\mathrm{\Σ}}_{i=1}^m{\mathrm{\λ}}_i{y}_i=0;$

其中λ_i为拉格朗日乘子，φ(x)为将x从低维空间映射到高维空间的映射函数；

第3.3步、利用序列最小优化算法(SMO)求得λ_i，i＝1，…，m，得：

$w={\mathrm{\Σ}}_{i=1}^m{\mathrm{\λ}}_i{y}_i\mathrm{\φ}\left(x_i\right),b=\frac{1}{m_k}{\mathrm{\Σ}}_{k:{\mathrm{\λ}}_k\≠0}((1-{\mathrm{\ξ}}_k)y_k-{\mathrm{wx}}_k);$

其中k∈{1，…，m}且λ_k≠0，m_k为满足条件k的数目；

第3.4步、引入高斯核函数：

$k=(x_i,x_j)=\frac{\exp (-||x_i-x_j|\left|\right)}{2{\mathrm{\σ}}^2};$

其中σ为核宽度，令核宽度σ＝0.25，k(x_i，x_j)＝φ(x_i)^Tφ(x_j)，构造决策函数；

$f\left(z\right)=\mathrm{sign}({\mathrm{\Σ}}_{i=1}^m{\mathrm{\λ}}_i{y}_i\mathrm{\φ}{\left(x_i\right)}^T\mathrm{\φ}\left(z\right)+b)=\mathrm{sign}({\mathrm{\Σ}}_{i=1}^m{\mathrm{\λ}}_i{y}_{i}k(x_i,z)+b);$

根据量子粒子群算法的聚类结果，对每个聚类簇的数据构造“一对一”模式的多分类模型。

按照智能规则找到每条连接数据所对应的分类器进行分类，并求分类结果的众数作为最终识别结果。所述的智能规则是：计算连接数据与各个聚类中心点的欧几里得距离，选择距离最近的聚类中心所属的多分类模型进行识别，并求分类结果的众数作为最终识别结果。

本发明的优点和有益效果：

本发明首先将10％KDDCup99数据集进行预处理后，导入量子粒子群算法(QPSO)寻求聚类中心最优解，建立智能规则，再对每个规则对应的聚类簇构造一个C-支持向量机分类器(C-SVM)进行分类。该发明能有效避免过拟合和维数灾难等问题，具有较强的鲁棒性和检测效果。

附图说明

图1是本发明智能优化规则的网络入侵检测分类算法流程图；

图2.是10％KDDCup99数据集预处理流程图。

具体实施方式

下面结合附图对本发明的具体实施方式做进一步的详细说明。

下面用量子粒子群算法(QPSO)、C-支持向量机分类器(C-SVM)对本发明的方法做具体说明。其中量子粒子群算法(QPSO)主要用于对连接数据进行聚类，C-支持向量机分类器(C-SVM)主要用于入侵检测数据的分类；

图1对本发明提供的一种智能优化规则的网络入侵检测分类方法进行了详细步骤说明，本发明提供的方法包括以下步骤：

第1步、将10％KDDCup99数据集进行预处理，然后将处理后的10％KDDCup99数据集分成训练集和测试集两部分；

如图2所示，本发明中10％KDDCup99数据集预处理主要包括如下步骤：

第1.1步、文本数值化：将符号类型数据变换为数值类型。在10％KDDCup99数据集中，protocol(协议)、service(服务)、flag(连接状态)三个属性是符号型变量，为了满足本发明分类算法的数据要求，需要对这些符号型变量进行数值化，变换为数值类型数据；

每条10％KDDCup99数据的符号类型数据，都有相应的数值类型数据进行数值化替换，对于协议类型(protocal_type)数据，共有3种：icmp，tcp，udp。分别赋值：1-icmp，2-tcp，3-udp。其它协议类型赋值4-others。

对于目标主机网络服务(service)数据，共有70种，如下所示：aol，auth，bgp，courier，csnet_ns，ctf，daytime，discard，domain，domain_u，echo，eco_i，ecr_i，efs，exec，finger ，ftp，ftp_data，gopher，harvest，hostnames，http，http_2784，http_443，http_8001，imap 4，IRC，iso_tsap，klogin，kshell，ldap，link，login，mtp，name，netbios_dgm，netbios_ns，netbios_ssn，netstat，nnsp，nntp，ntp_u，other，pm_dump，pop_2，pop_3，printer，private ，red_i，remote_job，rje，shell，smtp，sql_net，ssh，sunrpc，supdup，systat，telnet，tftp _u，tim_i，time，urh_i，urp_i，uucp，uucp_path，vmnet，whois，X11，Z39_50。

对于其中的19种数据，分别赋值：domain-u 1，ecr_i 2，eco-i 3，finger 4，ftp-data5，ftp 6，http 7，hostnames 8，imap4 9，login 10，mtp 11，netstat 12，other 13，private 14，smtp 15，systat 16，telnet 17，time 18，uucp 19。对于其它的51种数据，统一赋值：others 20。

对于连接状态(flag)数据，共有11种，如下所示：OTH，REJ，RSTO，RSTOSO，RSTR，S0，S1，S2，S3，SF，SH。

对于其中的7种数据分别进行赋值：1-REJ，2-RSTO，3-RSTR，4-S0，5-S3，6-SF，7-SH。其余4种数据统一赋值：8-OTHERS。

第1.2步、数值归一化：利用平均值标准差法对10％KDDCup99数据集进行数值归一化，避免造成“大数吞小数”的现象；

第1.3步、将10％KDDCup99数据集随机选取其中的80％作为训练数据集，剩下的20％作为测试集；

所述第1.2步中，数值归一化实施方式如下：

将每个记录的属性向量记作X_ij，i表示连接记录的标号，共有m条连接记录(1≤i≤m)。j表示属性标号，设X′_ij为X_ij标准化后的值；

设AVG_j为平均值，利用平均值公式

${\mathrm{AVG}}_j=\frac{1}{m}(X_{1j}+X_{2j}+...+X_{\mathrm{mj}});$

对每条连接纪录求得平均值，然后设VAR_j为标准差，将得到的平均值AVG_j带入标准差公式

${\mathrm{VAR}}_j=\sqrt{\frac{1}{m}[{(X_{1j}-{\mathrm{AVG}}_j)}^2+{(X_{2j}-{\mathrm{AVG}}_j)}^2+..+{(X_{\mathrm{mj}}-{\mathrm{AVG}}_j)}^2]};$

最后将上述计算结果的每个数值进行数值归一化，得到最终处理结果；

$X_{\mathrm{ij}}^{\′}=\frac{X_{\mathrm{ij}}-{\mathrm{AVG}}_j}{{\mathrm{VAR}}_j};$

如图1所示，图1为本发明提供量子粒子群算法(QPSO)聚类过程的流程图，量子粒子群算法(QPSO)重点考虑每个粒子位置更新时，当前的局部最优位置信息和全局最优位置信息，该算法具有控制参数少，收敛速度快，全局收敛性强的优点。

第2步、将训练集中的训练数据输入到量子粒子群算法(QPSO)进行聚类；

量子粒子群算法(QPSO)主要包括如下步骤；

第2.1步、初始化每个粒子的信息，包括粒子的坐标X_i＝(X_i1，X_i2，…，X_in)、速度V_i＝(V_i1，V_i2，…，V_in)、个体极值P_i＝(P_i1，P_i2，…，P_in)、全局极值P_g＝(P_g1，P_g2，…，P_in)。其中n代表聚类数目，例如：X_ij代表第i个粒子所表示的第j个聚类中心的坐标。并且指定最大迭代次数Maxlter＝50；

第2.2步、通过性能函数

$J(U,c_1,c_2,...,c_k)={\mathrm{\Σ}}_{i=1}^c{J}_i={\mathrm{\Σ}}_{i=1}^c{\mathrm{\Σ}}_j^n{u}_{\mathrm{ij}}^m{d}_{\mathrm{ij}}^2;$

计算每个粒子的性能，其中c_i为模糊组i的聚类中心，d_ij为第i个聚类中心与第j个数据点间的欧几里德距离，d_ij＝||c_i-x_j||，u_ij表示隶属矩阵U的元素值，为了与引入模糊划分相适应，隶属矩阵U允许有取值在0，1间的元素。归一化规定，一个数据集的隶属度的和等于1，

$u_{\mathrm{ij}}=\frac{1}{{\mathrm{\Σ}}_{k=1}^c{\left(\frac{d_{\mathrm{ij}}}{d_{\mathrm{kj}}}\right)}^{\frac{2}{m-1}}};$

第2.3步、利用更新方程：

$X_i(t+1)=P+\mathrm{\β}*|\mathrm{mbset}-X_i\left(t\right)|*\ln \left(\frac{1}{u}\right),u=\mathrm{rand},u\∈\left(\mathrm{0,1}\right);$

更新每个粒子的平均最优位置mbset；

$\mathrm{mbset}={\mathrm{\Σ}}_{i=1}^M\frac{p_i}{M};$

设适应度函数的目标函数为f(X)，那么每个粒子i的局部最优位置如公式所示

然后设粒子群中的粒子数为s，利用如下公式更新全局最优位置P_g

P_g(t)∈{P₀(t)，P₁(t)，…，P_s(t)}；

f(P_g(t))＝max{f(p₀(t))，f(P₁(t))，…，f(P_s(t))}；

第2.4步、重新计算每个粒子的平均最优位置mbset，随机点rand，新位置X_i(t+1)；

$\mathrm{\β}=({\mathrm{\β}}_1-{\mathrm{\β}}_2)*\frac{\mathrm{Maxlter}-t}{\mathrm{Maxlter}}+{\mathrm{\β}}_2;$

第2.5步、判断是否满足终止条件(即MaxIter＝50)，如果满足则输出结果停止算法，输出聚类中心，若不满足则返回步骤B2。

第3步、对每个聚类中心所属的聚类簇中选取样本导入C-支持向量机分类器(C-SVM)进行训练；

利用Matlab软件和LibSVM工具箱对量子粒子群算法求得的每个聚类簇中的样本点构造“一对一”模式的C-支持向量机分类器(C-SVM)进行构造，其中惩罚参数C＝1024，核宽度σ＝0.25。

第4步、将测试数据导入C-支持向量机分类器(C-SVM)进行识别，输出结果；

我们将本发明所提供的方法，即QPSO+C-SVM的入侵检测准确率与C-SVM、K-means+C-SVM、FCM+SVM三种方法进行对比，结果如下：

在本文实验中我们测试对比了以下的算法：

1.C-SVM；

2.K-means+C-SVM；

3.FCM+SVM；

4.QPSO+C-SVM；

在提出的QPSO+C-SVM中，我们设定粒子数目M＝20，最大迭代次数Maxlter＝50我们利用QPSO对聚类中心进行选取。

另外，在本文实验中我们采取随机取样的方法采样，作为训练数据，其中，SAMPLE_NUM(X)表示：

NUM：第NUM次随机抽样； 

X％：抽样比例。

无聚类算法存在时：表示的是在10％KDDCup99数据集中抽取X％的数据作为训练数据，其余作为测试数据。

有聚类算法存在时：表示的是在将10％KDDCup99导入聚类算法得出聚类簇，然后在每个聚类簇中选取X％的数据作为训练数据，其余作为测试数据。实验结果如表1所示。

实验结果表明，本发明的入侵检测准确率在多数情况下优于其他三种入侵检测方法。

表1，在国际标准数据集10％KDDCup99上正确检测率的比较

测试样本	C-SVM	K-means+C-SVM	FCM-C-SVM	QPSO+C-SVM
					SAMPLE_1(10％)	0.998624	0.998684	0.999312	0.999312
SAMPLE_1(20％)	0.999089	0.999008	0.999352	0.999413
					SAMPLE_1(30％)	0.999281	0.999312	0.999514	0.999514
SAMPLE_2(10％)	0.998684	0.998745	0.999393	0.999423
					SAMPLE_2(20％)	0.999200	0.999008	0.999706	0.999666
SAMPLE_2(30％)	0.999372	0.9993262	0.999866	0.999868
					SAMPLE_3(10％)	0.998634	0.998684	0.999342	0.999423
SAMPLE_3(20％)	0.999281	0.999180	0.999706	0.999686
					SAMPLE_3(30％)	0.999221	0.999322	0.999828	0.999828

Claims (5)

1.一种智能优化规则的网络入侵检测分类方法，其特征包括以下步骤：

第1步、对国际标准数据集(10％KDDCup99)进行预处理，将预处理后的数据集分为训练集和测试集两部分；

第2步、将训练集中的训练数据输入到量子粒子群算法指导聚类中心的选取；

第3步、对每个聚类簇中的样本构造一个C-支持向量机分类器(C-SVM)，获得多个候选C-支持向量机分类器(C-SVM)；

第4步、对于测试集的每条连接数据，计算该条连接数据到各个聚类中心的距离，选择距离最近的聚类中心所对应的C-支持向量机分类器(C-SVM)对该条连接数据进行识别，输出结果。

2.根据权利要求1所述的网络入侵检测分类方法，其特征在于：第1步中数据预处理的方法是：

第1.1步、文本数值化：将原始数据集进行文本数值化处理，由10％KDDCup99数据集中的每条记录数据既有数值类型又有符号类型数据；因此，在实验中需要将符号类型数据替代为数值类型数据；

第1.2步、数值归一化：利用平均值标准差法对10％KDDCup99数据集进行数值归一化处理；

第1.3步、随机选取其中的80％为训练集，其余20％作为测试集。

3.根据权利要求1所述的网络入侵检测分类方法，其特征在于：第2步所述的利用量子粒子群算法指导聚类中心的选取由以下步骤组成：

第2.1步、.初始化粒子位置得到每个粒子的坐标X_i＝(X_i1，X_i2，…，X_in)、速度V_i＝(V_i1，V_i2，…，V_in)、个体极值P_i＝(P_i1，P_i2，…，P_in)、全局最优位置P_g＝(P_g1，P_g2，…，P_gn)；其中n代表聚类数目，X_ij代表第i个粒子所表示的第j个聚类中心的坐标；并且指定最大迭代次数MaxIter＝50；

第2.2步、根据性能函数:

计算每个粒子的性能，J_i代表聚类中心i的性能，其中c_i为模糊组i的聚类中心，共有k个聚类中心，d_ij为聚类中心i数据点j间的欧几里德距离，d_ij＝||c_i-x_j||,u_ij表示隶属度矩阵U的元素值，每个隶属度元素u_ij表示数据点j隶属于聚类中心i的程度；

第2.3步、更新每个粒子的平均最优位置mbset，更新方程为：

设适应度函数的目标函数为f(X)＝J(U，c₁，c₂，…，c_k)，那么每个粒子i的局部最优位置如公式所示

然后设粒子群中的粒子数为s，利用如下公式更新全局最优位置P_g；

P_g(t)∈{P₀(t)，P₁(t)，…，P_s(t)}；

f(P_g(t))＝max{f(P₀(t))，f(P₁(t))，…，f(P_s(t))}；

在上述公式中β为收缩扩张系数，β₁与β₂分别代表β的初始值和最终值；P_i为第i个粒子的个体极值pbset，P_g为全局最优，M为粒子的数目，MaxIter为最大的迭代次数，t是当前的迭代次数；一般取β₁＝1.2，β₂＝0.7能取得较好的收敛性；

第2.4步、重新计算每个粒子的平均最优位置mbset,随机点rand，新位置X_i(t+1)；

第2.5步、判断是否满足终止条件MaxIter＝50，如果满足则输出结果，否则返回第2.2步进行计算。

4.根据权利要求1所述的网络入侵检测分类方法，其特征在于：第3步所述对C-支持向量机分类器(C-SVM)构造过程由以下步骤组成：

第3.1步、选用C-支持向量机分类器(C-SVM)作为单个二分类器模型，令训练样本的类别标签y_i∈{-1，1}，i＝1，…，m，m为训练样本的数目，为求解两类样本的分类超平面wx+b＝0，求解优化问题：

s.t.y_i(w^Tφ(x_i)+b)≥1-ξ_i,ξ_i≥0，i＝1，…，m；

其中C为惩罚参数，ξ_i为松弛变量；

第3.2步、利用拉格朗日乘子法和KTT条件，将以上的优化问题转成对偶问题

其中λ_i为拉格朗日乘子；

第3.3步、利用序列最小优化算法(SMO)求得λ_i，i＝1，…，m，得 并且其中k∈{1，…，m}且λ_k≠0，m_k为满足条件的k的数目；

第3.4步、选择高斯核函数k(x_i，x_j)＝exp(-||x_i-x_j||²)/2σ²，其中σ为核宽度，并且令k(x_i，x_j)＝φ(x_i)^Tφ(x_j)；其中φ(x)为将x从低维空间映射到高维空间的映射函数；构造决策函数：

根据量子粒子群的聚类结果，对每个聚类簇的数据构造“一对一”模式的多分类模型。

5.根据权利要求1所示的一种基于智能规则的网络入侵检测算法，其特征在于所述的智能规则是：利用量子粒子群算法计算连接数据与各个聚类中心点的欧几里得距离，选择距离最近的聚类中心所属的多分类模型进行识别，并求分类结果的众数作为最终识别结果。