CN108259498A - 一种基于人工蜂群优化的bp算法的入侵检测方法及其系统 - Google Patents
一种基于人工蜂群优化的bp算法的入侵检测方法及其系统 Download PDFInfo
- Publication number
- CN108259498A CN108259498A CN201810069263.6A CN201810069263A CN108259498A CN 108259498 A CN108259498 A CN 108259498A CN 201810069263 A CN201810069263 A CN 201810069263A CN 108259498 A CN108259498 A CN 108259498A
- Authority
- CN
- China
- Prior art keywords
- algorithm
- layer
- weights
- data
- neural network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 56
- 238000005457 optimization Methods 0.000 title claims abstract description 33
- 238000013528 artificial neural network Methods 0.000 claims abstract description 64
- 238000000034 method Methods 0.000 claims abstract description 24
- 230000008569 process Effects 0.000 claims abstract description 13
- 230000004044 response Effects 0.000 claims abstract description 12
- 230000000694 effects Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 11
- 238000011835 investigation Methods 0.000 claims description 9
- 230000001537 neural effect Effects 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 108090000623 proteins and genes Proteins 0.000 claims description 7
- 238000012549 training Methods 0.000 claims description 7
- 230000009545 invasion Effects 0.000 claims description 5
- 230000003044 adaptive effect Effects 0.000 claims description 4
- 230000015572 biosynthetic process Effects 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 claims description 3
- 235000013379 molasses Nutrition 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 230000008859 change Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 210000002569 neuron Anatomy 0.000 description 4
- 230000006872 improvement Effects 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 101000911390 Homo sapiens Coagulation factor VIII Proteins 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 102000057593 human F8 Human genes 0.000 description 2
- 210000004218 nerve net Anatomy 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 229940047431 recombinate Drugs 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 210000000653 nervous system Anatomy 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于人工蜂群优化的BP算法的入侵检测方法及其系统,该方法包括:对采集的主机日志文件和网络数据形成一包进行预处理,获得主机日志文件和网络数据的特征向量并转化为BP神经网络算法可识别的输入值;对BP神经网络算法进行初始化,将连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk作为人工蜂群算法的优化目标初始化人工蜂群算法的参数,将最佳蜜源传回BP神经网络算法替换输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk;根据BP神经网络算法的输出值对用户的行为进行相应的响应操作。本申请用以解决现有BP神经网络存在收敛速度慢、易陷入局部最小点、计算量大的问题。
Description
技术领域
本发明涉及计算机网络安全技术领域,具体涉及一种基于人工蜂群优化的BP算法的入侵检测方法及其系统。
背景技术
互联网技术的飞速发展,Internet的普及,深刻地改变了人类的工作和生活方式。但是计算机和互联网又是一把双刃剑,在给人们生活工作带来方便的同时,也带来一系列安全问题。如何保证信息化社会的正常运转,网络信息的安全性是其中最重要的环节之一。
Internet对于任何一个具有网络连接和ISP帐号的人都是开放的,事实上它本身被设计成了一个开放的网络。因此它本身并没有多少内置的能力使信息安全,从一个安全的角度看,Internet是天生不安全的。在网络环境里的安全是指一种能够识别的消除不安全因素的能力,安全的一般性定义也必须解决保护财产的需要,包括信息和物理设备。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作,以及什么时候。如何对事件做出反应,以及当有人规避那些控制时如何使损害最小化的方法,即建立有效的安全矩阵。一个可行的安全矩阵是高度安全的和容易使用的,一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙,入侵检测系统,审查方案构成,其中重点就在入侵检测这个环节,因此一个好的入侵检测系统可以更有效的控制不安全因素。
入侵检测(Intrusion Detection)是用于检测任何损害或企图损害系统的状态和活动,运用误用检测(misuse detection)或异常检测(anomaly detection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,从而保证计算机信息系统的信息资源不被未授权访问,篡改和拒绝服务攻击。
随着系统安全环境特别是网络系统安全形势的变化,传统的基于专家系统的检测技术暴露出若干局限性和不足。如传统BP神经网络存在收敛速度慢、易陷入局部最小点、计算量大,所以有必要对传统的神经系统网络进行改良。
发明内容
本发明的目的在于提供一种基于人工蜂群优化的BP算法的入侵检测方法及其系统,用以解决现有BP神经网络存在收敛速度慢、易陷入局部最小点、计算量大的问题。
为实现上述目的,本发明的技术方案为:
一种基于人工蜂群优化的BP算法的入侵检测方法,该方法包括以下步骤:
S101、采集计算机网络系统的包含系统、网络、数据及用户活动的状态、行为的主机日志文件和网络数据;
S102、对所述采集的所述主机日志文件和所述网络数据形成一包进行预处理,获得所述主机日志文件和所述网络数据的特征向量并转化为BP神经网络算法可识别的输入值;
S103、对所述BP神经网络算法进行初始化,将连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk作为人工蜂群算法的优化目标;
S104、初始化人工蜂群算法的参数,进行雇佣蜂、跟随蜂与侦查蜂操作,找到最佳蜜源,将所述最佳蜜源传回BP神经网络算法替换所述输入层与所述隐藏层的权值Wij和所述连接隐藏层与所述输出层的权值Wjk;
S105、根据入侵特征对所接收的网络数据进行已知入侵行为的检测,然后对与入侵特征不匹配但还不能确定是正常的数据进行异常入侵检测,根据BP神经网络算法的输出值对用户的行为进行相应的响应操作。
进一步的,所述初始化人工蜂群算法的参数,进行雇佣蜂、跟随蜂与侦查蜂操作,找到最佳蜜源的步骤具体包括:
S201、初始化人工蜂群算法,设置蜜源的数量N,最大迭代次数maxcycle,最大滞留次数limit,产生初始蜜源;
S202、雇佣蜂开始按照式(1)来搜索新蜜源,之后计算新解的适应度值并更新蜜源;
公式(1):
其中,
iter是当前的迭代次数;Wmin是调整因子的最小值;Wmax是调整因子的最大值;W1和W2分别代表着新蜜源向原蜜源、领域蜜源和种群最优蜜源的靠近速度;
S203、按照公式(2)计算与解Xi对应的选择概率值Pi;
公式(2):
其中,自适应因子fiti是解Xi对应的适应度值;
跟随蜂根据选择概率Pi来选择蜜源,并按照公式(1)来选择产生新解,之后计算新解的适应度值并更新蜜源;
S204、如果某个解Xi连续滞留的次数达到了之前的最大滞留次数limit,则这个解需要被丢弃,侦查蜂将出现并产生一个新解来代替那个被丢弃的解;
S205、从步骤S202到S204为一次迭代过程,完成后记录下最优的解,即该解的适应度值最高;
S206、判断是否达到最大迭代次数maxcycle和指定精度,否则返回步骤S202继续。
进一步的,所述对所述采集的所述主机日志文件和所述网络数据形成一包进行预处理,获得所述主机日志文件和所述网络数据的特征向量并转化为BP神经网络算法可识别的输入值的步骤具体包括:
对链路层数据包进行解码得到IP数据包;根据所述IP数据包首部的协议字段对lP数据包进行解码得到对应的TCP、UDP和ICMP数据包;根据所述TCP、UDP和ICMP数据包的类型将接收到的信息转换为具有若干个分向量的特征向量,传输到所述BP神经网络算法作为输入值。
可选地,得到IP数据包后判断该IP数据包是否进行了分组,如果是分组的IP数据包,则对其进行重组。
进一步的,所述对所述BP神经网络算法进行初始化,将连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk作为人工蜂群算法的优化目标的步骤包括:
S301、选择训练用的样本数据,产生输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk;
S302、在BP神经网络算法中输入特征向量X=(x1,x2,…,xn),所述隐藏层tj由公式(3)计算获得,其中θj为输入层和隐藏层之间的阈值;
隐藏层的实际输出值lj由公式(4)计算获得,重复公式(3)、(4)计算输出层的实际输出值yk;
公式(3):
公式(4):
S303、利用公式(5)计算BP神经网络算法的误差ek,若误差满足预设要求,则结束训练并执行S305;
公式(5):
其中dk标识输出节点K的输出期望值,q是输出节点的数目;
S304、通过公式(6)、(7)调整输入层和隐藏层之间的权值和阈值,以及隐藏层和输出层之间的权值和阈值;
公式(6):
公式(7):
S305、通过步骤304获得的结果,计算获得输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk;
S306、通过新的权值Wij、Wjk以及样本数据,重新执行上述步骤S301至S305,直至误差满足预设要求。
进一步的,所述将所述最佳蜜源传回BP神经网络算法替换所述输入层与所述隐藏层的权值Wij和所述连接隐藏层与所述输出层的权值Wjk的步骤包括:
S401、所述人工蜂群算法迭代到达最大迭代次数maxcycle之后,从所述人工蜂群算法获得的权值和阈值作为新的初始参数训练所述BP神经网络算法;
S402、所述BP神经网络算法获得所述输入层与所述隐藏层的权值Wij和所述连接隐藏层与所述输出层的权值Wjk之后,通过所接收的网络数据获得检测结果。
进一步的,所述根据BP神经网络算法的输出值对用户的行为进行相应的响应操作的步骤之后,所述方法还包括:
将检测获得的新入侵行为的特征值添加到入侵行为特征库,将正常数据送往正常行为特征库。
基于同一发明构思,本发明的另一方面,提供了一种基于人工蜂群优化的BP算法的入侵检测系统,该系统包括:
数据采集模块,用于采集计算机网络系统的包含系统、网络、数据及用户活动的状态和行为的主机日志文件和网络数据;
预处理模块,用于对所述采集的所述主机日志文件和所述网络数据形成一包进行预处理,获得所述主机日志文件和所述网络数据的特征向量并转化为BP神经网络算法可识别的输入值;
BP神经网络模块,用于对所输入的网络数据的特征向量进行样本训练,并结合人工蜂群算法优化所述输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk,并根据入侵特征对所接收的网络数据进行已知入侵行为的检测,对与入侵特征不匹配但还不能确定是正常的数据进行异常入侵检测;
响应模块,用于根据BP神经网络算法的输出值对用户的行为进行相应的响应操作。
进一步的,该系统还包括IP协议分析模块,用于对链路层数据包进行解码得到IP数据包;根据所述IP数据包首部的协议字段对lP数据包进行解码得到对应的TCP、UDP和ICMP数据包。
进一步的,所述BP神经网络模块包括:
TCP神经单元,用于对TCP数据包的特征向量对应的输入值进行检测处理;
UDP神经单元,用于对UDP数据包的特征向量对应的输入值进行检测处理;
ICMP神经单元,用于对ICMP数据包的特征向量对应的输入值进行检测处理。
进一步的,该系统还包括:
入侵行为特征库,用于存储检测获得的新入侵行为的特征值;
正常行为特征库,用于存储检测之后的正常数据。
本发明方法具有如下优点:
本申请的基于人工蜂群优化的BP算法的入侵检测方法及其系统,根据人工蜂群算法全局寻优和群体智能的特点,在初始化神经网络的参数时,把神经网络的误差作为人工蜂群算法的适应度,选择适应度最好的一组参数作为神经网络的权值和阈值,避免神经网络陷入局部最优和收敛速度慢的问题;将人工蜂群优化的BP神经网络模型应用到入侵检测中,优化后的网络模型加快了收敛速度,提高了检测精度。
附图说明
图1本发明实施例提供的一种基于人工蜂群优化的BP算法的入侵检测方法流程框图。
图2本发明实施例提供的一种基于人工蜂群优化的BP算法的入侵检测系统结构框图。
具体实施方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
实施例1
如图1所示,一种基于人工蜂群优化的BP算法的入侵检测方法,该方法包括以下步骤:
S101、采集计算机网络系统的包含系统、网络、数据及用户活动的状态和行为的主机日志文件和网络数据;
入侵检测利用的网络系统信息一般来自以下四个方面:
第一、系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
第二、目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。
第三、程序执行中的不期望行为
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。
一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。
第四、物理形式的入侵信息
这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。
S102、对所述采集的所述主机日志文件和所述网络数据形成一包进行预处理,获得所述主机日志文件和所述网络数据的特征向量并转化为BP神经网络算法可识别的输入值;
S103、对所述BP神经网络算法进行初始化,将连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk作为人工蜂群算法的优化目标;
S104、初始化人工蜂群算法的参数,进行雇佣蜂、跟随蜂与侦查蜂操作,找到最佳蜜源,将所述最佳蜜源传回BP神经网络算法替换所述输入层与所述隐藏层的权值Wij和所述连接隐藏层与所述输出层的权值Wjk;
S105、根据入侵特征对所接收的网络数据进行已知入侵行为的检测,然后对与入侵特征不匹配但还不能确定是正常的数据进行异常入侵检测,根据BP神经网络算法的输出值对用户的行为进行相应的响应操作。
其中,所述初始化人工蜂群算法的参数,进行雇佣蜂、跟随蜂与侦查蜂操作,找到最佳蜜源的步骤具体包括:
S201、初始化人工蜂群算法,设置蜜源的数量N,最大迭代次数maxcycle,最大滞留次数limit,产生初始蜜源;
S202、雇佣蜂开始按照式(1)来搜索新蜜源,之后计算新解的适应度值并更新蜜源;
公式(1):
其中,
iter是当前的迭代次数;Wmin是调整因子的最小值;Wmax是调整因子的最大值;W1和W2分别代表着新蜜源向原蜜源、领域蜜源和种群最优蜜源的靠近速度;
S203、按照公式(2)计算与解Xi对应的选择概率值Pi;
公式(2):
其中,自适应因子fiti是解Xi对应的适应度值;
跟随蜂根据选择概率Pi来选择蜜源,并按照公式(1)来选择产生新解,之后计算新解的适应度值并更新蜜源;
S204、如果某个解Xi连续滞留的次数达到了之前的最大滞留次数limit,则这个解需要被丢弃,侦查蜂将出现并产生一个新解来代替那个被丢弃的解;
S205、从步骤S202到S204为一次迭代过程,完成后记录下最优的解,即该解的适应度值最高;
S206、判断是否达到最大迭代次数maxcycle和指定精度,否则返回步骤S202继续。
通过引入自适应的调整因子w1和w2,调整搜索方式,以及改进跟随蜂选择概率,使得在算法前期能让跟随蜂搜索适应度高的蜜源以保证收敛速度,而在算法后期跟随蜂能搜索适应度低的蜜源,以保证种群的多样性,避免陷入局部最优值。
其中所述对所述采集的所述主机日志文件和所述网络数据形成一包进行预处理,获得所述主机日志文件和所述网络数据的特征向量并转化为BP神经网络算法可识别的输入值的步骤具体包括:
对链路层数据包进行解码得到IP数据包;根据所述IP数据包首部的协议字段对lP数据包进行解码得到对应的TCP、UDP和ICMP数据包;根据所述TCP、UDP和ICMP数据包的类型将接收到的信息转换为具有若干个分向量的特征向量,传输到所述BP神经网络算法作为输入值。
可选地,得到IP数据包后判断该IP数据包是否进行了分组,如果是分组的IP数据包,则对其进行重组。
进一步的,所述对所述BP神经网络算法进行初始化,将连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk作为人工蜂群算法的优化目标的步骤包括:
S301、选择训练用的样本数据,产生输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk;
S302、在BP神经网络算法中输入特征向量X=(x1,x2,…,xn),所述隐藏层tj由公式(3)计算获得,其中θj为输入层和隐藏层之间的阈值;
隐藏层的实际输出值lj由公式(4)计算获得,重复公式(3)、(4)计算输出层的实际输出值yk;
公式(3):
公式(4):
S303、利用公式(5)计算BP神经网络算法的误差ek,若误差满足预设要求,则结束训练并执行S305;
公式(5):
其中dk标识输出节点K的输出期望值,q是输出节点的数目;
S304、通过公式(6)、(7)调整输入层和隐藏层之间的权值和阈值,以及隐藏层和输出层之间的权值和阈值;
公式(6):
公式(7):
S305、通过步骤304获得的结果,计算获得输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk;
S306、通过新的权值Wij、Wjk以及样本数据,重新执行上述步骤S301至S305,直至误差满足预设要求。
其中,所述将所述最佳蜜源传回BP神经网络算法替换所述输入层与所述隐藏层的权值Wij和所述连接隐藏层与所述输出层的权值Wjk的步骤包括:
S401、所述人工蜂群算法迭代到达最大迭代次数maxcycle之后,从所述人工蜂群算法获得的权值和阈值作为新的初始参数训练所述BP神经网络算法;
S402、所述BP神经网络算法获得所述输入层与所述隐藏层的权值Wij和所述连接隐藏层与所述输出层的权值Wjk之后,通过所接收的网络数据获得检测结果。
其中,所述根据BP神经网络算法的输出值对用户的行为进行相应的响应操作的步骤之后,所述方法还包括:
将检测获得的新入侵行为的特征值添加到入侵行为特征库,将正常数据送往正常行为特征库。
实施例2
基于同一发明构思,本发明的另一方面,如图2所示,提供了一种基于人工蜂群优化的BP算法的入侵检测系统,该系统包括:
数据采集模块,用于采集计算机网络系统的包含系统、网络、数据及用户活动的状态和行为的主机日志文件和网络数据;
预处理模块,用于对所述采集的所述主机日志文件和所述网络数据形成一包进行预处理,获得所述主机日志文件和所述网络数据的特征向量并转化为BP神经网络算法可识别的输入值;
BP神经网络模块,用于对所输入的网络数据的特征向量进行样本训练,并结合人工蜂群算法优化所述输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk,并根据入侵特征对所接收的网络数据进行已知入侵行为的检测,对与入侵特征不匹配但还不能确定是正常的数据进行异常入侵检测;
响应模块,用于根据BP神经网络算法的输出值对用户的行为进行相应的响应操作。
其中,该系统还包括IP协议分析模块,用于对链路层数据包进行解码得到IP数据包;根据所述IP数据包首部的协议字段对lP数据包进行解码得到对应的TCP、UDP和ICMP数据包。
其中,所述BP神经网络模块包括:
TCP神经单元,用于对TCP数据包的特征向量对应的输入值进行检测处理;
UDP神经单元,用于对UDP数据包的特征向量对应的输入值进行检测处理;
ICMP神经单元,用于对ICMP数据包的特征向量对应的输入值进行检测处理。
其中,该系统还包括:
入侵行为特征库,用于存储检测获得的新入侵行为的特征值;
正常行为特征库,用于存储检测之后的正常数据。
入侵检测系统的主要功能是对入侵计算机网络的行为和计算机系统进行检测,包括数据聚类、数据采集、分析判断行为、对入侵行为进行响应、报警等。BP网络各层神经元仅连接相邻层神经元;在各层内部,神经元间无连接;同时各层神经元间也无反馈连接。在信号输入后,传播到隐节点经变换函数再将信息传播到输出节点,经过处理,输出结果。
本申请的基于人工蜂群优化的BP算法的入侵检测方法及其系统,根据人工蜂群算法全局寻优和群体智能的特点,在初始化神经网络的参数时,把神经网络的误差作为人工蜂群算法的适应度,选择适应度最好的一组参数作为神经网络的权值和阈值,避免神经网络陷入局部最优和收敛速度慢的问题;将人工蜂群优化的BP神经网络模型应用到入侵检测中,优化后的网络模型加快了收敛速度,提高了检测精度。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种基于人工蜂群优化的BP算法的入侵检测方法,其特征在于,所述检测方法包括以下步骤:
S101、采集计算机网络系统的包含系统、网络、数据及用户活动的状态、行为的主机日志文件和网络数据;
S102、对采集的所述主机日志文件和网络数据形成一包进行预处理,获得所述主机日志文件和网络数据的特征向量并转化为BP神经网络算法可识别的输入值;
S103、对所述BP神经网络算法进行初始化,将连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk作为人工蜂群算法的优化目标;
S104、初始化人工蜂群算法的参数,进行雇佣蜂、跟随蜂与侦查蜂操作,找到最佳蜜源,将所述最佳蜜源传回BP神经网络算法替换所述连接输入层与隐藏层的权值Wij和所述连接隐藏层与输出层的权值Wjk;
S105、根据入侵特征对所接收的网络数据进行已知入侵行为的检测,然后对与入侵特征不匹配且不能确定是正常的数据进行异常入侵检测,根据BP神经网络算法的输出值对用户的行为进行相应的响应操作。
2.根据权利要求1所述的一种基于人工蜂群优化的BP算法的入侵检测方法,其特征在于,所述初始化人工蜂群算法的参数,进行雇佣蜂、跟随蜂与侦查蜂操作,找到最佳蜜源的步骤具体包括:
S201、初始化人工蜂群算法,设置蜜源的数量N,最大迭代次数maxcycle,最大滞留次数limit,产生初始蜜源;
S202、雇佣蜂开始按照式(1)来搜索新蜜源,之后计算新解Xj new的适应度值并更新蜜源;
公式(1):
其中,
iter是当前的迭代次数;Wmin是调整因子的最小值;Wmax是调整因子的最大值;W1和W2分别代表着新蜜源向原蜜源、领域蜜源和种群最优蜜源的靠近速度;
S203、按照公式(2)计算与解Xi对应的选择概率值Pi;
公式(2):
其中,自适应因子fiti是解Xi对应的适应度值;
跟随蜂根据选择概率Pi来选择蜜源,并按照公式(1)来选择产生新解Xj new,之后计算新解的适应度值并更新蜜源;
S204、如果某个解Xi连续滞留的次数达到了之前的最大滞留次数limit,则这个解被丢弃,侦查蜂将出现并产生一个新解来代替被丢弃的解;
S205、从步骤S202到S204为一次迭代过程,完成后记录下最优的解,即该解的适应度值最高;
S206、判断是否达到最大迭代次数maxcycle和指定精度,否则返回步骤S202继续。
3.根据权利要求1所述的一种基于人工蜂群优化的BP算法的入侵检测方法,其特征在于,对采集的所述主机日志文件和网络数据形成一包进行预处理,获得所述主机日志文件和网络数据的特征向量并转化为BP神经网络算法可识别的输入值的步骤具体包括:
对链路层数据包进行解码得到IP数据包;根据所述IP数据包首部的协议字段对lP数据包进行解码得到对应的TCP、UDP和ICMP数据包;根据所述TCP、UDP和ICMP数据包的类型将接收到的信息转换为具有若干个分向量的特征向量,传输到所述BP神经网络算法作为输入值。
4.根据权利要求2所述的一种基于人工蜂群优化的BP算法的入侵检测方法,其特征在于,对所述BP神经网络算法进行初始化,将连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk作为人工蜂群算法的优化目标的步骤包括:
S301、选择训练用的样本数据,产生连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk;
S302、在BP神经网络算法中输入特征向量X=(x1,x2,…,xn),所述隐藏层tj由公式(3)计算获得,其中θj为输入层和隐藏层之间的阈值;
隐藏层的实际输出值lj由公式(4)计算获得,重复公式(3)、(4)计算输出层的实际输出值yk;
公式(3):
公式(4):
S303、利用公式(5)计算BP神经网络算法的误差ek,若误差满足预设要求,则结束训练并执行S305;
公式(5):
其中dk标识输出节点K的输出期望值,q是输出节点的数目;
S304、通过公式(6)、(7)调整输入层和隐藏层之间的权值和阈值,以及隐藏层和输出层之间的权值和阈值;
公式(6):
公式(7):
S305、通过步骤304获得的结果,计算获得连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk;
S306、通过新的权值Wij、Wjk以及样本数据,重新执行上述步骤S301至S305,直至误差满足预设要求。
5.根据权利要求4所述的一种基于人工蜂群优化的BP算法的入侵检测方法,其特征在于,将所述最佳蜜源传回BP神经网络算法替换所述连接输入层与隐藏层的权值Wij和所述连接隐藏层与输出层的权值Wjk的步骤包括:
S401、所述人工蜂群算法迭代到达最大迭代次数maxcycle之后,从所述人工蜂群算法获得的权值和阈值作为新的初始参数训练所述BP神经网络算法;
S402、所述BP神经网络算法获得所述连接输入层与隐藏层的权值Wij和所述连接隐藏层与输出层的权值Wjk之后,通过所接收的网络数据获得检测结果。
6.根据权利要求1所述的一种基于人工蜂群优化的BP算法的入侵检测方法,其特征在于,所述根据BP神经网络算法的输出值对用户的行为进行相应的响应操作的步骤之后,所述方法还包括:
将检测获得的新入侵行为的特征值添加到入侵行为特征库,将正常数据送往正常行为特征库。
7.一种基于人工蜂群优化的BP算法的入侵检测系统,其特征在于,所述系统包括:
数据采集模块,用于采集计算机网络系统的包含系统、网络、数据及用户活动的状态和行为的主机日志文件和网络数据;
预处理模块,用于对采集的所述主机日志文件和网络数据形成一包进行预处理,获得所述主机日志文件和网络数据的特征向量并转化为BP神经网络算法可识别的输入值;
BP神经网络模块,用于对所输入的网络数据的特征向量进行样本训练,并结合人工蜂群算法优化所述连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk,并根据入侵特征对所接收的网络数据进行已知入侵行为的检测,对与入侵特征不匹配且不能确定是正常的数据进行异常入侵检测;
响应模块,用于根据BP神经网络算法的输出值对用户的行为进行相应的响应操作。
8.根据权利要求7所述的一种基于人工蜂群优化的BP算法的入侵检测系统,其特征在于,所述系统还包括IP协议分析模块,用于对链路层数据包进行解码得到IP数据包;根据所述IP数据包首部的协议字段对lP数据包进行解码得到对应的TCP、UDP和ICMP数据包。
9.根据权利要求8所述的一种基于人工蜂群优化的BP算法的入侵检测系统,其特征在于,所述BP神经网络模块包括:
TCP神经单元,用于对TCP数据包的特征向量对应的输入值进行检测处理;
UDP神经单元,用于对UDP数据包的特征向量对应的输入值进行检测处理;
ICMP神经单元,用于对ICMP数据包的特征向量对应的输入值进行检测处理。
10.根据权利要求7所述的一种基于人工蜂群优化的BP算法的入侵检测系统,其特征在于,所述该系统还包括:
入侵行为特征库,用于存储检测获得的新入侵行为的特征值;
正常行为特征库,用于存储检测之后的正常数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810069263.6A CN108259498B (zh) | 2018-01-24 | 2018-01-24 | 一种基于人工蜂群优化的bp算法的入侵检测方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810069263.6A CN108259498B (zh) | 2018-01-24 | 2018-01-24 | 一种基于人工蜂群优化的bp算法的入侵检测方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108259498A true CN108259498A (zh) | 2018-07-06 |
| CN108259498B CN108259498B (zh) | 2020-06-23 |
Family
ID=62741922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810069263.6A Active CN108259498B (zh) | 2018-01-24 | 2018-01-24 | 一种基于人工蜂群优化的bp算法的入侵检测方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108259498B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120630A (zh) * | 2018-09-03 | 2019-01-01 | 上海海事大学 | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 |
| CN109617888A (zh) * | 2018-12-24 | 2019-04-12 | 湖北大学 | 一种基于神经网络的异常流量检测方法及系统 |
| CN109615615A (zh) * | 2018-11-26 | 2019-04-12 | 北京联合大学 | 一种基于abc—bp神经网络的裂缝识别方法及系统 |
| CN109800954A (zh) * | 2018-12-19 | 2019-05-24 | 中国石油化工股份有限公司 | 基于测井数据的储层评价新方法 |
| CN109919229A (zh) * | 2019-03-08 | 2019-06-21 | 杭州麦乐克科技股份有限公司 | 基于人工蜂群和神经网络的监测有害气体预测方法及系统 |
| CN109946424A (zh) * | 2019-03-08 | 2019-06-28 | 杭州麦乐克科技股份有限公司 | 基于人工蜂群和神经网络的气体标定分类方法及系统 |
| CN110009696A (zh) * | 2019-04-10 | 2019-07-12 | 哈尔滨理工大学 | 基于蜂群算法优化bp神经网络三目视觉标定 |
| CN112668688A (zh) * | 2020-12-30 | 2021-04-16 | 江西理工大学 | 一种入侵检测方法、系统、设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI540533B (zh) * | 2015-03-18 | 2016-07-01 | 聖約翰科技大學 | 智慧型短期電力發電量預測方法 |
| CN107292166A (zh) * | 2017-05-18 | 2017-10-24 | 广东工业大学 | 一种基于cfa算法和bp神经网络的入侵检测方法 |
| CN107465664A (zh) * | 2017-07-07 | 2017-12-12 | 桂林电子科技大学 | 基于并行多人工蜂群算法和支持向量机的入侵检测方法 |
-
2018
- 2018-01-24 CN CN201810069263.6A patent/CN108259498B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI540533B (zh) * | 2015-03-18 | 2016-07-01 | 聖約翰科技大學 | 智慧型短期電力發電量預測方法 |
| CN107292166A (zh) * | 2017-05-18 | 2017-10-24 | 广东工业大学 | 一种基于cfa算法和bp神经网络的入侵检测方法 |
| CN107465664A (zh) * | 2017-07-07 | 2017-12-12 | 桂林电子科技大学 | 基于并行多人工蜂群算法和支持向量机的入侵检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 刘伉伉: "《基于BP神经网络的云计算入侵检测技术研究》", 《计算机与数学工程》 * |
| 沈夏炯: "《人工蜂群优化的BP神经网络在入侵检测中的应用》", 《计算机工程》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120630A (zh) * | 2018-09-03 | 2019-01-01 | 上海海事大学 | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 |
| CN109120630B (zh) * | 2018-09-03 | 2022-08-02 | 上海海事大学 | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 |
| CN109615615A (zh) * | 2018-11-26 | 2019-04-12 | 北京联合大学 | 一种基于abc—bp神经网络的裂缝识别方法及系统 |
| CN109800954A (zh) * | 2018-12-19 | 2019-05-24 | 中国石油化工股份有限公司 | 基于测井数据的储层评价新方法 |
| CN109800954B (zh) * | 2018-12-19 | 2021-08-20 | 中国石油化工股份有限公司 | 基于测井数据的储层评价方法 |
| CN109617888A (zh) * | 2018-12-24 | 2019-04-12 | 湖北大学 | 一种基于神经网络的异常流量检测方法及系统 |
| CN109617888B (zh) * | 2018-12-24 | 2021-05-07 | 湖北大学 | 一种基于神经网络的异常流量检测方法及系统 |
| CN109919229A (zh) * | 2019-03-08 | 2019-06-21 | 杭州麦乐克科技股份有限公司 | 基于人工蜂群和神经网络的监测有害气体预测方法及系统 |
| CN109946424A (zh) * | 2019-03-08 | 2019-06-28 | 杭州麦乐克科技股份有限公司 | 基于人工蜂群和神经网络的气体标定分类方法及系统 |
| CN110009696A (zh) * | 2019-04-10 | 2019-07-12 | 哈尔滨理工大学 | 基于蜂群算法优化bp神经网络三目视觉标定 |
| CN112668688A (zh) * | 2020-12-30 | 2021-04-16 | 江西理工大学 | 一种入侵检测方法、系统、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108259498B (zh) | 2020-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108259498A (zh) | 一种基于人工蜂群优化的bp算法的入侵检测方法及其系统 | |
| Hodo et al. | Threat analysis of IoT networks using artificial neural network intrusion detection system | |
| CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
| Dilek et al. | Applications of artificial intelligence techniques to combating cyber crimes: A review | |
| Miller et al. | The role of machine learning in botnet detection | |
| CN103957203B (zh) | 一种网络安全防御系统 | |
| CN110830287B (zh) | 一种基于监督学习的物联网环境态势感知方法 | |
| CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
| CN112491860A (zh) | 一种面向工业控制网络的协同入侵检测方法 | |
| CN115118525B (zh) | 一种物联网安全防护系统及其防护方法 | |
| CN116668078A (zh) | 一种互联网入侵安全防御系统 | |
| Abou Haidar et al. | High perception intrusion detection system using neural networks | |
| CN114374528A (zh) | 一种数据安全检测方法、装置、电子设备及介质 | |
| CN111447168B (zh) | 一种多维的网络安全预测方法 | |
| CN114006744A (zh) | 一种基于lstm的电力监控系统网络安全态势预测方法及系统 | |
| Eid et al. | IIoT network intrusion detection using machine learning | |
| CN112417434A (zh) | 一种结合ueba机制的程序白名单防护方法 | |
| Fan | Machine learning and unlearning for IoT anomaly detection | |
| Han et al. | Evolutionary learning program’s behavior in neural networks for anomaly detection | |
| Deng et al. | Network security intrusion detection system based on incremental improved convolutional neural network model | |
| CN117278335B (zh) | 一种密码套件推选方法、装置、电子设备和存储介质 | |
| Zhou et al. | Behavior based anomaly detection model in SCADA system | |
| Zhang et al. | Evaluation of Network Security State of Industrial Control System Based on BP Neural Network | |
| Abraham et al. | Evolution of intrusion detection systems | |
| Teles et al. | Autonomic computing applied to network security: A survey |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231008 Address after: Room 2202, 22 / F, Wantong building, No. 3002, Sungang East Road, Sungang street, Luohu District, Shenzhen City, Guangdong Province Patentee after: Shenzhen dragon totem technology achievement transformation Co.,Ltd. Address before: 230000 floor 1, building 2, phase I, e-commerce Park, Jinggang Road, Shushan Economic Development Zone, Hefei City, Anhui Province Patentee before: Dragon totem Technology (Hefei) Co.,Ltd. Effective date of registration: 20231008 Address after: 230000 floor 1, building 2, phase I, e-commerce Park, Jinggang Road, Shushan Economic Development Zone, Hefei City, Anhui Province Patentee after: Dragon totem Technology (Hefei) Co.,Ltd. Address before: 425000 No. 130 Yangzitang Road, Lingling District, Yongzhou City, Hunan Province Patentee before: HUNAN University OF SCIENCE AND ENGINEERING |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240102 Address after: Chinatelecom tower, No. 19, Chaoyangmen North Street, Dongcheng District, Beijing 100010 Patentee after: Tianyi Safety Technology Co.,Ltd. Address before: Room 2202, 22 / F, Wantong building, No. 3002, Sungang East Road, Sungang street, Luohu District, Shenzhen City, Guangdong Province Patentee before: Shenzhen dragon totem technology achievement transformation Co.,Ltd. |
|
| TR01 | Transfer of patent right |