CN105516206A - 基于偏最小二乘的网络入侵检测方法及系统 - Google Patents

Abstract

本发明提供的基于偏最小二乘的网络入侵检测方法，包括根据偏最小二乘回归方程建立网络数据的异常检测模型；对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为；本发明利用当网络遭受来外部的入侵时，入侵数据可以视为叠加在正常网络流量上的一个非线性扰动，其扰动强度受入侵时间，入侵数据流量大小的影响，通过非线性理论，建立这种网络非线性数据的异常检测模型，通过参数拟合发现异常的数据流，利用回归分析和预测理论中的偏最小二乘方法，进行入侵行为检测，并对偏最小二乘方法的收敛条件采用了Kullback？Leibler散度作为正常和异常行为的判别依据，从而使网络中的入侵行为检测更加准确快速。

Description

基于偏最小二乘的网络入侵检测方法及系统

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于偏最小二乘的网络入侵检测方法及系统。

背景技术

互联网(internet)是网络与网络之间所串连成的庞大网络，这些网络以一组通用的协议相连，形成逻辑上的单一巨大国际网络。这种将计算机网络互相联接在一起的方法可称作“网络互联”，在这基础上发展出覆盖全世界的全球性互联网络称互联网，即是互相连接一起的网络结构。中国互联网已经形成规模，互联网应用走向多元化。互联网越来越深刻地改变着人们的学习、工作以及生活方式，甚至影响着整个社会进程。截至2011年12月底，中国网民数量突破5亿，达到5.13亿。

随着宽带的发展，以及全球化程度的不断加深，中国互联网的业务应用同国际主流的业务应用发展基本一致，各种基于互联网的技术广泛地应用各个行业，带来生产力的极大提高，通过互联网能够相互交流，相互沟通，相互参与的互动平台。因此互联网安全问题，也成为了重中之重，网络安全问题存在已久，往往让人防不胜防，一旦发生，常常措手不及，造成极大的损失。因此人们在享受网络带来的便利高效的同时，也要留意各种潜在的威胁危害着网络通信的安全。由于网络设计之初，主要关注数据传输的高效和通信的便捷，对网络协议的安全性考虑比较少。很多网络协议都缺乏安全的通信机制，因此基于这些网络协议的互联网络自然存在大量的安全漏洞。虽然随着电子商务、电子政务这些对安全性要求颇高的业务的开展，也出现各种基于网络的安全通信协议，但这协议都是基于TCP/IP架构的，而这种架构从基础的通信层次来看是一种不安全的开放体系。而且现有的攻击手段和技术也随着安全技术的提升而不断的发展，因此在无法避免各种网络威胁的情况下，及时正确地检测出安全威胁并采取恰当的处理方式以减少网络攻击造成的损失是目前从事网络安全研究的一个热点，针对目前的网络安全形势，迫切需求一种新的网络检测方法。

发明内容

有鉴于此，本发明提供一种基于偏最小二乘的网络入侵检测方法及系统。

本发明提供的基于偏最小二乘的网络入侵检测方法，包括

b.根据偏最小二乘回归方程建立网络数据的异常检测模型；

c.对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为。

进一步，所述步骤b具体包括：

从变量X’中选取表示原数据信息的综合变量作为主要特征信息F，

将网络协议数据包的各个字段作为自变量，检测结果作为因变量，并采用偏最小二乘方法进行回归分析，获取协议字段变量与检测结果的回归系数。

进一步，利用Kullback-Leibler散度表示偏最小二乘的残差，并通过迭代计算缩小自变量集与抽取特征向量之间的差异，当达到预设的阈值时，自变量集近似拟合了因变量，拟合系数即为回归系数。

进一步，所述偏最小二乘回归方程为：

${\hat{y}}^{*}={\mathrm{\α}}_1{x}_1^{*}{\mathrm{\α}}_2{x}_2^{*}+...+{\mathrm{\α}}_j{x}_j^{*}$

其中，为预测值，a₁。。。a_j为的回归系数；

回归系数越大，表示入侵行为的特征向量越明显，通过比较预设阈值与预测值，进行二元判别。

进一步，定义两个概率分布函数p(x)和q(x)的KullbackLeibler散度如下：

$D\left(p\right|\left|q\right)={\mathrm{\Σ}}_{x\∈X}p\left(x\right){\log }_2\frac{p\left(x\right)}{q\left(x\right)}$

其中，X表示所有可能事件的集合，p(x)和q(x)表示概率密度函数，分别对应自变量子集和因变量子集，D表示p(x)和q(x)的kullbackLeibler散度。

进一步，所述残差表示为

$E_{i+1}=D\left(E_i\right|\left|t_{i+1}{p}_{i+1}^T\right)={\mathrm{\Σ}}_{x\∈X}{E}_i{\log }_2\frac{\left|\right|E_i|{|}_F}{\left|\right|t_{i+1}{p}_{i+1}^T|{|}_F}$

$F_{i+1}=D\left(F_i\right|\left|t_{i+1}{r}_{i+1}\right)={\mathrm{\Σ}}_{x\∈X}{F}_i{\log }_2\frac{\left|\right|F_i|{|}_F}{\left|\right|t_{i+1}{r}_{i+1}|{|}_F}$

其中，i为样本数据的数目，t1＝E₀×w₁,||w₁||＝1，t₁表示因变量的标准变化量抽取的成分，D表示kullbackLeibler散度

通过最终偏最小二乘回归方程获取回归系数：

${\mathrm{\α}}_j=\underset{n=1}{\overset{m}{\Σ}}{r}_h{w}_{hj}^{*}=\frac{F_{h-1}^T{t}_h}{\left|\right|t_h|{|}_F}{W}_{hj}^{*}$

其中a_j是回归系数，是的第j个分量，

进一步，在步骤b之前还包括

a.对原始数据集进行预处理，所述预处理包括将每个非数值属性转化为数值，并做归一化处理。

进一步，对异常入侵的访问行为进行阻断并报警。

本发明还提供一种基于偏最小二乘的网络入侵检测系统，包括

数据捕获模块，用于获取各种类型协议数据包；

异常检测模块，用于根据偏最小二乘回归方程建立网络数据的异常检测模型，对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为。

进一步，还包括

预处理模块，用于对原始数据集进行预处理，所述预处理包括将每个非数值属性转化为数值，并做归一化处理；

报警模块，用于对异常入侵的访问行为进行报警输出；

主动阻断模块，用于根据检测模型的检测结果执行阻塞或丢弃操作。

本发明的有益效果：本发明利用当网络遭受来外部的入侵时，入侵数据可以视为叠加在正常网络流量上的一个非线性扰动，其扰动强度受入侵时间，入侵数据流量大小的影响，通过非线性理论和模型，建立这种网络非线性数据的模型，通过参数拟合发现异常的数据流，利用回归分析和预测理论中的偏最小二乘方法，进行入侵行为检测，并对偏最小二乘方法的收敛条件采用了KullbackLeibler散度作为正常和异常行为的判别依据，从而使网络中的入侵行为检测更加准确快速。

附图说明

下面结合附图和实施例对本发明作进一步描述：

图1是本发明的原理示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步描述：图1是本发明的原理示意图。

如图1所示，本实施例中的基于偏最小二乘的网络入侵检测方法，包括

a.对原始数据集进行预处理，所述预处理包括将每个非数值属性转化为数值，并做归一化处理。

b.根据偏最小二乘回归方程建立网络数据的异常检测模型；

c.对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为。

在本实施例中，当网络遭受来外部的入侵时，入侵数据可以视为叠加在正常网络流量上的一个非线性扰动，其扰动强度受入侵时间，入侵数据流量大小影响，利用非线性理论和模型，建立异常检测模型，通过参数拟合发现异常的数据流。本实施例在网络入侵检测中，引入了一种非线性回归方法—偏最小二乘，来预测网络行为。

本实施例中的步骤b具体包括：从变量X’中选取表示原数据信息的综合变量作为主要特征信息F，将网络协议数据包的各个字段作为自变量，检测结果作为因变量，并采用偏最小二乘方法进行回归分析，获取协议字段变量与检测结果的回归系数。

在本实施例中，在偏最小二乘的残差计算中，采用了Kullback-Leibler(简称KL)散度作为迭代计算标准，提升了检测速度和精度，本实施例利用Kullback-Leibler散度表示偏最小二乘的残差，并通过迭代计算缩小自变量集与抽取特征向量之间的差异。

在本实施例中，基于偏最小二乘法的入侵检测的步骤主要包括：

(1)对数据集进行预处理。

由于压缩感知理论是直接对向量数据进行采样，因此训练数据和测试数据应该以向量的形式表示，通过数据捕获器，获取各种类型协议数据包，得到每种协议的连接记录，该记录包含协议的字段值。通过这种方式构成了每条记录构成一个向量。压缩感知理论要求数据以数值向量的形式表示。因此，每个非数值属性必须转化为数值，本实施例采用简单地用数值直接替换类别属性。通常采集到数据集中的数据有多维特征，其包含的数据类型分为连续型和离散型两大类。对于连续型数据进行，映射到一个区间，进行离散化处理；对于离散数据如果是字符类的则进行直接字符与数值的替换。

在进行数据集的数值化转换之后，对数据尺度进行约减。通过数据尺度约减可以避免较大值的属性掩盖掉较小值属性，同时也减少了数值计算的工作量。在本实施例中，通过除以该属性最大值都被线性约减到[0,1]之间。为了消除特征量纲对结果的影响，连续型数据需要规范化。规范化采用下述公式，

S＝{s_ij|i＝1,...,N,j＝1,...D}

S为输入数据，N为样本数据的数目，D为样本数据的特征位数，μ为均值，σ为样本的标准差。

因此，对样本数据归一化表达式为：

$S_{ij}^{\′}=\frac{S_{ij}-\mathrm{\μ}}{\mathrm{\σ}}$

其中， $\mathrm{\μ}=\frac{1}{N}\underset{i=1}{\overset{N}{\Σ}}{S}_{ij},\mathrm{\σ}=\sqrt{\frac{1}{N}\underset{i=1}{\overset{N}{\Σ}}{(X_{ij}-\mathrm{\μ})}^2}.$

(2)建立自变量、因变量与训练数据集的映射。

在通常的多元线性回归模型中，因变量Y＝{y₁，y₂，...，y_q}和自变量X＝{x₁，x₂，...，x_q}满足高斯-马尔科夫假设条件时，利用最小二乘法的原理，有是Y的线性最小方差无偏估计。当变量X’中存在多重相关时，或者样本点数量与X’中变量数相比明显较少时，最小二乘通常会失效，因此采用偏最小二乘法进行自变量与因变量的拟合。本实施例中，将数据集中的属性变量作为自变量，将分类结果作为因变量。

(3)建立偏最小二乘回归方程

偏最小二乘回归分析采用了成分提取的方法，从变量X’中找到最能表示原数据信息的综合变量作为主要特征信息F。而提取的这些特征信息依据就是其包含的原始变异信息最大。即Var(F)→max。利用偏最小二乘方法进行入侵检测，就把网络协议数据包的各个字段作为自变量，检测结果作为因变量。由于网络协议字段变量本身具有较高多重相关性，因此采用偏最小二乘方法进行回归分析，求出协议字段变量与检测结果的回归系数，就可以建立起相应的相关性。

F₀(F₀∈Rⁿ)是因变量y的标准变化量，E₀是自变量集合X的标准化矩阵。根据偏最小二乘回归的原理。首先从F₀中抽取1个成分u₁，u₁＝F₀×c₁，||c₁||＝1；从中抽取1个成分t₁,t₁＝E0×w₁,||w₁||＝1,由于c₁是标量，故c₁＝1,即有u₁＝F₀。对于偏最小二乘的求解，是使得t₁与u₁的协方差达到最大，即

$Cov(t_1,u_1)=\sqrt{Var\left(t_1\right)Var\left(u_1\right)}r(t_1,u_1)\→max---\left(1\right)$

通过迭代计算，可以得到

$\begin{array}{cc}{E}_i=t_{i+1}{p}_{i+1}^T+E_{i+1}& F_i=t_{i+1}{r}_{i+1}+F_{i+1}---\left(2\right)\end{array}$

式中偏p,r是回归系数,其中

$\begin{array}{cc}{p}_{i+1}=\frac{E_i^T{t}_{i+1}}{\left|\right|t_{i+1}|{|}^2}& r_{i+1}=\frac{F_i^r{t}_{i+1}}{\left|\right|t_{i+1}|{|}^2}\end{array}---\left(3\right)$

记残差矩阵

$E_{i+1}=E_i-t_{i+1}{p}_{i+1}^T=(E_{11}{E}_{12},\mathrm{...},E_{1p})---\left(4\right)$

F_i+1＝F_i-t_i+1r_i+1(5)

最终可以得到F₀关于t_h的回归模型为

$F_0={\mathrm{\Σ}}_{i=1}^m{r}_i{t}_i+F_m---\left(6\right)$

由于t_h均为E₀的线性组合，则可以计算出

$t_h=E_{h-1}{w}_h=E_0{\Π}_{j=1}^{h-1}(I-w_j{p}_j^T)w_h=E_0{w}_h^{*},$ 其中 $w_h^{*}={\Π}_{j=1}^{h-1}(I-w_j{p}_j^T)w_h---\left(7\right)$

进一步有

$F_0={\mathrm{\Σ}}_{i=1}^m{r}_i{E}_{i-1}{w}_h^{*}+F_m---\left(8\right)$

若记则有其中是的第j个分量。最后回归方程表示为：

${\hat{y}}^{*}={\mathrm{\α}}_1{x}_1^{*}+{\mathrm{\α}}_2{x}_2^{*}+...+a_p{x}_p^{*}---\left(9\right)$

的回归系数为这里回归系数即为检测模型的参数。根据偏最小二乘回归的计算过程，参数变量x_j在构造特征成分t_h时的贡献越大(越大)，t_h在解释检测结果y时的作用越大(及r_h越大)，则x_j在最终偏最小二乘回归模型中的回归系数越大，其对检测结果影响力就越大。

通过本实施例中的从偏最小二乘对回归系数的求解过程，本实施例中的方法在模型自变量相关性较高时具有较好的回归能力，且不需要太多的样本个数，特别适用于那些数据获取难度较大，不完整的情况。但是在网络入侵检测中，协议字段对应的变量集之间的相关性不完全服从高斯-马尔科夫的假定，仅用标准的最小二乘方法会导致回归参数的偏离，导致检测准确度的降低，本实施例采用了Kullback-Leibler散度来表示残差，利用Kullback-Leibler散度来度量两个矩阵之间的差异，加强对偏最小二乘变量回归求解的约束，确保回归参数的准确性，提高检测精度。

在偏最小二乘中引入KullbackLeibler散度是为了自变量集X与抽取特征向量间差异程度，并通过迭代计算，逐步缩小二者之间差异，当达到恰当阈值时，认为自变量集近似拟合了因变量，而拟合系数就是我们需要求解的模型参数。该阈值通过多次调整选取最佳值，通过先设定一初始值，完成偏最小二乘计算后，确定回归系数，再进行验证，然后通过参数调整，最终确定最佳阈值。定义两个概率分布函数p(x)和q(x)的KullbackLeibler散度如下：

$D\left(p\right|\left|q\right)={\mathrm{\Σ}}_{x\∈X}p\left(x\right){\log }_2\frac{p\left(x\right)}{q\left(x\right)}---\left(10\right)$

其中，X表示所有可能事件的集合，D表示p(x)和q(x)的kullbackLeibler散度，p(x)和q(x)表示概率密度函数，分别对应自变量子集和因变量子集。KullbackLeibler散度不满足三角不等式条件，即D(p||q)≠D(q||p),且值大于等于0，当为0是，则认为两个个集合所含信息完全相同。进行偏最小二乘的计算时，为了提高拟合精度，同时加快计算过程的收敛，利用kullbackLeibler对计算中间过程中的自变量子集和因变量子集计算残差，残差最小则认为运算收敛。

为了论证和分析KullbackLeibler散度对于偏最小二乘的回归参数的求解过程，根据(4)(5)式可以知，残差矩阵是自变量减去抽取的成分与回归系数的乘积，引入KullbackLeibler散度后，残差表示为：

$E_{i+1}=D\left(E_i\right|\left|t_{i+1}{p}_{i+1}^T\right)={\mathrm{\Σ}}_{x\∈X}{E}_i{\log }_2\frac{\left|\right|E_i|{|}_F}{\left|\right|t_{i+1}{p}_{i+1}^T|{|}_F}---\left(11\right)$

$E_{i+1}=D\left(F_i\right|\left|t_{i+1}{r}_{i+1}\right)={\mathrm{\Σ}}_{x\∈X}{F}_i{\log }_2\frac{\left|\right|F_i|{|}_F}{\left|\right|t_{i+1}{r}_{i+1}|{|}_F}---\left(12\right)$

且成分分量w_i+1为

$w_{i+1}=\frac{E_i^T\left(t_{i+1}{p}_{i+1}^T\right)}{\left|\right|E_i^T\left(t_{i+1}{p}_{i+1}^T\right)|{|}_F}=\frac{1}{{\mathrm{\Σ}}_{j=1}^p{\mathrm{Cov}}^2(E_{ij},{\left(t_{i+1}{p}_{i+1}^T\right)}_i)}\left(\begin{array}{c}Cov\left(E_{i1,}{\left(t_{i+1}{p}_{i+1}^T\right)}_i\right)\\ Cov\left(E_{i2,}{\left(t_{i+1}{p}_{i+1}^T\right)}_i\right)\\ .\\ .\\ .\\ Cov\left(E_{ip,}{\left(t_{i+1}{p}_{i+1}^T\right)}_i\right)\end{array}\right)---\left(13\right)$

其中t_i+1＝E_iw_i+1,而最终可以得到回归系数

${\mathrm{\α}}_j={\mathrm{\Σ}}_{h=1}^m{r}_h{w}_{hj}^{*}=\frac{F_{h-1}^T{t}_h}{\left|\right|t_h|{|}_F}{W}_{hj}^{*}---\left(14\right)$

是的第j个分量。在入侵检测中，该偏最小二乘的回归系数越大，意味着入侵行为的特征向量越明显，对于异常检测所起的决定性作用越大。

根据(9)式和(14)式，得到基于偏最小二乘回归检测方程为：

$\hat{y}*={\mathrm{\α}}_1{x}_1^{*}+{\mathrm{\α}}_2{x}_2^{*}+...+{\mathrm{\α}}_j{x}_j^{*}---\left(9\right)$

通过设定阈值来对预测值进行二元判别，大于阈值为异常访问(入侵行为)，小于阈值为正常访问。

(4)验证回归模型并进行参数调整

利用训练数据集建立了偏最小二乘的回归模型后，需要对该模型的回归方程进行验证。验证的目的在于训练集的数据本身能很好地拟合方程。通过验证数据集进行重新计算回归方程的参数，并对参数进调整，使之更精确地符合分类要求。参数调整主要从以下两个方面进行。

1.当验证的结果表明漏报率低，误报率高时，适当增加KL散度的度量值，即在(13)式求解w_i+1时，其值增加，因此方程系数增大，使模型分类性能偏向于降低检测失误比例。

2当验证的结果表明误报率低、漏报率高时，适当减少KL散度的度量值，即在(13)式求解w_i+1时，其值减小，因此方程系数减小，使模型分类性能偏向于降低漏检比例。

(5)利用精准参数的偏最小乘模型进行检测

在完成了参数调整后，把从网络中获取的数据经过预处理后，直接输入模型中进行计算，求出检测结果变量y的值，然后通过阈值判断其正常和异常。

相应地，本实施例还提供了一种基于偏最小二乘的网络入侵检测系统，包括

异常检测模块，用于根据偏最小二乘回归方程建立网络数据的异常检测模型，对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为；

预处理模块，用于对原始数据集进行预处理，所述预处理包括将每个非数值属性转化为数值，并做归一化处理；

报警模块，用于对异常入侵的访问行为进行报警输出；

主动阻断模块，用于根据检测模型的检测结果执行阻塞或丢弃操作。

在本实施例中，通过仿真实现对检测方法进行验证，引入了如下检测性能指标：

检测率(DetectionRate)：测试集中已检测出的正确的攻击数据的个数与实际总的攻击数据个数的比值，即公式

$DR=\frac{thenumberofattacks\det ected}{thenumberofattacks}\%$

误报率(FalsePositiveRate)：测试集经算法检测后，被误认为是攻击数据的个数与检测出的攻击数据总数的比值，即公式

$FPR=\frac{thenumberoffalsepositive}{falsepositive+truepositive}\%$

表1为基于KL散度的偏最小二乘法与其他几种算法在对于KDDCUP99数据的检测效果。随机划分了七个数据子集，然后分别测试了训练时间和检测时间。从表中可以看出本方法在训练时间和检测时间上都低于其他方法，这是因为采用了偏最小二乘的回归方式，使得模型建立速度快，拟合速度快，因此检测时间短。

表1训练和检测的时间

表2为本实施例中的方法与其他方法的检测率和误报率。可以看出本方法对probe和DoS攻击检测率略低，其他检测效果都明显优于其他方法。

表2入侵检测检测结果

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种基于偏最小二乘的网络入侵检测方法，其特征在于：包括

b.根据偏最小二乘回归方程建立网络数据的异常检测模型；

c.对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为。

2.根据权利要求1所述的基于偏最小二乘的网络入侵检测方法，其特征在于：所述步骤b具体包括：

从变量X’中选取表示原数据信息的综合变量作为主要特征信息F，

将网络协议数据包的各个字段作为自变量，检测结果作为因变量，并采用偏最小二乘方法进行回归分析，获取协议字段变量与检测结果的回归系数。

3.根据权利要求2所述的基于偏最小二乘的网络入侵检测方法，其特征在于：利用Kullback-Leibler散度表示偏最小二乘的残差，并通过迭代计算缩小自变量集与抽取特征向量之间的差异，当达到预设的阈值时，自变量集近似拟合了因变量，拟合系数即为回归系数。

4.根据权利要求3所述的基于偏最小二乘的网络入侵检测方法，其特征在于：所述偏最小二乘回归方程为：

${\hat{y}}^{*}={\mathrm{\α}}_1{x}_1^{*}+{\mathrm{\α}}_2{x}_2^{*}+...+{\mathrm{\α}}_j{x}_j^{*}$

其中，为预测值，a₁。。。a_j为的回归系数；

回归系数越大，表示入侵行为的特征向量越明显，通过比较预设的阈值与预测值，进行二元判别。

5.根据权利要求3所述的基于偏最小二乘的网络入侵检测方法，其特征在于：定义两个概率分布函数p(x)和q(x)的KullbackLeibler散度如下：

$D\left(p\right|\left|q\right)={\Σ}_{x\∈X}p\left(x\right){\log }_2\frac{p\left(x\right)}{q\left(x\right)}$

其中，X表示所以可能事件的集合，p(x)和q(x)表示概率密度函数，分别对应自变量子集和因变量子集，D表示p(x)和q(x)的kullbackLeibler散度。

6.根据权利要求5所述的基于偏最小二乘的网络入侵检测方法，其特征在于：所述残差表示为

$E_{i+1}=D\left(E_i\right|\left|t_{i+1}{p}_{i+1}^T\right)={\Σ}_{x\∈X}{E}_i{\log }_2\frac{\left|\right|E_i|{|}_F}{\left|\right|t_{i+1}{p}_{i+1}^T|{|}_F}$

$F_{i+1}=D\left(F_i\right|\left|t_{i+1}{r}_{i+1}\right)={\Σ}_{x\∈X}{F}_i{\log }_2\frac{\left|\right|F_i|{|}_F}{\left|\right|t_{i+1}{r}_{i+1}|{|}_F}$

其中，i为样本数据的数目，t1＝E₀×w₁,||w₁||＝1，t₁表示因变量的标准变化量抽取的成分，D表示kullbackLeibler散度

通过最终偏最小二乘回归方程获取回归系数：

${\mathrm{\α}}_j=\underset{n=1}{\overset{m}{\Σ}}{r}_h{w}_{hj}^{*}=\frac{F_{h-1}^r{t}_h}{\left|\right|t_h|{|}_F}{w}_{hj}^{*}$

其中a_j是回归系数，是的第j个分量，t_i+1＝E_iw_i+1， $r_{i+1}=\frac{F_i^T{t}_{i+1}}{\left|\right|t_{i+1}|{|}^2}.$

7.根据权利要求1所述的基于偏最小二乘的网络入侵检测方法，其特征在于：在步骤b之前还包括

a.对原始数据集进行预处理，所述预处理包括将每个非数值属性转化为数值，并做归一化处理。

8.根据权利要求1-7任一所述的基于偏最小二乘的网络入侵检测方法，其特征在于：对异常入侵的访问行为进行阻断并报警。

9.一种基于偏最小二乘的网络入侵检测系统，其特征在于：包括

数据捕获模块，用于获取各种类型协议数据包；

异常检测模块，用于根据偏最小二乘回归方程建立网络数据的异常检测模型，对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为。

10.根据权利要求9所述的基于偏最小二乘的网络入侵检测系统，其特征在于：还包括

预处理模块，用于对原始数据集进行预处理，所述预处理包括将每个非数值属性转化为数值，并做归一化处理；

报警模块，用于对异常入侵的访问行为进行报警输出；

主动阻断模块，用于根据检测模型的检测结果执行阻塞或丢弃操作。