1.一种基于学习规则集的网络入侵检测方法，其特征在于该方法包括以下步骤：第1步、将选自国际标准数据集KDDCup99的网络连接数据分成训练集和测试集数据，然后对训练集和测试集中的每个数据项进行预先处理，以特化网络连接数据中的每个数据项；

第2步、采用改进的FOIL算法即学习规则集算法，去除训练集数据中冗余的属性数据项，对剩余的各属性数据项进行训练，提取分类规则，将得到的分类规则存储到分类规则库中；具体方法是：

第2.1步、将预处理后的训练集数据根据网络连接类型的不同分成正例和负例两大类并统计正例集合中的属性数据项；统计训练集中的所有网络连接类型，将其中连接类型相同的一种网络连接数据归为正例，所有其他的连接类型的数据归为负例，将正例集合中的不同属性数据项添加到正例属性数据项集合Vset中，将分类规则r前件置为空；

第2.2步、计算正例属性数据项集合Vset中每个属性数据项v的增益，去除不符合限制条件的冗余的属性数据项，将符合限制条件的增益最大的属性数据项添加到分类规则r前件中得到新的分类规则r'；属性数据项v的增益计算公式如下：当分类规则r的前件为空时，公式中P和N分别代表正例集合和负例集合中样例的数量，* *

P和N分别代表将属性数据项v添加到分类规则r的前件后新的分类规则r'在正例集合和负例集合中覆盖的样例的数量；此时，计算和比较所有属性数据项的增益，将增益最大的属性数据项添加到分类规则r的前件中；

当分类规则r的前件非空时，公式中P和N分别代表分类规则r在正例集合和负例集合中* *

覆盖的样例的数量，P 和N则分别代表将属性数据项v添加到分类规则r的前件后新的分类规则r'在正例集合和负例集合中覆盖的样例的数量；此时，欲将增益最大的属性数据项添加到分类规则r的前件中需要满足如下限制条件：增益最大的属性数据项添加到分类规则r*

前件后得到新的分类规则r'将覆盖负例集合中更少的样例，即N＜N；如果增益最大的属性数据项在添加到分类规则r前件后得到新的分类规则r'覆盖负例集合的样例没有变化，并且增益最大的属性数据项与分类规则r前件中的某一项属性值相同则认为该数据项是冗余的，可以将该数据项从正例属性数据项集合Vset中删除，然后在剩余的属性数据项中查找增益最大的属性数据项按照上述要求添加到分类规则r的前件中以特化分类规则；

第2.3步、保存第2.2步中的分类规则r'，删除负例集合中所有没有被分类规则r'覆盖的样例；遍历负例集合中的所有样例，将负例集合中所有不包含分类规则r'前件的样例删除；如果负例集合中所有样例均被删除，则分类规则r'可以作为一条分类规则，分类规则r'的后件即为正例中的网络连接类型；如果负例集合中还有样例未被删除，则应该统计包含分类规则r'前件的正例中其他的属性数据项，然后返回第2.2步中，将符合要求的增益最大的属性数据项添加到分类规则r'前件中得到新的分类规则R，再继续删除负例集合中所有未被新分类规则R的前件覆盖的样例，重复以上过程直到负例集合中的所有样例均被删除；

第2.4步、保存第2.3步中得到的分类规则R或r'，删除正例集合中所有被分类规则R或r'前件覆盖的样例；遍历正例集合中的所有样例，逐个比较样例中是否包含有分类规则R或r'前件，将所有包含分类规则R或r'前件的样例删除；如果正例集合中所有的样例均被删除则该类型的所有分类规则提取完毕；如果正例集合中有样例剩余，则统计剩余样例中的所有属性数据项，返回第2.2步重复之前的所有步骤，直到正例集合中所有的样例均被删除，该类型的分类规则提取完毕；每条删除正例的分类规则均可以作为该类型的网络连接的分类规则，这些分类规则的后件即为该类型样例的网络连接类型，分类规则存储到分类规则库中；

第2.5步、返回到第2.1步，进行第二类样例分类规则的提取，直到所有类型样例的分类规则都找到，由训练集提取分类规则的过程结束；

第3步、测试集中的网络连接数据逐条地匹配分类规则库中分类规则，根据匹配的不同分类规则在训练集中覆盖样例的情况分别计算每条分类规则的平均准确度，按照分类规则中不同连接类型分别累计分类规则的平均准确度；

第4步、保存第3步中不同连接类型的准确度，找出准确度最大的连接类型即为这条网络连接测试数据的分类结果，即为最终检测结果；测试集中的数据在分类获得结果后，将正确分类的测试集数据连同检测结果添加到训练集数据中，作为后续提取分类规则的训练集数据源，从而使得分类规则能够动态更新，以适应不同网络连接的变化。

2.根据权利要求1所述的基于学习规则集的网络入侵检测方法，其特征在于：第1步所述对数据集预先处理的方法是：

第1.1步、采用交叉验证的方法将选自KDDCup99数据集中60％的网络连接数据作为训练集，剩余的40％的网络连接数据作为测试集；

第1.2步、为每条网络连接数据中的每个数据项添加序列参数，特化网络连接数据中的每个数据项，增强数据的区分度，保证每个数据项的具体含义。

3.根据权利要求1所述的基于学习规则集的网络入侵检测方法，其特征在于：第3步所述的计算匹配的不同分类规则的平均准确度的方法是：第3.1步、读取测试集数据，将测试集中的每条网络连接数据与分类规则库中的每条分类规则比对，记录匹配到的分类规则；KDDCup99数据集中每条网络连接数据有很多个数据项，第2步中提取到众多的分类规则的前件中可能包含有若干属性数据项，测试集中的每条未知类型的网络连接数据按照提取到的分类规则分类时，可能会匹配到多条分类规则，记录所有匹配的分类规则：

第3.2步、对于匹配的m条分类规则，如果这些分类规则的后件均相同，则该未知类型的网络连接数据即为这些分类规则后件中的连接类型；如果匹配的分类规则后件不相同，则分别计算这些分类规则的平均准确度，分类规则Ri的平均准确度按以下公式计算：其中,k是训练集中不同网络连接数据连接类型的数量，n是训练集中所有包含分类规则Ri前件的样例的数量，e是在训练集中连接类型为分类规则Ri后件的样例中含有分类规则Ri前件的样例数量；在得到每条匹配的分类规则平均准确度后，将这些平均准确度按照连接类型分别累加，得到这条网络连接测试数据对应的连接类型ti的准确度：它表示在m条匹配分类规则中的s条分类规则后件连接类型为ti的准确度Accuracy(ti)。

4.根据权利要求1所述的基于学习规则集的网络入侵检测方法，其特征在于：第4步所述的，由匹配分类规则的不同连接类型的准确度得到分类结果和向训练集中添加分类后的测试数据方法是：

第4.1步、保存第3步中计算得到的不同网络连接类型的准确度，比较得到准确度最大的连接类型即为该网络连接测试数据的最终分类结果；

第4.2步、为保证该方法自学习特性和分类规则的动态更新，考虑到实际网络状况动态变化的特性，一次训练所得分类规则可能无法适应时时变化的网络数据，在本方法中将分类后的测试数据连同对应的分类结果一起加入到训练集再次训练，产生新分类规则并更新分类规则库。