CN108520272B - 一种改进苍狼算法的半监督入侵检测方法 - Google Patents

一种改进苍狼算法的半监督入侵检测方法 Download PDF

Info

Publication number
CN108520272B
CN108520272B CN201810238633.4A CN201810238633A CN108520272B CN 108520272 B CN108520272 B CN 108520272B CN 201810238633 A CN201810238633 A CN 201810238633A CN 108520272 B CN108520272 B CN 108520272B
Authority
CN
China
Prior art keywords
algorithm
data
cloud
model
gwo
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810238633.4A
Other languages
English (en)
Other versions
CN108520272A (zh
Inventor
杨红浩
周治平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangnan University
Original Assignee
Jiangnan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangnan University filed Critical Jiangnan University
Priority to CN201810238633.4A priority Critical patent/CN108520272B/zh
Publication of CN108520272A publication Critical patent/CN108520272A/zh
Application granted granted Critical
Publication of CN108520272B publication Critical patent/CN108520272B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • G06F18/2155Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the incorporation of unlabelled data, e.g. multiple instance learning [MIL], semi-supervised techniques using expectation-maximisation [EM] or naïve labelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种改进苍狼算法的半监督入侵检测方法,属于网络信息安全技术领域。本发明方法可以有效避免基本GWO算法易出现早熟收敛这一缺陷,平衡了GWO算法的全局探索和局部开发能力;利用云GWO算法优化K‑means算法来标记特征相似的数据,在少量人工标记数据的基础上,实现大规模准确标记训练数据集的生成,同时提出了未标记数据和标记数据的比例大小,避免了模型出现“欠拟合”和“过拟合”的现象,保证了模型的检测精度;同时,将优化后的半监督学习方法结合利用云GWO算法对单类支持向量机模型的参数进行优化,相比单方面的优化,本发明达到了更高的检测精度。

Description

一种改进苍狼算法的半监督入侵检测方法
技术领域
本发明涉及一种改进苍狼算法的半监督入侵检测方法,属于网络信息安全技术领域。
背景技术
工业4.0及其相关技术的快速发展,然而,现有的工业通讯协议中存在不可避免的漏洞,导致工控网络易受到攻击者的恶意攻击,2010年攻击者借助Stuxnet病毒破坏了伊朗核设施,造成了严重的事故,敲响了工业控制系统安全的警钟。
工业控制网络入侵检测可以分为误用检测和异常检测两大类,而对于异常检测方面又可以分为基于统计的方法、基于知识的方法和基于机器学习的方法三大类。常用的工控网络入侵检测算法有极限学习机、最小二乘支持向量机、神经网络、决策树和单类支持向量机等方法。经过国内外研究者和专家进行的大量研究,基于单类支持向量机的机器学习方法已被证实是一种有效的控制系统通信网络入侵检测方法,但是其分类性能受到核函数参数和惩罚参数的限制,参数选择的是否恰当会直接影响到入侵检测的效果。随着智能算法的快速发展,如粒子群算法、遗传算法等模型参数优化方法在工业控制系统入侵检测领域发挥了重要的作用。另一方面,数据采集与监视控制网络、分布式控制网络等工业控制系统的数据具有异常样本少、维度高、关联性强等特点,且多数为正常数据,故障或临界状态的数据较少.但在处理工控网络流量产生的大数据时,对数据进行做标签费时耗力。
灰狼算法于2014年被提出之后,依其算法模型简单,参数设置少和寻优能力强的优点,且研究结果表明其性能明显优于粒子群算法和引力搜索算法,在电力、医学、经济等多个领域中有着广泛应用。但是基本的苍狼算法(GWO)存在探索和开发能力难以协调、求解精度低的缺点。所以更需要一种搜索能力更好的启发式算法,提高对最优目标区域搜索的精细程度和搜索效率。
发明内容
本发明的目的在于提出一种改进灰狼算法结合半监督学习的异常入侵检测方法,该方法首先使用云模型优化GWO的控制参数,有效避免基本GWO算法易出现早熟收敛这一缺陷,并用优化后的GWO算法优化K-means半监督学习方法,利用少量准确标记数据获得大规模训练数据,在少量人工标记工控网络数据的基础上实现大规模准确标记训练数据集的生成,一定程度上保证了模型的检测精度,最后通过结合半监督学习方法和云GWO算法对单类支持向量机模型的参数进行优化。
本发明所述改进灰狼算法结合半监督学习的异常入侵检测方法,主要包括以下步骤:
步骤1:通过基本的GWO算法结合云模型算法,优化GWO算法的控制参数,得到云GWO算法,使其获得更大的搜索区域增加其在全局的搜索能力;
具体地,根据个体适应度值
Figure GDA0002557978870000021
将适应度值分为三个取值区间,
当个体的适应度值
Figure GDA0002557978870000022
时,此时a应该取较小0值使得|A|<1,实现狼群快速攻击猎物;A为GWO算法模型中的系数向量,a为GWO算法模型中的随机取值参数;当个体的适应度值
Figure GDA0002557978870000023
时,此时a应该取较大值2使得|A|>1;当个体的适应度值
Figure GDA0002557978870000024
时,该部分狼群个体的适应度不高,结合云模型对其进行改进。
步骤2:通过步骤1中得到的云GWO算法结合K-means半监督学习方法,将云GWO算法的适应度值和K-means半监督算法的目标函数结合起来,构建半监督模型,通过使用少量先验标记的数据,来对大量工控网络未知数据进行自动标记。
由于在异常检测中,使用专家知识来标记工控网络中大量的数据是费时耗力的,半监督学习通过使用少量先验标记的数据,通过对大量工控网络未知数据进行自动标记,获得大规模准确标记的训练数据集,本发明使用云GWO算法结合K-means半监督学习算法,将GWO算法的适应度值和K-means聚类算法的目标函数结合起来,充分利用GWO算法与K-means算法的优点。
步骤3:数据预处理:将2个工控系统网络层的数据(例如密西西比州立大学关键基础设施保护中心提供的天然气管道和储水池系统数据)进行数值化处理和数值归一化处理,得到一个N维的向量组,并对预处理后的数据使用步骤2所得的半监督模型获得训练数据集。
步骤4:采用离线训练的方式,应用上述步骤3所得的训练数据集进行仿真研究,通过云GWO算法搜索OCSVM分类器的最优惩罚常数C和最优高斯核函数参数γ来构建入侵检测模型,其中包括以下步骤:
接受云GWO算法优化过程得到的最优惩罚常数C和最优高斯核函数参数γ,并将异常数据和正常数据分别标记为-1和+1;
构造对偶问题求解OCSVM模型原始优化问题为:
Figure GDA0002557978870000025
w是正交与超平面的向量,xi表示进行预处理之后的数据,ξi表示松弛变量,ρ表示原点到超平面的距离,φ是将训练样例转化为特征空间的核映射。
相应地,根据拉格朗日乘子法,可以得到对偶优化问题:
Figure GDA0002557978870000031
K(xi,xj)表示核函数参数,本发明选用高斯核函数
K(xi,xj)=exp(-γ||xi-xj||2),γ>0 (14)
最后得到每个数据的xi决策函数为:
f(x)=sgn((w*)Tφ(x)-ρ*) (15)
如果某一个数据点xi,有f(xi)=-1,那么认为此数据点为异常数据;反之,则为正常数据。
通过以上步骤,本发明实现了了一种基于改进灰狼算法结合半监督学习的异常入侵检测方法。
本发明具有以下优点:
(1)本发明所提出的一种基于云模型的非线性控制GWO算法参数的方法,可以有效避免基本GWO算法易出现早熟收敛这一缺陷,平衡了GWO算法的全局探索和局部开发能力;
(2)利用云GWO算法优化K-means算法来标记特征相似的数据,在少量人工标记数据的基础上,实现大规模准确标记训练数据集的生成,同时提出了未标记数据和标记数据的比例大小,避免了模型出现“欠拟合”和“过拟合”的现象,保证了模型的检测精度。
(3)最后将优化后的半监督学习方法结合利用云GWO算法对单类支持向量机模型的参数进行优化,相比单方面的优化,本发明达到了更高的检测精度。
附图说明
图1为本发明所述使用云GWO优化OCSVM流程图。
图2为本发明提供的使用云GWO优化K-means半监督学习的训练集标记过程。
图3为储水池系统标记和未标记数据不同比率的检测精度曲线。
图4为天然气系统标记和未标记数据不同比率的检测精度曲线。
具体实施方式
为解决工控网络中未知攻击流量的特征难以自适应的选取,以及大量准确标记的训练数据集费时耗力,本发明采用云灰狼算法优化K-means聚类中心的半监督学习方法,使用微量正确标记样本生成大规模的训练数据集,随后使用云灰狼算法优化单类支持向量机的参数,以更加高效的实现对于未知攻击的检测。
下面结合说明书附图对本发明作进一步详细说明。
步骤1:通过基本的GWO算法结合云模型算法,优化GWO算法的控制参数,得到云GWO算法,使其获得更大的搜索区域增加其在全局的搜索能力;
通过分析基本GWO算法,当系数向量A的随机值在[-1,1]中时,狼群缩小搜索范围,搜索的下一个位置可以位于其当前位置和猎物位置之间的任何位置,在局部范围进行精确搜索,并准备对猎物强行攻击,如果狼群扩大全局搜索范围,可以寻找到更好的解。通过以上分析可以发现,算法的全局搜索和局部寻优能力在很大程度上取决于A的数值,而A的数值是由a决定的。本发明结合云模型算法优化灰狼算法控制参数的取值。具体步骤如下:
首先定义以下三个适应度值:
Figure GDA0002557978870000041
Figure GDA0002557978870000042
Figure GDA0002557978870000043
式中N是灰狼种群数目,f(Xi(t))是第t次迭代中第i只灰狼的适应度值,fmin(Xi(t))表示适应度中最小值,fmax(Xi(t))表示最大适应度值。
根据个体适应度值
Figure GDA0002557978870000044
将所有适应度值可以划分为三个取值区间。
当个体适应度值
Figure GDA0002557978870000045
时,说明狼群很逼近猎物,并可以从中确定适应度最好的前三名α,β,δ,此时a应该取较小0值使得|A|<1,实现狼群快速攻击猎物;当个体适应度值
Figure GDA0002557978870000046
时,说明个体已经远离猎物,应在全局扩大范围继续搜索,此时a应该取较大值2使得|A|>1;当个体的适应度值
Figure GDA0002557978870000047
时,该部分狼群个体的适应度不高,结合云模型对其进行改进。
确定个体的数学期望值:
Ex=fbest(Xj(t)) (4)
狼群中个体的熵为:
Figure GDA0002557978870000054
假设个体的超熵和熵的关系为:
He=En/b2 (6)
上式中b1和b2为设置参数,根据“3En”规则,为使狼群的搜索速度和精度更优,此处取
b1=3,b2=10,则可以设定:
Figure GDA0002557978870000051
En'=normrand(En,He) (8)
根据个体适应度值的变化,有数学极限定理可知
Figure GDA0002557978870000052
因此保证了a∈[0,2],Normrnd为正态随机数发生器。
步骤2云GWO优化K-means半监督学习的训练集生成
半监督学习通过使用少量先验标记的数据,通过对大量工控网络未知数据进行自动标记,获得大规模准确标记的训练数据集如图2所示,本发明使用云GWO结合K-means半监督学习算法,将灰狼算法的适应度值和K-means聚类算法的目标函数结合起来,充分利用GWO算法与K-means算法的优点:
f1(Xi(t))=1/(1+J) (9)
Figure GDA0002557978870000053
式中d(xi,cj)表示样本数据xi到所有聚类中心cj的距离,根据样本数据的相似性将数据划分到距离最近的属类。利用灰狼算法良好的优化能力,搜索正常和异常样本中的最佳聚类中心,避免了原始K-means算法对初始聚类中心的依赖,具体描述如下:
Step1初始化算法参数。给定数据集X={x1,x2,...,xn},聚类个数K,在已正确标记的正常和异常数据中分别随机选取一条数据作为簇的中心,种群规模大小N,最大迭代次数T。
Step2给定初始灰狼种群Pop=(P1,P2,...,PN),令t=0,每一个个体表示一种聚类划分,计算每个数据分别到簇心的距离,根据相似度将该数据划分到距离最近的类。
Step3计算每个个体的适应度值f(Xi(t)),i=1,2,...,N,将前三位适应度值分别记做α,β,δ。α代表最佳聚类中心。
Step4位置及参数更新。
更新控制参数的值;更新GWO模型中系数向量A和C’的值;重新计算适应度值;更新α,β,δ及其簇心位置。迭代次数t+1。
Step5判断是否到达最大迭代次数T=200,若是,则停止运算,否则返回Step3继续执行。最终获得训练数据集。
步骤3数据预处理:
由于数据集中有的属性为非数值形式,此属性不能被模型直接识别,必须进行数值化处理同时为了减少不同属性之间的相互影响对训练和测试样本数据特征进行标准化处理,将数值归一化处理,采用Min-Max标准化法,将其映射到[0,1]区间。公式如下:
Figure GDA0002557978870000061
式中x'是归一化后的值,xmin是特征中的最小值,xmax是特征中的最大值,x为特征的初始值,并使用上述半监督学习方法获得训练数据集,如图2所示。
步骤4:采用离线训练的方式,应用上述所得的训练数据集进行仿真研究,通过云GWO算法搜索OCSVM分类器的最优惩罚常数C和最优高斯核函数参数γ来构建入侵检测模型。
包括以下步骤:
Step1初始化灰狼种群数量N,在终止条件无法满足时的最大迭代次数T和OCSVM的参数取值区间[Cmin,Cmax]和[γminmax],系数A和C参数。
Step2随机产生初始化狼群,每一只狼的位置Xi=(XiC,X)有惩罚参数C和核函数参数γ两个分量组成。
Step3计算每一个个体的适应度值,并根据适应度值挑选出前三名,
接受云GWO算法优化过程得到的最优惩罚常数C和最优高斯核函数参数γ,并将异常数据和正常数据分别标记为-1和+1。
Step4针对每个搜索代理通过等式来更新当前搜索代理的位置。
Step5更新a,A,C的数值。计算搜索代理的适应度值。
Step6更新前三名的位置。如果粒子适应度f(Xi(t))<f(Xi(t+1)),说明该灰狼位置代替群体最优适应度,那么更新个体最优位置;否则保留原来位置。
Step7判断是否到达最大迭代次数,若是则输出OCSVM最优参数;否则继续执行Step3。
Step8停止迭代后,采用最优参数并建立基于改进GWO-OCSVM的入侵检测模型。
构造对偶问题求解OCSVM模型原始优化问题为:
Figure GDA0002557978870000071
w是正交与超平面的向量,xi表示进行预处理之后的数据,ξi表示松弛变量,ρ表示原点到超平面的距离,φ是将训练样例转化为特征空间的核映射。
相应地,根据拉格朗日乘子法,可以得到对偶优化问题:
Figure GDA0002557978870000072
K(xi,xj)表示核函数参数,本发明选用高斯核函数;βi、βj为拉格朗日乘子;
K(xi,xj)=exp(-γ||xi-xj||2),γ>0 (14)
最后得到每个数据的xi决策函数为:
f(x)=sgn((w*)Tφ(x)-ρ*) (15)
如果某一个数据点xi,有f(xi)=-1,那么认为此数据点为异常数据;反之,则为正常数据。
基于上述阐述,本实施例使用Matlab2014b软件对改进后的算法进行验证,如图3和图4所示,本实施例假设已准确标记数据和未标记的数据的比例为1:M,M表示未标记的数据规模大小,从图3和图4中可以看出,训练数据集的准确率随着M的增大逐渐下降,而模型检测的准确率随着M值先增大随后下降的趋势,分别在M=8和M=5时达到最大值95.76%和95.82%。说明当M较小时,半监督学习方法最终得到的训练数据不足,导致模型检测效率较低;当M较大时,得到的训练数据较多,出现过拟合现象,导致模型检测效率低。因此,本次实验分别选取M=8和M=5时构建训练数据集。
与表现较好的传统RandomForest算法相比,本发明模型的准确率分别提高了6.65%和6.95%,误报率分别降低了54.2%和37.56%。与半监督学习和信息增益率的入侵检测方案相比,本发明在两个数据上的准确率分别提高了3.18%和5.20%,但是在误报率方面针对输气管道系统数据降低了18.75%,而对于储水池系统而言本模型并没有达到理想的效果,误报率反而提高了4.23%。
分析可知,本发明利用改进GWO优化K-means半监督学习算法得到了足够的标记样本用于训练模型,从而使得模型的有效性得到了保证。由表1和表2可知,本发明的改进算法相对于SVM和KNN模型而言,检测率分别提高了8.12%,5.88%和11.86%,9.64%;与GWO-OCSVM相比,本发明改进后的GWO算法优化方案准确率分别提高了1.19%和1.73%,误报率降低了7.14%和38.81%。这是由于本发明采用云GWO优化单类支持向量机参数的寻优过程效率较高,同时也验证了单类支持向量机学习能力强的特点。
表1天然气控制系统数据集测试结果
Figure GDA0002557978870000081
表2储水池控制系统数据集测试结果
Figure GDA0002557978870000082
虽然本发明已以较佳实施例公开如上,但其并非用以限定本发明,任何熟悉此技术的人,在不脱离本发明的精神和范围内,都可做各种的改动与修饰,因此本发明的保护范围应该以权利要求书所界定的为准。

Claims (5)

1.一种工业控制网络异常入侵检测方法,其特征在于,是改进灰狼算法结合半监督学习的异常入侵检测方法,所述方法首先使用了云模型优化灰狼算法,然后利用云GWO算法优化K-means算法来标记特征相似的数据,在少量人工标记工控网络数据的基础上实现大规模准确标记训练数据集的生成,最后通过结合半监督学习方法和云GWO算法对单类支持向量机模型的参数进行优化;
定义以下三个适应度值:
Figure FDA0002557978860000011
Figure FDA0002557978860000012
Figure FDA0002557978860000013
式中N是灰狼种群数目,f(Xi(t))是第t次迭代中第i只灰狼的适应度值,fmin(Xi(t))表示适应度中最小值,fmax(Xi(t))表示最大适应度值;
根据个体适应度值
Figure FDA0002557978860000014
将适应度值分为三个取值区间,
当个体的适应度值
Figure FDA0002557978860000015
时,此时a取0使得|A|<1,实现狼群快速攻击猎物;A为GWO算法模型中的系数向量,a为GWO算法模型中的随机取值参数;当个体的适应度值
Figure FDA0002557978860000016
时,此时a取2使得|A|>1;当个体的适应度值
Figure FDA0002557978860000017
时,该部分狼群个体的适应度不高,结合云模型对其进行改进。
2.根据权利要求1所述的一种工业控制网络异常入侵检测方法,其特征在于,包括以下步骤:
步骤1:通过基本的GWO算法结合云模型算法,优化GWO算法的控制参数,得到云GWO算法,使其获得更大的搜索区域增加其在全局的搜索能力;
步骤2:通过步骤1中得到的云GWO算法结合K-means半监督学习方法,将云GWO算法的适应度值和K-means半监督算法的目标函数结合起来,构建半监督模型,通过使用少量先验标记的数据,来对大量工控网络未知数据进行自动标记;
步骤3:数据预处理:将工控系统网络层的数据进行数值化处理和数值归一化处理,得到一个N维的向量组,并对预处理后的数据使用步骤2所得的半监督模型获得训练数据集;
步骤4:采用离线训练的方式,应用上述步骤3所得的训练数据集进行仿真研究,通过云GWO算法搜索OCSVM分类器的最优惩罚常数C和最优高斯核函数参数γ来构建入侵检测模型。
3.根据权利要求2所述的一种工业控制网络异常入侵检测方法,其特征在于,步骤2包括以下具体步骤:
Step1初始化算法参数:给定数据集X={x1,x2,...,xn},聚类个数K,在已正确标记的正常和异常数据中分别随机选取一条数据作为簇的中心,种群规模大小N,最大迭代次数T;
Step2给定初始灰狼种群:Pop=(P1,P2,...,PN),令t=0,每一个个体表示一种聚类划分,计算每个数据分别到簇心的距离,根据相似度将该数据划分到距离最近的类;
Step3计算每个个体的适应度值:f(Xi(t)),i=1,2,...,N,将前三位适应度值分别记做α,β,δ;α代表最佳聚类中心;
Step4位置及参数更新:更新GWO模型中系数向量A和C’的值;重新计算适应度值;更新α,β,δ及其簇心位置,迭代次数t+1;
Step5判断是否到达最大迭代次数T=200,若是,则停止运算,否则返回Step3继续执行,最终获得训练数据集。
4.根据权利要求2所述的一种工业控制网络异常入侵检测方法,其特征在于,步骤3,对训练和测试样本数据特征进行标准化处理,将数值归一化处理,采用Min-Max标准化法,将其映射到[0,1]区间,公式如下:
Figure FDA0002557978860000021
式中x'是归一化后的值,xmin是特征中的最小值,xmax是特征中的最大值,x为特征的初始值。
5.根据权利要求2所述的一种工业控制网络异常入侵检测方法,其特征在于,步骤4,接受云GWO算法优化过程得到的最优惩罚常数C和最优高斯核函数参数γ,并将异常数据和正常数据分别标记为-1和+1;
构造对偶问题求解OCSVM模型原始优化问题为:
Figure FDA0002557978860000031
w是正交与超平面的向量,xi表示进行预处理之后的数据,ξi表示松弛变量,ρ表示原点到超平面的距离,φ是将训练样例转化为特征空间的核映射;
相应地,根据拉格朗日乘子法,得到对偶优化问题:
Figure FDA0002557978860000032
K(xi,xj)表示核函数参数,选用高斯核函数;βi、βj为拉格朗日乘子;
K(xi,xj)=exp(-γ||xi-xj||2),γ>0
最后得到xi决策函数为:
f(x)=sgn((w*)Tφ(x)-ρ*)
如果某一个数据点xi,有f(xi)=-1,那么认为此数据点为异常数据;反之,则为正常数据。
CN201810238633.4A 2018-03-22 2018-03-22 一种改进苍狼算法的半监督入侵检测方法 Active CN108520272B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810238633.4A CN108520272B (zh) 2018-03-22 2018-03-22 一种改进苍狼算法的半监督入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810238633.4A CN108520272B (zh) 2018-03-22 2018-03-22 一种改进苍狼算法的半监督入侵检测方法

Publications (2)

Publication Number Publication Date
CN108520272A CN108520272A (zh) 2018-09-11
CN108520272B true CN108520272B (zh) 2020-09-04

Family

ID=63433966

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810238633.4A Active CN108520272B (zh) 2018-03-22 2018-03-22 一种改进苍狼算法的半监督入侵检测方法

Country Status (1)

Country Link
CN (1) CN108520272B (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110132596A (zh) * 2019-04-24 2019-08-16 昆明理工大学 一种基于小波包和gwo-svm的滚动轴承故障诊断的方法
CN110163131B (zh) * 2019-05-09 2022-08-05 南京邮电大学 混合卷积神经网络与小生境灰狼优化的人体动作分类方法
CN110933102B (zh) * 2019-12-11 2021-10-26 支付宝(杭州)信息技术有限公司 基于半监督学习的异常流量检测模型训练方法及装置
CN111024433A (zh) * 2019-12-30 2020-04-17 辽宁大学 一种改进灰狼算法优化支持向量机的工业装备健康状态检测方法
CN111222800B (zh) * 2020-01-13 2022-06-17 电子科技大学 一种智能电力系统异常检测方法
CN111368077B (zh) * 2020-02-28 2023-07-07 大连大学 一种基于粒子群位置更新思想灰狼优化算法的K-Means文本分类方法
CN111603161A (zh) * 2020-05-28 2020-09-01 苏州小蓝医疗科技有限公司 一种脑电分类方法
CN111917785B (zh) * 2020-08-06 2022-07-15 重庆邮电大学 一种基于de-gwo-svr的工业互联网安全态势预测方法
CN111967187B (zh) * 2020-08-20 2023-10-17 新奥能源动力科技(上海)有限公司 一种预测燃气轮机启动过程输出数据的建模方法及设备
CN112086200B (zh) * 2020-09-17 2024-01-12 吾征智能技术(北京)有限公司 一种基于口苦预测疾病的系统、设备、存储介质
CN112285541B (zh) * 2020-09-21 2023-05-30 南京理工大学 一种电流频率转换电路的故障诊断方法
CN113159264B (zh) * 2020-11-12 2022-06-21 江西理工大学 一种入侵检测方法、系统、设备及可读存储介质
CN113139598B (zh) * 2021-04-22 2022-04-22 湖南大学 一种基于改进智能优化算法的入侵检测方法和系统
CN113434856B (zh) * 2021-07-06 2023-04-07 中国人民解放军空军工程大学 一种基于psogwo-svm算法的网络入侵检测方法
CN114124517B (zh) * 2021-11-22 2024-05-28 码客工场工业科技(北京)有限公司 一种基于高斯过程的工业互联网入侵检测方法
CN115277151A (zh) * 2022-07-21 2022-11-01 国网山西省电力公司信息通信分公司 一种基于鲸鱼提升算法的网络入侵检测方法
CN115297497B (zh) * 2022-10-08 2023-02-03 中国人民解放军海军工程大学 一种基于生物启发算法的高效节能分簇方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104239785B (zh) * 2014-09-30 2017-02-15 中国人民解放军国防科学技术大学 基于云模型的入侵检测数据划分方法
CN105704103B (zh) * 2014-11-26 2017-05-10 中国科学院沈阳自动化研究所 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
CN106101102B (zh) * 2016-06-15 2019-07-26 华东师范大学 一种基于pam聚类算法的网络异常流量检测方法
CN106209870B (zh) * 2016-07-18 2019-07-09 北京科技大学 一种针对分布式工业控制系统的网络入侵检测系统
US20180046936A1 (en) * 2016-08-10 2018-02-15 Futurewei Technologies, Inc. Density-based apparatus, computer program, and method for reclassifying test data points as not being an anomoly

Also Published As

Publication number Publication date
CN108520272A (zh) 2018-09-11

Similar Documents

Publication Publication Date Title
CN108520272B (zh) 一种改进苍狼算法的半监督入侵检测方法
Jiang et al. Network intrusion detection based on PSO-XGBoost model
CN110070141B (zh) 一种网络入侵检测方法
Ahmed et al. Feature selection–based detection of covert cyber deception assaults in smart grid communications networks using machine learning
CN106817248B (zh) 一种apt攻击检测方法
CN105488528B (zh) 基于改进自适应遗传算法的神经网络图像分类方法
CN110460605B (zh) 一种基于自动编码的异常网络流量检测方法
CN109902740B (zh) 一种基于多算法融合并行的再学习工业控制入侵检测方法
CN111598179B (zh) 电力监控系统用户异常行为分析方法、存储介质和设备
CN107579846B (zh) 一种云计算故障数据检测方法及系统
CN110336768A (zh) 一种基于联合隐马尔可夫模型与遗传算法的态势预测方法
CN113839926B (zh) 一种基于灰狼算法特征选择的入侵检测系统建模方法、系统及装置
CN111343171B (zh) 一种基于支持向量机的混合特征选择的入侵检测方法
CN115345236A (zh) 融合邻域粗糙集和优化svm的工控入侵检测方法及装置
CN115114484A (zh) 异常事件检测方法、装置、计算机设备和存储介质
Zhou et al. A feature selection algorithm to intrusion detection based on cloud model and multi-objective particle swarm optimization
Yin et al. Clustering-based active learning classification towards data stream
Li et al. Application of velocity adaptive shuffled frog leaping bat algorithm in ICS intrusion detection
CN117079120A (zh) 一种基于改进ga算法的目标识别模型优化方法
CN113822771A (zh) 一种基于深度学习的低误检率窃电检测方法
Mittal et al. Binary Classification of Rainfall Level by K-means and Fuzzy C-means Clustering
Ning et al. Intrusion detection research based on improved PSO and SVM
Dong et al. Random Forest Reliability Evaluation Based on Combination Feature Selection
Liu et al. Fuzzy clustering research based on intelligent computing
Hong et al. IGA-BiLSTM: An Improved Method for Network Security Situation Awareness

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant