CN107154923A - 一种基于多层极速学习机的网络入侵检测方法 - Google Patents

一种基于多层极速学习机的网络入侵检测方法 Download PDF

Info

Publication number
CN107154923A
CN107154923A CN201610124936.4A CN201610124936A CN107154923A CN 107154923 A CN107154923 A CN 107154923A CN 201610124936 A CN201610124936 A CN 201610124936A CN 107154923 A CN107154923 A CN 107154923A
Authority
CN
China
Prior art keywords
multilayer
elm
intrusion detection
learning machine
fast learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610124936.4A
Other languages
English (en)
Inventor
丁世飞
其他发明人请求不公开姓名
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China University of Mining and Technology CUMT
Original Assignee
China University of Mining and Technology CUMT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China University of Mining and Technology CUMT filed Critical China University of Mining and Technology CUMT
Priority to CN201610124936.4A priority Critical patent/CN107154923A/zh
Publication of CN107154923A publication Critical patent/CN107154923A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Burglar Alarm Systems (AREA)
  • Image Analysis (AREA)

Abstract

本发明是一种基于多层极速学习机(ML‑ELM)的入侵检测方法,主要针对神经网络在入侵检测应用存在的维度高、数据大、获取标记样本难、特征难构造、训练难等问题,提出的一种高速、高精确度的入侵检测方法。它采用多层网络结构和深度学习方法抽取检测样本最高层次的抽象特征;再利用极速学习机(ELM)建立入侵检测数据的分类模型。该方法集成深度学习和无监督学习的优点,能对高维度,大数据的网络记录用较少的参数得到更好的表达,在检测速度及特征表达两个方面都具有优势。

Description

一种基于多层极速学习机的网络入侵检测方法
技术领域
本发明是针对神经网络在入侵检测应用存在的维度高、数据大、获取标记样本难、特征难构造、训练难等问题,提出的一种基于多层极速学习机(ML-ELM)的入侵检测方法。它采用多层网络结构和深度学习方法抽取检测样本最高层次的抽象特征;利用极速学习机(ELM)建立入侵检测数据的分类模型。该方法集成深度学习和无监督学习的优点,能对高维度,大数据的网络记录用较少的参数得到更好的表达,在检测速度及特征表达两个方面都具有优势。
背景技术
随着网络与信息技术日新月异的发展,网络安全直接关系到国家安全和社会稳定。基于网络安全的迫切需要和现有入侵检测系统的弊端,入侵检测技术的发展与革新势在必行。
现有的入侵检测主要分为以下几种:现如今最常见的入侵检测方法就是模式匹配、统计协议分析、机器学习以及级联入侵检测等。这些方法在原有的基础上有了一定幅度的改善但是仍存在一些缺点。比如时间序列分析模型的入侵检测方法,虽然统计分析模型可以智能地找出用户操作行为的规律,但用户的行为是非常复杂的,如何选择一个合适的特征量进行监测是很难有一个通用的准则。又比如用模糊逻辑分类器与遗传算法相结合应用于入侵检测,虽然可以达到较高的正确率,但存在模糊描述语义不容易被理解,遗传算法对处理高维大规模数据有很大的局限性等问题。还有一种应用广泛的是基于进化计算的入侵检测。比如基于粒子群优化算法的特征选择,特征选择和不选择代码0和1,但光是KDD(Knowledge Discovery in Database)数据集有41个属性,如果所有的特征用它编码,计算量太大,很容易造成信息冗余。还有一种综合多种分类器的级联入侵检测系统。这种系统集成多种分类器的优点,但是会造成时间与成本的增加并且并不一定适用于所有的攻击类型。
每种方法各有它的优缺点。其中,神经网络因具有很好的智能性,被广泛应用到入侵检测中。但神经网络在入侵检测中的应用存在几个问题:
1)随着网络用户的激增,海量的网络记录无疑给入侵检测加上了大数据的标签。对于传统的入侵检测系统而言,则需要添加大量的训练样本以应对复杂多变的攻击,而这样大规模的样本数据会造成训练时间和样本储存空间的急剧增长,给训练增加难度。
2)神经网络因其结构与训练方法的限制,收敛速率低,训练时间过长。
3)在实际的入侵检测中,攻击特征之间常呈现高维度的特点
4)在现实网络环境中,大部分数据是不包含标签属性的,标签的获取需要大量的人力物力。
发明内容
针对以上问题,提出一种基于深度多层极限学习机(Multiple Layer ExtremeLearning Machine,ML-ELM)算法应用于入侵检测。该方法能同时有效地解决当今入侵检测中维度高、数据大、获取标记样本难、构造特征难、训练难等问题。
本发明一种基于多层极速学习机在网络入侵检测中的应用方法,主要包括以下步骤:
步骤1:实验数据的预处理
步骤2:构建多层极速学习机(ML-ELM)算法模型
步骤3:通过奇异值去表达输入数据的特征
由β=(I/C+HTH)-1HTY,奇异值分解为
则可以得到:
其中:u是HHT的特征向量,d是H的奇异值,是与输入数据X相关的奇异值分解得到。
步骤4:用大量未标记样本进行训练,得到各隐层的权值输出矩阵
步骤5:利用各隐层的权值输出矩阵进行测试
步骤6:采用常用数据集KDD99与常用的入侵检测方法,比如SVM+KPCA、DBN、DBM,进行仿真对比
本发明具有如下优点及效果:
(1)本方法使用基于多层的网络结构能够有效解决检测中维度高、数据大的难题。
(2)本方法使用极速学习机方法检测速度快,能够满足入侵检测实时检测的要求。
附图说明
附图1为本发明一种基于多层极速学习机在入侵检测算法的基础极速学习机的结构模型。
附图2为本发明一种基于多层极速学习机的结构模型。
附图3为本发明一种基于多层极速学习机的入侵检测方法流程。
附图4为基于多层极速学习机的入侵检测算法在不同隐层数目下精确度的表现
附图5为本发明检测方法与传统基于ELM、DBN、SVM算法的入侵检测模型在测试正确率、测试漏报率和训练时间的比较。
具体实施方式
本发明一种基于多层极速学习机在网络入侵检测中的应用方法的实施过程为:
步骤1:实验数据的预处理
实验选用的数据集为KDD99数据集。训练集和测试集分别为494 021条和311 029条记录。其中包括正常数据和攻击数据,攻击主要包括4大类:PROBE(Probing Attack)、DOS(Denial of Service Attack)、U2R(User-to-Root Attack)和R2L(Remote-to-Login Attack)。每条记录包含41维特征,其中最后1列为标签属性。本实验中从训练集和测试集中分别选取100000和100000条作为训练样本和测试样本。
步骤2:构建多层极速学习机(ML-ELM)算法模型
ML-ELM是在ELM-AE(极速学习机自动编码器)的基础上进行堆叠而创造一个多层神经网络,由单层变为多层。
在ELM-AE的输出权值β负责从特征空间到输入数据的学习转换。可以根据下式计算输出权值β:
β=(I/C+HTH)-1HTX
其中:H=[h1,h2,…,…,hN]是ELM-AE的隐层输出,X=[x1,x2,…,…,xN]是它的输入数据。
步骤3:通过奇异值去表达输入数据的特征
由β=(I/C+HTH)-1HTY,奇异值分解为
则可以得到:
其中:u是HHT的特征向量,d是H的奇异值,是与输入数据X相关的奇异值分解得到。
步骤4:用大量未标记样本对基于多层的极速学习机入侵检测训练
1)输入:训练样本{xi,yj},i=1,2,…,N,xi∈Rd,yi∈Rd
2)设置好ML-ELM的网络结构,输入训练样本数据,使得x=y
3)随机设置隐层节点参数
4)当1≤i≤K-1时,循环2)~4计算第i层隐层输出矩阵β(i+1)
5)当i=K时,用最小二乘法计算最高层隐层输出矩阵β(K+1)
步骤5:用训练得到的参数,用于多层极速学习机的入侵检测的测试
步骤6:分析仿真结果,将所得到的结果与传统的基于SVM、DBN、ELM的入侵检测方法比较。

Claims (4)

1.一种基于多层极速学习机的网络入侵检测方法,主要包括:
步骤1:构建多层极速学习机(ML-ELM)算法模型
ML-ELM是在ELM-AE(极速学习机自动编码器)的基础上进行堆叠而创造一个多层神经网络,由单层变为多层。
在ELM-AE的输出权值β负责从特征空间到输入数据的学习转换。可以根据下式计算输出权值β:
β=(I/C+HTH)-1HTX
其中:H=[h1,h2,…,hN]是ELM-AE的隐层输出,X=[x1,x2,…,xN]是它的输入数据。
步骤2:通过奇异值去表达输入数据的特征
由β=(I/C+HTH)-1HTY,奇异值分解为
则可以得到:
其中:u是HHT的特征向量,d是H的奇异值,是与输入数据X相关的奇异值分解得到。
步骤3:用大量未标记样本对基于多层的极速学习机入侵检测训练
1)输入:训练样本{xi,yj},i=1,2,…,N,xi∈Rd,yi∈Rd
2)设置好ML-ELM的网络结构,输入训练样本数据,使得x=y
3)随机设置隐层节点参数
4)当1≤i≤K-1时,循环2)~4)计算第i层隐层输出矩阵β(i+1)
5)当i=K时,用最小二乘法计算最高层隐层输出矩阵β(K+1)
步骤4:用训练得到的参数,用于多层极速学习机的入侵检测的测试
步骤5:将所得到的结果与传统的基于SVM、DBN、ELM的入侵检测方法比较。
2.根据权利要求1所述一种基于多层极速学习机的入侵检测方法,其特征在于:ML-ELM算法无需迭代,无需微调,大大减少训练时间,具有快速学习的能力。
3.根据权利要求1所述所述一种基于多层极速学习机的入侵检测方法,其特征在于:基于ML-ELM的入侵检测方法利用奇异值特征表达方式来解决高维度、大数据、获取标记样本难、特征构造难。
4.根据权利要求1所述所述一种基于多层极速学习机的入侵检测方法,其特征在于:基于深度模型把训练变成了无监督学习,可以利用大量未标记的样本进行训练学习。
CN201610124936.4A 2016-03-04 2016-03-04 一种基于多层极速学习机的网络入侵检测方法 Pending CN107154923A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610124936.4A CN107154923A (zh) 2016-03-04 2016-03-04 一种基于多层极速学习机的网络入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610124936.4A CN107154923A (zh) 2016-03-04 2016-03-04 一种基于多层极速学习机的网络入侵检测方法

Publications (1)

Publication Number Publication Date
CN107154923A true CN107154923A (zh) 2017-09-12

Family

ID=59792314

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610124936.4A Pending CN107154923A (zh) 2016-03-04 2016-03-04 一种基于多层极速学习机的网络入侵检测方法

Country Status (1)

Country Link
CN (1) CN107154923A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108234500A (zh) * 2018-01-08 2018-06-29 重庆邮电大学 一种基于深度学习的无线传感网入侵检测方法
CN109388944A (zh) * 2018-11-06 2019-02-26 吉林大学 一种基于kpca和elm的入侵检测方法
CN109743103A (zh) * 2019-02-01 2019-05-10 福州大学 基于elm的fbg传感网络节点故障修复方法
CN109858509A (zh) * 2018-11-05 2019-06-07 杭州电子科技大学 基于多层随机神经网络单分类器异常检测方法
CN110300127A (zh) * 2019-07-31 2019-10-01 广东电网有限责任公司 一种基于深度学习的网络入侵检测方法、装置以及设备
CN114496209A (zh) * 2022-02-18 2022-05-13 青岛市中心血站 一种献血智能决策方法及系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108234500A (zh) * 2018-01-08 2018-06-29 重庆邮电大学 一种基于深度学习的无线传感网入侵检测方法
CN109858509A (zh) * 2018-11-05 2019-06-07 杭州电子科技大学 基于多层随机神经网络单分类器异常检测方法
CN109388944A (zh) * 2018-11-06 2019-02-26 吉林大学 一种基于kpca和elm的入侵检测方法
CN109743103A (zh) * 2019-02-01 2019-05-10 福州大学 基于elm的fbg传感网络节点故障修复方法
CN109743103B (zh) * 2019-02-01 2021-07-27 福州大学 基于elm的fbg传感网络节点故障修复方法
CN110300127A (zh) * 2019-07-31 2019-10-01 广东电网有限责任公司 一种基于深度学习的网络入侵检测方法、装置以及设备
CN114496209A (zh) * 2022-02-18 2022-05-13 青岛市中心血站 一种献血智能决策方法及系统
CN114496209B (zh) * 2022-02-18 2022-09-27 青岛市中心血站 一种献血智能决策方法及系统

Similar Documents

Publication Publication Date Title
CN107154923A (zh) 一种基于多层极速学习机的网络入侵检测方法
CN109685153B (zh) 一种基于特征聚合的社交网络谣言鉴别方法
CN109218223B (zh) 一种基于主动学习的鲁棒性网络流量分类方法及系统
CN107846392A (zh) 一种基于改进协同训练‑adbn的入侵检测算法
CN110351301A (zh) 一种http请求双层递进式异常检测方法
CN107070943A (zh) 基于流量特征图和感知哈希的工业互联网入侵检测方法
CN110362674B (zh) 一种基于卷积神经网络的微博新闻摘要抽取式生成方法
CN103226948B (zh) 一种基于声学事件的音频场景识别方法
CN111008337B (zh) 一种基于三元特征的深度注意力谣言鉴别方法及装置
CN109657947A (zh) 一种面向企业行业分类的异常检测方法
CN112087442B (zh) 基于注意力机制的时序相关网络入侵检测方法
CN110909125B (zh) 推文级社会媒体谣言检测方法
CN109376613A (zh) 基于大数据和深度学习技术的视频智能监控系统
CN113626607B (zh) 异常工单识别方法、装置、电子设备及可读存储介质
CN103823890A (zh) 一种针对特定群体的微博热点话题检测方法及装置
CN107273295A (zh) 一种基于文本混乱度的软件问题报告分类方法
WO2023155508A1 (zh) 一种基于图卷积神经网络和知识库的论文相关性分析方法
CN116150747A (zh) 基于cnn和sltm的入侵检测方法及装置
Ding et al. Student behavior clustering method based on campus big data
CN111556016A (zh) 一种基于自动编码器的网络流量异常行为识别方法
CN112529638A (zh) 基于用户分类和深度学习的服务需求动态预测方法及系统
CN107465691A (zh) 基于路由器日志分析的网络攻击检测系统及检测方法
Ji et al. Attention based meta path fusion for heterogeneous information network embedding
CN103336830B (zh) 基于结构语义直方图的图像检索方法
Wang et al. R2-trans: Fine-grained visual categorization with redundancy reduction

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170912

WD01 Invention patent application deemed withdrawn after publication