CN107911346B - 一种基于极限学习机的入侵检测方法 - Google Patents
一种基于极限学习机的入侵检测方法 Download PDFInfo
- Publication number
- CN107911346B CN107911346B CN201711045616.0A CN201711045616A CN107911346B CN 107911346 B CN107911346 B CN 107911346B CN 201711045616 A CN201711045616 A CN 201711045616A CN 107911346 B CN107911346 B CN 107911346B
- Authority
- CN
- China
- Prior art keywords
- data
- training
- types
- activation function
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本发明涉及一种基于极限学习机的入侵检测方法,包括:对网络流量数据集中的数据进行预处理:将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注并进行归一化与标准化处理;根据类别标签,将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种,将其中的Normal、U2R与R2L三类合并为Other类;采用DOS、Probe与Other这三类训练数据,训练第一层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;采用PReLU激活函数替代Sigmoid激活函数进行改进;进行检测分类。
Description
技术领域
本发明属于网络安全技术领域,涉及一种入侵检测算法。
背景技术
随着互联网的飞速发展,网络的设计缺陷与安全漏洞带来了一系列的安全问题,必须采用主动防范的入侵检测技术以改善网络的安全状况。极限学习机(ELM)是一种针对单隐含层前向神经网络(SLFNs)的新算法。ELM算法的输入层与隐含层间的连接权重向量以及隐含层神经元的阈值是随机产生的,此二者在训练过程中无需调整。ELM算法只需要设定隐含层的神经元个数,同时ELM算法不需要迭代,训练速度非常快。与传统算法相比ELM具有学习速度快,泛化性能好等优点,因此适用于对入侵攻击的分类检测。同时,多层分类的入侵检测方法可以提高入侵检测系统的准确率。
发明内容
本发明的目的是提供一种可以提高准确率的网络入侵检测方法。激活函数选择的是否合适直接影响极限学习机ELM的学习效果。本专利通过改进ELM的激活函数,提高ELM算法在入侵检测中的分类效果,同时采用多级分类的模型,进一步提高入侵检测方法的准确率。本发明的技术方案如下:
一种基于极限学习机的入侵检测方法,包括以下步骤:
步骤(1):在进行模型训练之前,对网络流量数据集中的数据进行预处理:首先将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注;然后将训练集与测试集进行归一化与标准化处理,消除由于不同特征值度量单位的差异对实验结果产生的影响。
步骤(2):根据类别标签,将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种,将其中的Normal、U2R与R2L三类合并为Other类;
步骤(3):采用DOS、Probe与Other这三类训练数据,训练第一层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;
步骤(4):采用Normal、U2R与R2L这三类训练数据,训练第二层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;
步骤(5):采用测试网络流量数据与两层ELM检测模型,进行检测分类:采用第一层ELM模型检测出DOS类与Probe类流量数据,将剩下的测试数据送入第二层ELM模型中进行检测,检测出Normal、U2R与R2L三类流量数据,通过两层模型的分类检测,最终检测出Normal、DOS、Probe、U2R与R2L这五类;采用检测率与误报率作为评价指标,评价检测算法效果。
本发明的有益效果如下:本专利采用PReLU激活函数改进ELM,同时采用两层模型对网络流量数据进行分类,提高了对网络攻击的检测率,降低了误报率。
附图说明
图1入侵检测二层模型结构图。
具体实施方式
传统的ELM算法采用的激活函数是S型非线性连续光滑单调的Sigmoid函数。ELM可选择一个任意区间无限可微的函数作为激活函数,所以激活函数的选择并不唯一。参数修正的线性修正单元(PReLU)引入了修正参数,提高了神经网络的准确率,而所增加的计算量可以忽略不计。PReLU引入了非常少量的额外参数,额外参数的数量等于信道总数,考虑权重总数时这是可以忽略的,所以PReLU函数不会造成过度拟合以及导致额外的风险。所以本专利将PReLU函数作为激活函数以优化ELM的学习效果,用于入侵检测之中。PReLU函数定义为:
g(x)=max(0,x)+amin(0,x) (1)
其中,g(x)为PReLU函数,x为数据特征,a为修正参数的系数。
本专利采用多层模型的方式,构建两层ELM模型,如图1所示。由于DOS和Probe这两大类攻击在短时间内会向同一目的计算机发起大量的连接请求,其网络连接数据与Normal的网络连接数据差别很大,所以在第一层对DOS与Probe攻击进行分类。而在U2L与R2L这两大类攻击中黑客需要获得受害者计算机的非法访问权限,所以生成的网络连接记录将与正常用户的网络连接记录非常相似,同时这两类攻击的数量相对较少,因此在第二层对Normal、U2R与R2L进行分类。
本专利提出的一种基于极限学习机的入侵检测方法具体步骤如下:
步骤(1):在进行模型训练之前,对网络流量数据集中的数据进行预处理。对于数据的预处理可分为两部分:首先将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注。然后将训练集与测试集进行归一化与标准化处理,消除由于不同特征值度量单位的差异对实验结果产生的影响。
步骤(2):在第一层模型中,将有标签的训练网络流量数据分为DOS、Probe与Other共三类,Other类中包括Normal、U2R与R2L。用DOS、Probe与Other这三类数据训练ELM模型,ELM模型采用PReLU激活函数进行改进。
步骤(3):在第二层模型中,采用Normal、U2R与R2L的三类有标签的训练数据进行训练ELM模型,ELM模型采用PReLU激活函数进行改进。
步骤(4):采用测试网络数据与两层检测模型,对网络流量攻击进行检测分类,最终检测出Normal、DOS、Probe、U2R与R2L这五类。采用检测率与误报率作为评价指标,评价检测算法效果。
实施例如下:在数据预处理阶段,将字符型特征值protocol type分别转化为数值1到4,service特征值转化为1-67,flag特征值转化为1-11。将第一层与第二层ELM模型采用PReLU激活函数,参数a设置为0.25,隐含层神经元个数设定为200。用作实验对比的算法的参数设置如下。BP的隐含层神经元个数设定为30,lr为0.1,epochs为100,goal为0.001。SVM采用广泛使用的LIBSVM软件包,SVM采用C-SVC类型,RBF核函数,gamma参数为0.11,惩罚因子C为256。ELM算法的激活函数为Sigmoid函数,隐含层神经元个数设定为200。
为了验证算法的效果,将本专利所提方法与BP、SVM、以及基本的ELM算法进行比较。表1和表2列出了不同算法之间检测率和检测效果比较数据。通过不同算法的检测结果对比可知,本专利提出的检测方法对于不同攻击的检测率上都有所提升,尤其是对于U2R与R2L这两类攻击的检测效果提升幅度较大。
表1不同算法检测率比较
表2不同算法检测效果比较
Claims (1)
1.一种基于极限学习机的入侵检测方法,包括以下步骤:
步骤(1):在进行模型训练之前,对网络流量数据集中的数据进行预处理:首先将测试集与训练集中字符型特征值转换为数值型特征值,对训练数据进行类别标注;然后将训练集与测试集进行归一化与标准化处理,消除由于不同特征值度量单位的差异对实验结果产生的影响;
步骤(2):根据类别标签,将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种,将其中的Normal、U2R与R2L三类合并为Other类;
步骤(3):采用DOS、Probe与Other这三类训练数据,训练第一层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;
步骤(4):采用Normal、U2R与R2L这三类训练数据,训练第二层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;
步骤(5):采用测试网络流量数据与两层ELM检测模型,进行检测分类:采用第一层ELM模型检测出DOS类与Probe类流量数据,将剩下的测试数据送入第二层ELM模型中进行检测,检测出Normal、U2R与R2L三类流量数据,通过两层模型的分类检测,最终检测出Normal、DOS、Probe、U2R与R2L这五类;采用检测率与误报率作为评价指标,评价检测算法效果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711045616.0A CN107911346B (zh) | 2017-10-31 | 2017-10-31 | 一种基于极限学习机的入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711045616.0A CN107911346B (zh) | 2017-10-31 | 2017-10-31 | 一种基于极限学习机的入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107911346A CN107911346A (zh) | 2018-04-13 |
| CN107911346B true CN107911346B (zh) | 2020-12-29 |
Family
ID=61842132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711045616.0A Active CN107911346B (zh) | 2017-10-31 | 2017-10-31 | 一种基于极限学习机的入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107911346B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150830B (zh) * | 2018-07-11 | 2021-04-06 | 浙江理工大学 | 一种基于支持向量机和概率神经网络的层次入侵检测方法 |
| CN109194612B (zh) * | 2018-07-26 | 2021-05-18 | 北京计算机技术及应用研究所 | 一种基于深度置信网络和svm的网络攻击检测方法 |
| CN109347872A (zh) * | 2018-11-29 | 2019-02-15 | 电子科技大学 | 一种基于模糊度和集成学习的网络入侵检测方法 |
| CN109962909B (zh) * | 2019-01-30 | 2021-05-14 | 大连理工大学 | 一种基于机器学习的网络入侵异常检测方法 |
| CN112734000A (zh) * | 2020-11-11 | 2021-04-30 | 江西理工大学 | 一种入侵检测方法、系统、设备及可读存储介质 |
| CN113139598B (zh) * | 2021-04-22 | 2022-04-22 | 湖南大学 | 一种基于改进智能优化算法的入侵检测方法和系统 |
| CN113569253A (zh) * | 2021-07-22 | 2021-10-29 | 广东电网有限责任公司 | 一种基于上下文语义的漏洞检测方法与装置 |
| CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
| CN117336195B (zh) * | 2023-12-01 | 2024-02-06 | 中国西安卫星测控中心 | 一种基于雷达图法的入侵检测模型综合性能评估方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104537033A (zh) * | 2014-12-23 | 2015-04-22 | 清华大学 | 基于贝叶斯网络和极限学习机的区间型指标预报方法 |
| CN104616030A (zh) * | 2015-01-21 | 2015-05-13 | 北京工业大学 | 一种基于极限学习机算法的识别方法 |
| CN105376097A (zh) * | 2015-11-30 | 2016-03-02 | 沈阳工业大学 | 网络流量的一种混合预测方法 |
| CN106096543A (zh) * | 2016-06-08 | 2016-11-09 | 东华大学 | 一种基于改进型极限学习机的手写数字识别方法 |
| CN106453416A (zh) * | 2016-12-01 | 2017-02-22 | 广东技术师范学院 | 一种基于深信度网络的分布式攻击入侵的检测方法 |
-
2017
- 2017-10-31 CN CN201711045616.0A patent/CN107911346B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104537033A (zh) * | 2014-12-23 | 2015-04-22 | 清华大学 | 基于贝叶斯网络和极限学习机的区间型指标预报方法 |
| CN104616030A (zh) * | 2015-01-21 | 2015-05-13 | 北京工业大学 | 一种基于极限学习机算法的识别方法 |
| CN105376097A (zh) * | 2015-11-30 | 2016-03-02 | 沈阳工业大学 | 网络流量的一种混合预测方法 |
| CN106096543A (zh) * | 2016-06-08 | 2016-11-09 | 东华大学 | 一种基于改进型极限学习机的手写数字识别方法 |
| CN106453416A (zh) * | 2016-12-01 | 2017-02-22 | 广东技术师范学院 | 一种基于深信度网络的分布式攻击入侵的检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| Three-level hybrid intrusion detection system;Hui Lu等;<2009 International Conference on Information Engineering and Computer Science>;20091220;全文 * |
| 多层极限学习机在入侵检测系统中的应用;康松林;《计算机应用》;20150910;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107911346A (zh) | 2018-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107911346B (zh) | 一种基于极限学习机的入侵检测方法 | |
| Zhang et al. | An adaptive dropout deep computation model for industrial IoT big data learning with crowdsourcing to cloud computing | |
| CN109379379B (zh) | 基于改进卷积神经网络的网络入侵检测方法 | |
| Sharma et al. | Multi-layer intrusion detection system with ExtraTrees feature selection, extreme learning machine ensemble, and softmax aggregation | |
| CN111314331B (zh) | 一种基于条件变分自编码器的未知网络攻击检测方法 | |
| Peng et al. | Network intrusion detection based on deep learning | |
| JP2018528521A (ja) | メディア分類 | |
| CN111027069A (zh) | 恶意软件家族检测方法、存储介质和计算设备 | |
| CN110572413A (zh) | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 | |
| CN112087442B (zh) | 基于注意力机制的时序相关网络入侵检测方法 | |
| CN109840413B (zh) | 一种钓鱼网站检测方法及装置 | |
| WO2022143511A1 (zh) | 一种恶意流量识别方法及相关装置 | |
| AlShahrani | Classification of cyber-attack using Adaboost regression classifier and securing the network | |
| CN115811440B (zh) | 一种基于网络态势感知的实时流量检测方法 | |
| Sundarkumar et al. | Malware detection by text and data mining | |
| CN112468487A (zh) | 实现模型训练的方法、装置、实现节点检测的方法及装置 | |
| CN116633601A (zh) | 一种基于网络流量态势感知的检测方法 | |
| Tan et al. | Recognizing the content types of network traffic based on a hybrid DNN-HMM model | |
| Disha et al. | A Comparative study of machine learning models for Network Intrusion Detection System using UNSW-NB 15 dataset | |
| Luo et al. | A novel intrusion detection method based on threshold modification using receiver operating characteristic curve | |
| CN109547496B (zh) | 一种基于深度学习的主机恶意行为检测方法 | |
| Wang et al. | Network intrusion detection based on multi-domain data and ensemble-bidirectional LSTM | |
| Yu et al. | An efficient cascaded method for network intrusion detection based on extreme learning machines | |
| Zhu et al. | Effective phishing website detection based on improved BP neural network and dual feature evaluation | |
| Shahin et al. | Implementation of a novel fully convolutional network approach to detect and classify cyber-attacks on IoT devices in smart manufacturing systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201210 Address after: No.25, Wuma Road, Hongshunli street, Hebei District, Tianjin Applicant after: Bingqi Sixue (Tianjin) Education Technology Co.,Ltd. Address before: 300072 Tianjin City, Nankai District Wei Jin Road No. 92 Applicant before: Tianjin University |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210809 Address after: 300021 rongqingyuan 3-407, 3-417, Southeast of Qingshan street and Qinghe street, Nanshi street, Heping District, Tianjin Patentee after: Tianjin Yilu peer technology Co.,Ltd. Address before: No.25, Wuma Road, Hongshunli street, Hebei District, Tianjin Patentee before: Bingqi Sixue (Tianjin) Education Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |