一種智能優(yōu)化規(guī)則的網(wǎng)絡入侵檢測分類方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡入侵檢測技術(shù)領(lǐng)域�����,尤其涉及一種基于智能優(yōu)化規(guī)則的網(wǎng)絡入侵 檢測分類方法�����。
【背景技術(shù)】
[0002] 入侵檢測是對網(wǎng)絡入侵的檢測�。它通過收集和分析網(wǎng)絡行為、安全日志�、審計數(shù) 據(jù)、其它網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息��,檢查網(wǎng)絡或系統(tǒng)中 是否存在違反安全策略的行為和被攻擊的跡象�。
[0003] 常用的入侵檢測方法可分為特征檢測與異常檢測兩種。特征檢測的難點是無法檢 測出未知的入侵行為��。異常檢測的難點是如何建立正常行為特征庫來避免把正常的行為當 作入侵行為����。
[0004] 近年來,研宄智能優(yōu)化技術(shù)在入侵檢測領(lǐng)域中的應用逐漸成為一個熱門課題�����。其 中��,基于無監(jiān)督學習的聚類算法雖然能發(fā)現(xiàn)未知的攻擊類型����,但對已知攻擊類型存在檢測 率低��,不能確定確切類型等問題��?���;诒O(jiān)督學習的分類算法又由于訓練樣本的選取等問題����, 經(jīng)常出現(xiàn)"過擬合"的問題,導致檢測率降低���。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明針對基于無監(jiān)督學習的入侵檢測聚類算法檢測率低��,基于監(jiān)督學習的入侵 檢測算法的選取訓練樣本困難等問題���,提供一種智能優(yōu)化規(guī)則的網(wǎng)絡入侵檢測分類方法。 通過在國際標準數(shù)據(jù)集(10%KDDCUP99實驗數(shù)據(jù)集)上測試����,對比其他入侵檢測算法的整 體檢測效果,該算法的整體檢測效果較優(yōu)于其它入侵檢測算法�。
[0006] 本發(fā)明技術(shù)方案:
[0007] -種智能優(yōu)化規(guī)則的網(wǎng)絡入侵檢測分類方法,所述方法包括以下步驟:
[0008] 第1步�����、對10% KDDCUP99數(shù)據(jù)集進行預處理��,將預處理后的數(shù)據(jù)集分為訓練集和 測試集兩部分���;
[0009] 第2步����、將訓練集中的訓練數(shù)據(jù)輸入到量子粒子群算法指導聚類中心的選?�?��;
[0010] 第3步���、對每個聚類簇中的樣本構(gòu)造一個C-支持向量機分類器(C-SVM),獲得多個 候選C-支持向量機分類器(C-SVM);
[0011] 第4步�、對于測試集的每條連接數(shù)據(jù),計算該條連接數(shù)據(jù)到各個聚類中心的距離�, 選擇距離最近的聚類中心所對應的C-支持向量機分類器(C-SVM)對該條連接數(shù)據(jù)進行識 另IJ,輸出結(jié)果��。
[0012] 第1步中所述數(shù)據(jù)預處理的方法包括以下步驟:
[0013] 第I. 1步、文本數(shù)值化:將符號類型數(shù)據(jù)變換為數(shù)值類型����。在10%KDDCup99數(shù)據(jù) 集中,protocol(協(xié)議)��、服務service���、連接狀態(tài)flag三個屬性是符號型變量���,為了滿足本 發(fā)明分類算法的數(shù)據(jù)要求,需要對這些符號類型數(shù)據(jù)進行數(shù)值化���,變換為數(shù)值類型數(shù)據(jù)����;
[0014] 第1. 2步���、數(shù)值歸一化:利用平均值標準差法對10% KDDCup99數(shù)據(jù)集進行數(shù)值歸 一化處理�,避免造成"大數(shù)吞小數(shù)"的現(xiàn)象�;
[0015] 第1.3步、將10%KDDCup99數(shù)據(jù)集隨機選取其中的80%為訓練數(shù)據(jù)集,其余20% 作為測試集�����;
[0016]第2步所述的利用量子粒子群算法進行聚類中心的選取過程包括以下步驟:
[0017]第2. 1步�����、初始化粒子位置得到每個粒子的坐標Xi= (X n�����,Xi2���,…,Xin)����、速度Vi= (Vn,Vi2�����,…���,VJ����、個體極值Pi= (Pn,Pi2���,…���,PJ、全局極值Pg= (Pgl�,Pg2,…���,Pgn)�����。其 中n代表聚類數(shù)目��,例如:XU代表第i個粒子所表示的第j個聚類中心的坐標�����。并指定最 大迭代次數(shù)MaxIter= 50 ;
[0018] 第2. 2步�����、定義粒子的性能函數(shù):
【主權(quán)項】
1. 一種智能優(yōu)化規(guī)則的網(wǎng)絡入侵檢測分類方法�,其特征包括w下步驟: 第1步、對國際標準數(shù)據(jù)集(10% K孤化p99)進行預處理�,將預處理后的數(shù)據(jù)集分為訓 練集和測試集兩部分; 第2步��、將訓練集中的訓練數(shù)據(jù)輸入到量子粒子群算法指導聚類中屯�、的選?���。? 第3步�、對每個聚類簇中的樣本構(gòu)造一個C-支持向量機分類器(C-SVM),獲得多個候選 C-支持向量機分類器(C-SVM); 第4步�����、對于測試集的每條連接數(shù)據(jù)�����,計算該條連接數(shù)據(jù)到各個聚類中屯�、的距離,選擇 距離最近的聚類中屯、所對應的C-支持向量機分類器(C-SVM)對該條連接數(shù)據(jù)進行識別�,輸 出結(jié)果。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡入侵檢測分類方法�,其特征在于:第1步中數(shù)據(jù)預處理 的方法是: 第1. 1步、文本數(shù)值化�;將原始數(shù)據(jù)集進行文本數(shù)值化處理,由10% K孤化p99數(shù)據(jù)集 中的每條記錄數(shù)據(jù)既有數(shù)值類型又有符號類型數(shù)據(jù)�����;因此����,在實驗中需要將符號類型數(shù)據(jù) 替代為數(shù)值類型數(shù)據(jù); 第1. 2步����、數(shù)值歸一化:利用平均值標準差法對10%邸D化p99數(shù)據(jù)集進行數(shù)值歸一化 處理; 第1. 3步�����、隨機選取其中的80 %為訓練集�����,其余20 %作為測試集。
3. 根據(jù)權(quán)利要求1所述的網(wǎng)絡入侵檢測分類方法�����,其特征在于:第2步所述的利用量 子粒子群算法指導聚類中屯���、的選取由W下步驟組成: 第2. 1步�、.初始化粒子位置得到每個粒子的坐標Xi=狂U���,Xi2�����,…,XJ�、速度Vi = (Vu,Vi2���,…���,VJ、個體極值 Pi= (P …Pi2�,…��,PJ���、全局最優(yōu)位置 Pg= (Pgl,Pg2��,…�����,Pgn); 其中n代表聚類數(shù)目���,Xy代表第i個粒子所表示的第j個聚類中屯�、的坐標�;并且指定最大 迭代次數(shù)Maxiter = 50 ; 第2. 2步、根據(jù)性能巧撒:
計算每個粒子的性能���,Ji代表聚類中屯���、i的性能,其中C i為模糊組i的聚類中屯����、��,共有 k個聚類中屯�、����,dy為聚類中屯、i數(shù)據(jù)點j間的歐幾里德距離��,dI I C i-xj I I�����,Uy表示隸屬 度矩陣U的元素值��,每個隸屬度元素Uu表示數(shù)據(jù)點j隸屬于聚類中屯�、i的程度;
第2. 3步�、更新每個粒子的平均最優(yōu)位置mbset�����,更新方程為:
設(shè)適應度函數(shù)的目標函數(shù)為fOO =J扣���,Ci����,C2,…���,Ck)����,那么每個粒子i的局部最優(yōu) 位置如公式所示
然后設(shè)粒子群中的粒子數(shù)為s�,利用如下公式更新全局最優(yōu)位置Pg; Pg(t) G {P〇(t),Pi(t)�����,???���,Ps(t)}; f (Pg (t)) = max {f (P〇 (t))�,f (Pi (t))�����,…��,f (Ps (t))}; 在上述公式中e為收縮擴張系數(shù)�����,01與e 2分別代表e的初始值和最終值;Pi為第 i個粒子的個體極值pbset���,Pg為全局最優(yōu)�,M為粒子的數(shù)目����,Maxiter為最大的迭代次數(shù),t 是當前的迭代次數(shù)�;一般取0 1= 1. 2, 0 2= 0. 7能取得較好的收斂性; 第2.4步���、重新計算每個粒子的平均最優(yōu)位置油36*���,隨機點腳11(1,新位置)(1(*+1);
第2. 5步���、判斷是否滿足終止條件Maxiter = 50,如果滿足則輸出結(jié)果,否則返回第 2. 2步進行計算����。
4. 根據(jù)權(quán)利要求1所述的網(wǎng)絡入侵檢測分類方法��,其特征在于:第3步所述對C-支持 向量機分類器(C-SVM)構(gòu)造過程由W下步驟組成: 第3. 1步����、選用C-支持向量機分類器(C-SVM)作為單個二分類器模型���,令訓練樣本的 類別標簽yiG = …���,m,m為訓練樣本的數(shù)目�����,為求解兩類樣本的分類超平面 wx+b = 0,求解優(yōu)化問題��;
5. t. Yi (wT<l) (Xi)+b) > 1-寫���。C 0, i = 1����,…�����,m ; 其中C為懲罰參數(shù),C i為松弛變量�; 第3. 2步、利用拉格朗日乘子法和KTT條件��,將W上的優(yōu)化問題轉(zhuǎn)成對偶問題
其中A i為拉格朗日乘子�����; 第3. 3步����、利用序列最小優(yōu)化算法(SMO)求得A 1,i = 1�����,…���,m��,得
并占
其中k G {1�,…��,m}且入k聲0, m巧滿足條件的 k的數(shù)目; 第3. 4步�����、選擇高斯核函數(shù)k(Xi����,Xj) = exp(-| Ixf-Xjl |2)/2�����。2,其中�。為核寬度,并且 令k(Xi����,Xj.) = (Hxi)T(HXj.);其中Mx)為將X從低維空間映射到高維空間的映射函數(shù); 構(gòu)造決策函數(shù):
根據(jù)量子粒子群的聚類結(jié)果�����,對每個聚類簇的數(shù)據(jù)構(gòu)造"一對一"模式的多分類模型�����。
5.根據(jù)權(quán)利要求1所示的一種基于智能規(guī)則的網(wǎng)絡入侵檢測算法,其特征在于所述 的智能規(guī)則是:利用量子粒子群算法計算連接數(shù)據(jù)與各個聚類中屯���、點的歐幾里得距離���,選 擇距離最近的聚類中屯、所屬的多分類模型進行識別���,并求分類結(jié)果的眾數(shù)作為最終識別結(jié) 果��。
【專利摘要】一種智能優(yōu)化規(guī)則的網(wǎng)絡入侵檢測分類方法����,該方法包含兩部分:量子粒子群算法和C-支持向量機分類器(C-SVM)兩部分��。本發(fā)明首先利用量子粒子群算法對網(wǎng)絡歷史數(shù)據(jù)進行聚類���,根據(jù)不同的聚類計算出智能規(guī)則�����,然后采用C-支持向量機分類器(C-SVM)分別對其進行分類�����,從而判斷出當前計算機網(wǎng)絡是否受到攻擊以及何種攻擊��。該方法將量子粒子群算法的全局搜索優(yōu)化能力強的特點進行聚類�����,并結(jié)合C-支持向量機分類器(C-SVM)���,一定程度上解決了傳統(tǒng)入侵檢測方法耗時長,檢測率低等問題����。在國際標準數(shù)據(jù)上的模擬測試結(jié)果表明,本發(fā)明提供的方法對于網(wǎng)絡入侵檢測的效果優(yōu)于其它三種入侵檢測方法��。
【IPC分類】H04L29-06
【公開號】CN104601565
【申請?zhí)枴緾N201510006087
【發(fā)明人】黃瑋, 張宏坤, 王勁松, 廖吉平
【申請人】天津理工大學
【公開日】2015年5月6日
【申請日】2015年1月7日