CN107911346A - 一种基于极限学习机的入侵检测方法 - Google Patents

一种基于极限学习机的入侵检测方法 Download PDF

Info

Publication number
CN107911346A
CN107911346A CN201711045616.0A CN201711045616A CN107911346A CN 107911346 A CN107911346 A CN 107911346A CN 201711045616 A CN201711045616 A CN 201711045616A CN 107911346 A CN107911346 A CN 107911346A
Authority
CN
China
Prior art keywords
layer
types
data
model
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711045616.0A
Other languages
English (en)
Other versions
CN107911346B (zh
Inventor
王琳琳
刘敬浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin Yilu Peer Technology Co ltd
Original Assignee
Tianjin University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianjin University filed Critical Tianjin University
Priority to CN201711045616.0A priority Critical patent/CN107911346B/zh
Publication of CN107911346A publication Critical patent/CN107911346A/zh
Application granted granted Critical
Publication of CN107911346B publication Critical patent/CN107911346B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Burglar Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于极限学习机的入侵检测方法,包括:对网络流量数据集中的数据进行预处理:将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注并进行归一化与标准化处理;根据类别标签,将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种,将其中的Normal、U2R与R2L三类合并为Other类;采用DOS、Probe与Other这三类训练数据,训练第一层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;采用PReLU激活函数替代Sigmoid激活函数进行改进;进行检测分类。

Description

一种基于极限学习机的入侵检测方法
技术领域
本发明属于网络安全技术领域,涉及一种入侵检测算法。
背景技术
随着互联网的飞速发展,网络的设计缺陷与安全漏洞带来了一系列的安全问题,必须采用主动防范的入侵检测技术以改善网络的安全状况。极限学习机(ELM)是一种针对单隐含层前向神经网络(SLFNs)的新算法。ELM算法的输入层与隐含层间的连接权重向量以及隐含层神经元的阈值是随机产生的,此二者在训练过程中无需调整。ELM算法只需要设定隐含层的神经元个数,同时ELM算法不需要迭代,训练速度非常快。与传统算法相比ELM具有学习速度快,泛化性能好等优点,因此适用于对入侵攻击的分类检测。同时,多层分类的入侵检测方法可以提高入侵检测系统的准确率。
发明内容
本发明的目的是提供一种可以提高准确率的网络入侵检测方法。激活函数选择的是否合适直接影响极限学习机ELM的学习效果。本专利通过改进ELM的激活函数,提高ELM算法在入侵检测中的分类效果,同时采用多级分类的模型,进一步提高入侵检测方法的准确率。本发明的技术方案如下:
一种基于极限学习机的入侵检测方法,包括以下步骤:
步骤(1):在进行模型训练之前,对网络流量数据集中的数据进行预处理:首先将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注;然后将训练集与测试集进行归一化与标准化处理,消除由于不同特征值度量单位的差异对实验结果产生的影响。
步骤(2):根据类别标签,将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种,将其中的Normal、U2R与R2L三类合并为Other类;
步骤(3):采用DOS、Probe与Other这三类训练数据,训练第一层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;
步骤(4):采用Normal、U2R与R2L这三类训练数据,训练第二层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;
步骤(5):采用测试网络流量数据与两层ELM检测模型,进行检测分类:采用第一层ELM模型检测出DOS类与Probe类流量数据,将剩下的测试数据送入第二层ELM模型中进行检测,检测出Normal、U2R与R2L三类流量数据,通过两层模型的分类检测,最终检测出Normal、DOS、Probe、U2R与R2L这五类;采用检测率与误报率作为评价指标,评价检测算法效果。
本发明的有益效果如下:本专利采用PReLU激活函数改进ELM,同时采用两层模型对网络流量数据进行分类,提高了对网络攻击的检测率,降低了误报率。
附图说明
图1入侵检测二层模型结构图。
具体实施方式
传统的ELM算法采用的激活函数是S型非线性连续光滑单调的Sigmoid函数。ELM可选择一个任意区间无限可微的函数作为激活函数,所以激活函数的选择并不唯一。参数修正的线性修正单元(PReLU)引入了修正参数,提高了神经网络的准确率,而所增加的计算量可以忽略不计。PReLU引入了非常少量的额外参数,额外参数的数量等于信道总数,考虑权重总数时这是可以忽略的,所以PReLU函数不会造成过度拟合以及导致额外的风险。所以本专利将PReLU函数作为激活函数以优化ELM的学习效果,用于入侵检测之中。PReLU函数定义为:
g(x)=max(0,x)+amin(0,x) (1)
其中,g(x)为PReLU函数,x为数据特征,a为修正参数的系数。
本专利采用多层模型的方式,构建两层ELM模型,如图1所示。由于DOS和Probe这两大类攻击在短时间内会向同一目的计算机发起大量的连接请求,其网络连接数据与Normal的网络连接数据差别很大,所以在第一层对DOS与Probe攻击进行分类。而在U2L与R2L这两大类攻击中黑客需要获得受害者计算机的非法访问权限,所以生成的网络连接记录将与正常用户的网络连接记录非常相似,同时这两类攻击的数量相对较少,因此在第二层对Normal、U2R与R2L进行分类。
本专利提出的一种基于极限学习机的入侵检测方法具体步骤如下:
步骤(1):在进行模型训练之前,对网络流量数据集中的数据进行预处理。对于数据的预处理可分为两部分:首先将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注。然后将训练集与测试集进行归一化与标准化处理,消除由于不同特征值度量单位的差异对实验结果产生的影响。
步骤(2):在第一层模型中,将有标签的训练网络流量数据分为DOS、Probe与Other共三类,Other类中包括Normal、U2R与R2L。用DOS、Probe与Other这三类数据训练ELM模型,ELM模型采用PReLU激活函数进行改进。
步骤(3):在第二层模型中,采用Normal、U2R与R2L的三类有标签的训练数据进行训练ELM模型,ELM模型采用PReLU激活函数进行改进。
步骤(4):采用测试网络数据与两层检测模型,对网络流量攻击进行检测分类,最终检测出Normal、DOS、Probe、U2R与R2L这五类。采用检测率与误报率作为评价指标,评价检测算法效果。
实施例如下:在数据预处理阶段,将字符型特征值protocol type分别转化为数值1到4,service特征值转化为1-67,flag特征值转化为1-11。将第一层与第二层ELM模型采用PReLU激活函数,参数a设置为0.25,隐含层神经元个数设定为200。用作实验对比的算法的参数设置如下。BP的隐含层神经元个数设定为30,lr为0.1,epochs为100,goal为0.001。SVM采用广泛使用的LIBSVM软件包,SVM采用C-SVC类型,RBF核函数,gamma参数为0.11,惩罚因子C为256。ELM算法的激活函数为Sigmoid函数,隐含层神经元个数设定为200。
为了验证算法的效果,将本专利所提方法与BP、SVM、以及基本的ELM算法进行比较。表1和表2列出了不同算法之间检测率和检测效果比较数据。通过不同算法的检测结果对比可知,本专利提出的检测方法对于不同攻击的检测率上都有所提升,尤其是对于U2R与R2L这两类攻击的检测效果提升幅度较大。
表1不同算法检测率比较
表2不同算法检测效果比较

Claims (1)

1.一种基于极限学习机的入侵检测方法,包括以下步骤:
步骤(1):在进行模型训练之前,对网络流量数据集中的数据进行预处理:首先将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注;然后将训练集与测试集进行归一化与标准化处理,消除由于不同特征值度量单位的差异对实验结果产生的影响。
步骤(2):根据类别标签,将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种,将其中的Normal、U2R与R2L三类合并为Other类;
步骤(3):采用DOS、Probe与Other这三类训练数据,训练第一层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;
步骤(4):采用Normal、U2R与R2L这三类训练数据,训练第二层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;
步骤(5):采用测试网络流量数据与两层ELM检测模型,进行检测分类:采用第一层ELM模型检测出DOS类与Probe类流量数据,将剩下的测试数据送入第二层ELM模型中进行检测,检测出Normal、U2R与R2L三类流量数据,通过两层模型的分类检测,最终检测出Normal、DOS、Probe、U2R与R2L这五类;采用检测率与误报率作为评价指标,评价检测算法效果。
CN201711045616.0A 2017-10-31 2017-10-31 一种基于极限学习机的入侵检测方法 Active CN107911346B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711045616.0A CN107911346B (zh) 2017-10-31 2017-10-31 一种基于极限学习机的入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711045616.0A CN107911346B (zh) 2017-10-31 2017-10-31 一种基于极限学习机的入侵检测方法

Publications (2)

Publication Number Publication Date
CN107911346A true CN107911346A (zh) 2018-04-13
CN107911346B CN107911346B (zh) 2020-12-29

Family

ID=61842132

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711045616.0A Active CN107911346B (zh) 2017-10-31 2017-10-31 一种基于极限学习机的入侵检测方法

Country Status (1)

Country Link
CN (1) CN107911346B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109150830A (zh) * 2018-07-11 2019-01-04 浙江理工大学 一种基于支持向量机和概率神经网络的层次入侵检测方法
CN109194612A (zh) * 2018-07-26 2019-01-11 北京计算机技术及应用研究所 一种基于深度置信网络和svm的网络攻击检测方法
CN109347872A (zh) * 2018-11-29 2019-02-15 电子科技大学 一种基于模糊度和集成学习的网络入侵检测方法
CN109962909A (zh) * 2019-01-30 2019-07-02 大连理工大学 一种基于机器学习的网络入侵异常检测方法
CN112734000A (zh) * 2020-11-11 2021-04-30 江西理工大学 一种入侵检测方法、系统、设备及可读存储介质
CN113139598A (zh) * 2021-04-22 2021-07-20 湖南大学 一种基于改进智能优化算法的入侵检测方法和系统
CN113569253A (zh) * 2021-07-22 2021-10-29 广东电网有限责任公司 一种基于上下文语义的漏洞检测方法与装置
CN114818842A (zh) * 2021-01-21 2022-07-29 国网西藏电力有限公司信息通信公司 一种基于流量模式比对的网络攻击识别方法及识别系统
CN115118514A (zh) * 2022-07-11 2022-09-27 深信服科技股份有限公司 一种数据检测方法、装置、设备及介质
CN117336195A (zh) * 2023-12-01 2024-01-02 中国西安卫星测控中心 一种基于雷达图法的入侵检测模型综合性能评估方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104537033A (zh) * 2014-12-23 2015-04-22 清华大学 基于贝叶斯网络和极限学习机的区间型指标预报方法
CN104616030A (zh) * 2015-01-21 2015-05-13 北京工业大学 一种基于极限学习机算法的识别方法
CN105376097A (zh) * 2015-11-30 2016-03-02 沈阳工业大学 网络流量的一种混合预测方法
CN106096543A (zh) * 2016-06-08 2016-11-09 东华大学 一种基于改进型极限学习机的手写数字识别方法
CN106453416A (zh) * 2016-12-01 2017-02-22 广东技术师范学院 一种基于深信度网络的分布式攻击入侵的检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104537033A (zh) * 2014-12-23 2015-04-22 清华大学 基于贝叶斯网络和极限学习机的区间型指标预报方法
CN104616030A (zh) * 2015-01-21 2015-05-13 北京工业大学 一种基于极限学习机算法的识别方法
CN105376097A (zh) * 2015-11-30 2016-03-02 沈阳工业大学 网络流量的一种混合预测方法
CN106096543A (zh) * 2016-06-08 2016-11-09 东华大学 一种基于改进型极限学习机的手写数字识别方法
CN106453416A (zh) * 2016-12-01 2017-02-22 广东技术师范学院 一种基于深信度网络的分布式攻击入侵的检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HUI LU等: "Three-level hybrid intrusion detection system", <2009 INTERNATIONAL CONFERENCE ON INFORMATION ENGINEERING AND COMPUTER SCIENCE> *
康松林: "多层极限学习机在入侵检测系统中的应用", 《计算机应用》 *

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109150830A (zh) * 2018-07-11 2019-01-04 浙江理工大学 一种基于支持向量机和概率神经网络的层次入侵检测方法
CN109194612B (zh) * 2018-07-26 2021-05-18 北京计算机技术及应用研究所 一种基于深度置信网络和svm的网络攻击检测方法
CN109194612A (zh) * 2018-07-26 2019-01-11 北京计算机技术及应用研究所 一种基于深度置信网络和svm的网络攻击检测方法
CN109347872A (zh) * 2018-11-29 2019-02-15 电子科技大学 一种基于模糊度和集成学习的网络入侵检测方法
CN109962909A (zh) * 2019-01-30 2019-07-02 大连理工大学 一种基于机器学习的网络入侵异常检测方法
CN109962909B (zh) * 2019-01-30 2021-05-14 大连理工大学 一种基于机器学习的网络入侵异常检测方法
CN112734000A (zh) * 2020-11-11 2021-04-30 江西理工大学 一种入侵检测方法、系统、设备及可读存储介质
CN114818842A (zh) * 2021-01-21 2022-07-29 国网西藏电力有限公司信息通信公司 一种基于流量模式比对的网络攻击识别方法及识别系统
CN113139598A (zh) * 2021-04-22 2021-07-20 湖南大学 一种基于改进智能优化算法的入侵检测方法和系统
CN113139598B (zh) * 2021-04-22 2022-04-22 湖南大学 一种基于改进智能优化算法的入侵检测方法和系统
CN113569253A (zh) * 2021-07-22 2021-10-29 广东电网有限责任公司 一种基于上下文语义的漏洞检测方法与装置
CN115118514A (zh) * 2022-07-11 2022-09-27 深信服科技股份有限公司 一种数据检测方法、装置、设备及介质
CN117336195A (zh) * 2023-12-01 2024-01-02 中国西安卫星测控中心 一种基于雷达图法的入侵检测模型综合性能评估方法
CN117336195B (zh) * 2023-12-01 2024-02-06 中国西安卫星测控中心 一种基于雷达图法的入侵检测模型综合性能评估方法

Also Published As

Publication number Publication date
CN107911346B (zh) 2020-12-29

Similar Documents

Publication Publication Date Title
CN107911346A (zh) 一种基于极限学习机的入侵检测方法
CN111027069B (zh) 恶意软件家族检测方法、存储介质和计算设备
CN106713324B (zh) 一种流量检测方法及装置
CN103927483B (zh) 用于检测恶意程序的判定模型及恶意程序的检测方法
CN105072214B (zh) 基于域名特征的c&amp;c域名识别方法
TWI752349B (zh) 風險識別方法及裝置
CN112134862B (zh) 基于机器学习的粗细粒度混合网络异常检测方法及装置
AlShahrani et al. Classification of cyber-attack using Adaboost regression classifier and securing the network
CN110134876B (zh) 一种基于群智传感器的网络空间群体性事件感知与检测方法
Zhong et al. Understanding disparate effects of membership inference attacks and their countermeasures
CN111563234A (zh) 一种主机异常检测中系统调用数据的特征提取方法
Shen et al. Feature fusion-based malicious code detection with dual attention mechanism and BiLSTM
CN111400713B (zh) 基于操作码邻接图特征的恶意软件族群分类方法
CN117407800A (zh) 一种基于随机森林和XGBoost模型的社交媒体机器人检测方法及系统
CN116842467A (zh) 基于双向门控卷积神经网络的网络流量异常检测分类方法
CN107506783A (zh) 一种复杂混合入侵检测算法
CN105468669A (zh) 一种融合用户关系的自适应微博话题追踪方法
CN111984762A (zh) 一种对抗攻击敏感的文本分类方法
CN117725589A (zh) 一种具有可解释性的源代码漏洞检测方法及系统
Varshney et al. Hybrid Feature Selection Method for Binary and Multi-class High Dimension Data
CN116975863A (zh) 基于卷积神经网络的恶意代码检测方法
CN117708815A (zh) 一种基于精简行为图的安卓恶意软件检测方法
CN112613231B (zh) 一种机器学习中隐私可用均衡的轨迹训练数据扰动机制
CN116522337A (zh) 一种基于api语义的恶意软件家族无偏检测方法
CN112070112A (zh) 涉网犯罪分类方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20201210

Address after: No.25, Wuma Road, Hongshunli street, Hebei District, Tianjin

Applicant after: Bingqi Sixue (Tianjin) Education Technology Co.,Ltd.

Address before: 300072 Tianjin City, Nankai District Wei Jin Road No. 92

Applicant before: Tianjin University

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210809

Address after: 300021 rongqingyuan 3-407, 3-417, Southeast of Qingshan street and Qinghe street, Nanshi street, Heping District, Tianjin

Patentee after: Tianjin Yilu peer technology Co.,Ltd.

Address before: No.25, Wuma Road, Hongshunli street, Hebei District, Tianjin

Patentee before: Bingqi Sixue (Tianjin) Education Technology Co.,Ltd.