CN108737429A - 一种网络入侵检测方法 - Google Patents
一种网络入侵检测方法 Download PDFInfo
- Publication number
- CN108737429A CN108737429A CN201810510359.1A CN201810510359A CN108737429A CN 108737429 A CN108737429 A CN 108737429A CN 201810510359 A CN201810510359 A CN 201810510359A CN 108737429 A CN108737429 A CN 108737429A
- Authority
- CN
- China
- Prior art keywords
- nectar source
- bee
- source position
- particle
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 40
- 239000002245 particle Substances 0.000 claims abstract description 60
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000009545 invasion Effects 0.000 claims abstract description 13
- 230000007246 mechanism Effects 0.000 claims abstract description 10
- 238000012360 testing method Methods 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 20
- 239000013598 vector Substances 0.000 claims description 11
- 230000035772 mutation Effects 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 5
- 238000010606 normalization Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 4
- 230000000717 retained effect Effects 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 238000011835 investigation Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 abstract description 9
- 230000004069 differentiation Effects 0.000 abstract description 6
- 230000008901 benefit Effects 0.000 abstract description 4
- 238000005259 measurement Methods 0.000 abstract description 3
- 238000004364 calculation method Methods 0.000 abstract description 2
- 238000012549 training Methods 0.000 description 10
- 238000002790 cross-validation Methods 0.000 description 4
- 230000006872 improvement Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 235000012907 honey Nutrition 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 230000002068 genetic effect Effects 0.000 description 2
- 206010064571 Gene mutation Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000571 coke Substances 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 230000002028 premature Effects 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种网络入侵检测方法,主要利用粒子群算法局部搜索能力强的优点来弥补蜂群算法局部搜索能力弱的缺点,采用多粒子群算法对蜂群算法选出的优质蜜源位置进行进一步开采;并对传统蜂群算法中观察蜂跟随引领蜂的概率计算方式进行改进,采用更合理的加权反轮盘赌和轮盘赌相结合的方法计算跟随概率;同时引入差异化阈值的多蜂群机制,进一步提高算法的搜索性能。本发明能够提高网络入侵检测系统对未知入侵的检测准确率,并最终提高整个入侵检测系统的检测率。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络入侵检测方法。
背景技术
伴随着互联网技术的飞速发展,网络信息安全问题成为世界各国共同关注的焦点。入侵检测作为一种积极主动的安全防护技术,越来越受到网络安全研究者的青睐。网络入侵检测主要是通过判断网络中的数据包是否合法(根据数据包的相关信息)来判断用户行为是否为入侵。在网络入侵检测中,最核心的模块是入侵检测分析引擎,它主要包括特征选择和分类器两部分,特征选择的方法和分类器的性能直接影响着入侵检测系统的性能表现。
随着智能仿生算法的兴起,人工蜂群算法(Artificial Bee Colony Algorithm,ABC)和粒子群算法(Particle Swarm Optimization,PSO)以自身优越的性能,被广泛应用到对数据的特征选择。但是ABC和PSO仍存在着某些缺陷,比如蜂群算法的局域搜索能力较弱,算法收敛慢等;粒子群算法的全局搜索能力较弱,容易陷入局部最优等,这些缺陷导致了特征选择的结果不尽令人满意。
发明内容
本发明针对目前网络入侵检测方法效率不够高的问题,提供一种网络入侵检测方法。
为解决上述问题,本发明是通过以下技术方案实现的:
一种网络入侵检测方法,包括步骤如下:
步骤1、对预先得到的测试网络数据进行预处理;
步骤2、利用预处理后的测试网络数据去寻找最优特征子集和SVM模型参数;即:
步骤2.1、建立公共位置交换区,供蜂群和粒子群交换优质蜜源位置;
步骤2.2、判断蜂群算法是否达到设定的最大迭代次数:如果达到,则转至步骤2.3;否则,采用多蜂群算法机制,通过对不同蜂群设定不同的尝试开发次数阈值,并采用蜂群算法对不同蜂群的蜜源位置进行搜索,每隔设定的间隔迭代次数,将蜂群搜索到的优质蜜源位置传送到公共位置交换区;
步骤2.3、判断粒子群算法是否达到设定的最大突变次数:如果达到,则转至步骤2.4;否则,用公共位置交换区中的蜜源位置对粒子群中的粒子位置进行赋值,并采用粒子群算法对粒子位置进行搜索,每隔设定的间隔突变次数,将粒子群搜索到的优质粒子位置传送到公共位置交换区;
步骤2.4、判断蜂群算法是否达到预定的最大迭代次数和粒子群算法是否达到预定的最大突变次数;如果同时达到,则转至步骤2.5,否则,转至步骤2.2;
步骤2.5、将公共位置交换区中适应度最大的粒子位置作为所需寻找的最优特征子集和SVM模型参数;
步骤3、根据SVM模型参数,构建入侵检测器;
步骤4、对实时采集到的待测网络数据进行预处理;
步骤5、利用最优特征子集对预处理后的待测网络数据进行特征提取,提取出网络连接特征作为入侵检测器的输入数据,如果检测到入侵攻击,则由入侵检测器触发相应的处理操作。
上述步骤2.2中,采用多蜂群算法机制,通过对不同蜂群设定不同的尝试开发次数阈值,并对采用蜂群算法对不同蜂群的蜜源位置进行搜索,每隔设定的间隔迭代次数,将蜂群搜索到的优质蜜源位置传送到公共位置交换区的具体过程如下:
步骤2.2.1、为每个蜂群设定不同的蜜源位置的尝试开发次数阈值,并在搜索空间为每个蜂群随机生成蜜源位置的初始位置,并计算每个蜜源位置的适应度;
步骤2.2.2、每个蜂群执行雇佣峰阶段,即在蜜源位置附近随机搜索新的蜜源位置,并计算其适应度,如果新蜜源位置的适应度值高于旧蜜源位置的适应度,就用新蜜源位置的位置代替旧蜜源位置的位置,否则,保存原来的蜜源位置;
步骤2.2.3、每个蜂群执行观察蜂阶段,即观察蜂以设定概率跟随雇佣蜂,该观察蜂采用与雇佣蜂相同的方式在所选择的蜜源位置附近进行贪婪搜索;
步骤2.2.4、每个蜂群执行侦查蜂阶段,即淘汰劣质蜜源位置,随机生成新蜜源位置;
步骤2.2.5、判断是否达到间隔迭代次数,如果达到,则对所有蜂群所搜索到的蜜源位置按照适应度由高到低的顺序排序,并从中选择排名靠前的优质蜜源位置上传到公共位置交换区,否则,继续返回到步骤2.2.2。
作为改进,每隔设定的间隔迭代次数,每个蜂群均将当前适应度排名靠前的优质蜜源位置作为其下一次迭代蜜源位置的初始位置。
上述步骤2.3中,用公共位置交换区中的蜜源位置对粒子群中的粒子位置进行赋值,并采用粒子群算法对粒子位置进行搜索,每隔设定的间隔突变次数,将粒子群搜索到的优质粒子位置传送到公共位置交换区的具体过程如下:
步骤2.3.1、用公共位置交换区中的蜜源位置对粒子群中的粒子位置进行赋值;
步骤2.3.2、初始化每个粒子位置的速度和位置向量;
步骤2.3.3、对每个粒子位置的位置向量的多位同时进行随机突变;
步骤2.3.4、每次突变之后,计算粒子位置的适应度,并与粒子位置保留的最优位置适应度比较,如果新位置适应度大于粒子位置保留的最优位置适应度,则将新位置保存为最优位置,并转至步骤2.3.5,否则,返回步骤2.3.3;
步骤2.3.5、判断是否达到间隔突变次数,如果达到,则对粒子群所搜索到的粒子位置按照适应度由高到低的顺序排序,并从中选择排名靠前的优质粒子位置上传到公共位置交换区,否则,继续返回到步骤2.3.3。
作为改进,粒子群的数量为2个以上,此时所有粒子群将其所搜索到的粒子位置按照适应度由高到低的顺序排序,并从中选择排名靠前的优质粒子位置上传到公共位置交换区。
上述步骤1对测试网络数据进行预处理的过程和步骤4对待测网络数据进行预处理的过程相一致。
上述步骤1对测试网络数据进行预处理的过程和步骤4对待测网络数据进行预处理的过程包括编码、数值化和归一化处理。
与现有技术相比,本发明利用PSO局部搜索能力强的优点来弥补蜂群算法局部搜索能力弱的缺点,并对传统蜂群算法进行深度改进,同时引入多蜂群算法机制,最终提出了一种基于ABC-PSO-SVM的网络入侵检测方法,其能够提高对未知入侵的检测准确率,并最终提高整个入侵检测系统的检测率。
附图说明
图1为一种网络入侵检测方法的整体流程图。
图2ABC-PSO算法模型图。
图3单个蜂群算法流程图。
图4差异化阈值的多蜂群算法模型图。
图5多粒子群算法模型图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实例,并参照附图,对本发明进一步详细说明。
本发明主要研究如何对ABC进行深度改进,采用差异化阈值的多蜂群机制,并嵌入PSO算法,然后将改进后的ABC-PSO算法运用到网络入侵检测中,最终提高网络入侵检测的整体效率。
参见图1,本发明所提出的一种基于ABC-PSO-SVM的网络入侵检测方法,其具体包括步骤如下:
步骤1、对用于构建入侵检测器的测试网络数据进行预处理,即数据编码、数值化和归一化,形成训练集。
步骤11、数据编码。
实验所用数据采用KDD CUP99。该数据集的每一条数据由42列组成,其中前41列为网络连接特征,最后一列属性用于标记该条数据属于正常连接或入侵攻击。在KDD CUP99数据集中只有第2、3、4列特征为字符型,分别为协议类型(有3种类型)、服务类型(有70种状态)和连接状态(有11种状态)。基于SVM的网络异常检测系统中,SVM参数如惩罚因子和RBF核函数参数的选取好坏直接影响检测模型的质量。通常,对网络数据进行特征选取时需要先确定好SVM模型参数,而对模型参数进行优化时又需要先确定对检测入侵有用的连接特征。特征选择时预先按照经验设定SVM模型参数的做法不能保证所选特征的好坏,优化SVM模型参数时固定好数据特征同样不能保证检测模型的质量。两者的优化过程具有相互依赖性。因此,采用了一种对特征和模型参数同步优化的蜜源位置编码方案:
步骤12、数据数值化。
如表1所示,数据包含有数值型和字符型特征,由于SVM只能处理数值型数据,因此需要将字符型特征做数值化处理。对这三种字符型特征的数值化处理分别如表2、3、4所示。
表1数据连接格式
表2协议类型数值化表
表3服务类型数值化表
表4连接状态数值化表
步骤13、数据归一化。
使用式(2)将每个数据特征归一化到[0,1]之间。然后再转换成SVM所要求的输入格式。
式中xi和yi分别表示归一化前后特征i的值,max(xi)和min(xi)分别表示归一化前特征i的最大值与最小值。
步骤2、将训练集输入到ABC-PSO算法中,寻找最优特征子集和SVM参数;其中ABC-PSO算法模型如图2所示。
将训练集分为学习集和验证集,并对ABC-PSO算法参数进行优化。学习集对参数的训练,验证集评价训练参数的好坏。
步骤21、建立公共位置交换区,供蜂群和粒子群交换优质蜜源位置。
步骤22、判断蜂群算法是否达到设定的最大迭代次数:如果达到,则转至步骤23;否则,采用多蜂群算法机制,通过对不同蜂群设定不同的尝试开发次数阈值,并采用如图3所示的蜂群算法对不同蜂群的蜜源位置进行搜索,每隔设定的间隔迭代次数,将蜂群搜索到的优质蜜源位置传送到公共位置交换区,即:
步骤221、引入多蜂群机制。
蜜源位置的尝试开发次数阈值即limit值的大小与侦探峰的出动频率呈反比关系,因此limit值的大小直接影响着蜂群算法的全局搜索能力和局部搜索能力的平衡。limit值较小时,算法具有较强的随机性能和全局搜索性能,但是会导致很多蜜源位置开发不彻底,收敛速度非常缓慢;limit的值越大,算法局部搜索能力较强,提升了收敛速度,但是蜜源位置的多样性越差,很容易陷入局部最优,早熟收敛。
因此,本发明提出一种差异化阈值的设定方法,设置两个小limit值的蜂群,和一个大limit值的蜂群。具有较小limit值的蜂群主要作用是增强全局搜索能力,在整个多维空间中迅速找到较好的可行解。具有较大limit值的蜂群主要作用是对邻域进行深度搜索,确保较好蜜源位置得到充分开发。相隔一定循环次数,将limit值小的蜂群中得到的优质蜜源位置分享给limit值比较大的蜂群,使优质蜜源位置得到充分开发,差异化阈值的多蜂群算法模型图如图4所示。
对三个蜂群分别独立进行种群初始化,每个蜂群中个体数量NP=20,雇佣蜂数量为NG=10(蜜源位置数量),最大迭代次数MCN=150,间隔迭代次数ICN=10,蜂群1每个蜜源位置的尝试开发次数阈值limit1=10,蜂群2的每个蜜源位置尝试开发次数阈值limit2=10,蜂群3的每个蜜源位置尝试开发次数阈值limit3=30,i=0,j=0。
步骤222、蜜源位置初始化。
蜜源位置的编码由两部分组成,代表数据特征的向量F=(f1,f2,…,fn)采用二进制01串的离散编码方式,代表SVM模型参数的向量为连续的实数编码方式。因此,根据式(3)对每个蜜源位置向量的两部分分别进行初始化。
其中r为初始化特征控制因子,可以用r控制某一特征位被置1的概率,值越大代表初始蜜源位置中被选择的特征个数越多,本发明中令r=0.5。
步骤223、计算蜜源位置的适应度值。
在基于ABC算法和SVM分类器的入侵检测系统中,蜜源位置的质量体现在用该蜜源位置进行建模后检测模型的好坏。而SVM中的交叉验证(CrossValidation,CV)可以用来检验SVM对样本类别划分的性能,它基于统计学理论,将原始数据分为训练集和验证集两部分,首先用训练集数据训练SVM分类器,然后在验证集数据上进行测试,通过这种方法来评价分类结果的好坏。因此可以用交叉验证准确率来评价蜂群搜索过程中蜜源位置的好坏。采用K折交叉验证(K-fold CV)计算蜜源位置适应度值。该方法将原始数据均分成K组,最终可以得到K个模型,每个模型是由1组验证集和余下的K-1组训练集生成的,在训练集上进行训练,测试集上进行测试,用这K个模型的准确率测试结果平均值作为最终的评价指标。该方法能够避免欠学习和过学习,最终得到的结果也相对具有说服性。因此,本文选用K折交叉验证准确率的平均值作为蜜源位置xi的适应度评价函数,用式(4)表示:
步骤224、雇佣蜂阶段,在蜜源位置附近随机搜索新的蜜源位置,并计算其适应度值,如果新蜜源位置适应度值高于旧蜜源位置,就用新蜜源位置代替旧蜜源位置,否则,保存原来的蜜源位置。
生物在进化过程中基因片段的某个基因可能会由于某种原因发生突变,蜜源位置中二进制特征向量F与基因片段有很大的相似性。受生物中基因突变思想的启发,对蜜源位置中的特征向量F采用特征位突变的方式进行邻域搜索。雇佣蜂和被招募的观察蜂可根据式(5)对蜜源位置i进行贪婪邻域搜索。
其中fij表示第i个蜜源位置中F向量的第j维突变后的值,mik表示第i个蜜源位置中M向量的第k维邻域搜索后的值,mod2表示模2运算,k和l为随机选择的数,N为蜜源位置的数量。
步骤225、观察蜂阶段,观察蜂采用加权轮盘赌和轮盘赌结合的方式以概率Pi跟随雇佣蜂i,然后该观察蜂采用与雇佣蜂阶段相同的方式在选择的蜜源位置附近进行贪婪搜索。
步骤226、侦查蜂阶段,淘汰劣质蜜源位置,随机生成新蜜源位置。
经过雇佣蜂和观察蜂的共同开发搜索,如果对任一蜜源位置的开发次数达到阈值limit时,解的质量仍没有提高,那么该蜜源位置xi会被放弃。此时,与该蜜源位置相对应的雇佣蜂将会转变成侦察蜂,该侦察蜂将按照式(5)在搜索空间随机产生一个新的蜜源位置以代替xi。
步骤227、记忆当前适应度排名靠前的优质蜜源位置,如果达到间隔迭代次数,则输出优质蜜源位置到公共位置交换区,同时,每个蜂群将当前搜索到的优质蜜源位置作为每个蜂群下一次迭代蜜源位置的初始位置;否则,返回步骤224,重复以上蜂群算法的迭代过程。
步骤23、判断粒子群算法是否达到设定的最大突变次数:如果达到,则转至步骤24;否则,用公共位置交换区中的蜜源位置对粒子群中的粒子位置进行赋值,并采用粒子群算法对粒子位置进行搜索,每隔设定的间隔突变次数,将粒子群搜索到的优质粒子位置传送到公共位置交换区,即:
步骤231、初始化粒子群算法。
在本发明中,可以采用1个粒子群对公共位置交换区的优质蜜源位置进行开采,也可以采用2个以上的粒子群对公共位置交换区的优质蜜源位置进行开采。
参见图5,本实施例采用3个粒子群独立运行的方法,采用公共位置交换区中的蜜源位置对粒子群中的粒子位置进行赋值;每个粒子位置的位置向量的每一维都可以进行突变,粒子位置突变公式:
xij(t+1)=xij(t)+vij(t+1) (7)
vij(t+1)=wvij(t)+c1r1(pbestij(t)-xij(t))+c2r2(gbestgj(t)-xij(t)) (8)
其中,t是迭代次数,c1=0.3为自身加速常数,c2=0.1为全局加速常数;r1和r2是[0,1]之间的随机数,在这里分别取0.5和0.5,ω=0.5为惯性权重。
步骤232、每次突变之后,计算其适应度值,并与之前粒子位置保留的最优位置适应度值比较,如果新位置适应度值大于粒子位置之前保留的最优位置适应度值,则将新位置保存为最优位置,否则,仍保留之前的最优位置,继续突变。
步骤233、判断粒子群是否满足间隔突变次数,若满足,三个粒子群将自己搜索到的优质位置传送到公共位置交换区,并对这些位置按照适应度值由高到低的顺序排序,并从中选择排在前面的优质位置作为自己的粒子位置,并进入步骤24,否则,返回步骤231,重复以上蜂群算法的迭代过程。
步骤24、判断所有蜂群和粒子群是否达都达到结束条件。若达到,则在公共位置交换区中得出最优特征子集,同时得到SVM模型参数。若没有达到,则返回步骤224。
当三个蜂群和三个粒子群都达到结束条件时,结束粒子群算法和蜂群算法,将蜂群算法和粒子群算法中的优质蜜源位置传输到公共位置交换区,并从中选出最终的最优特征子集和SVM模型参数。
步骤3、根据SVM模型参数,构建入侵检测器。
步骤4、采用与步骤1相同的预处理方式对实时采集到的待测网络数据进行预处理,即数据编码、数值化和归一化,形成测试集。
步骤5、用最终的最优特征子集对预处理后的待测网络数据进行特征提取,提取出对检测结果比较重要的网络连接特征,将其作为入侵检测器的输入数据,如果检测到入侵攻击,则由入侵检测器触发相应的处理操作。
本发明利用粒子群算法(Particle Swarm Optimization,PSO)局部搜索能力强的优点来弥补蜂群算法(Artificial Bee Colony Algorithm,ABC)局部搜索能力弱的缺点,采用多粒子群算法对蜂群算法选出的优质蜜源位置进行进一步开采;并对传统蜂群算法中观察蜂跟随引领蜂的概率计算方式进行改进,采用更合理的加权反轮盘赌和轮盘赌相结合的方法计算跟随概率;同时引入差异化阈值的多蜂群机制,进一步提高算法的搜索性能。本发明能够提高网络入侵检测系统对未知入侵的检测准确率,并最终提高整个入侵检测系统的检测率。
需要说明的是,尽管以上本发明所述的实施例是说明性的,但这并非是对本发明的限制,因此本发明并不局限于上述具体实施方式中。在不脱离本发明原理的情况下,凡是本领域技术人员在本发明的启示下获得的其它实施方式,均视为在本发明的保护之内。
Claims (7)
1.一种网络入侵检测方法,其特征是,包括步骤如下:
步骤1、对预先得到的测试网络数据进行预处理;
步骤2、利用预处理后的测试网络数据去寻找最优特征子集和SVM模型参数;即:
步骤2.1、建立公共位置交换区,供蜂群和粒子群交换优质蜜源位置;
步骤2.2、判断蜂群算法是否达到设定的最大迭代次数:如果达到,则转至步骤2.3;否则,采用多蜂群算法机制,通过对不同蜂群设定不同的尝试开发次数阈值,并采用蜂群算法对不同蜂群的蜜源位置进行搜索,每隔设定的间隔迭代次数,将蜂群搜索到的优质蜜源位置传送到公共位置交换区;
步骤2.3、判断粒子群算法是否达到设定的最大突变次数:如果达到,则转至步骤2.4;否则,用公共位置交换区中的蜜源位置对粒子群中的粒子位置进行赋值,并采用粒子群算法对粒子位置进行搜索,每隔设定的间隔突变次数,将粒子群搜索到的优质粒子位置传送到公共位置交换区;
步骤2.4、判断蜂群算法是否达到预定的最大迭代次数和粒子群算法是否达到预定的最大突变次数;如果同时达到,则转至步骤2.5,否则,转至步骤2.2;
步骤2.5、将公共位置交换区中适应度最大的粒子位置作为所需寻找的最优特征子集和SVM模型参数;
步骤3、根据SVM模型参数,构建入侵检测器;
步骤4、对实时采集到的待测网络数据进行预处理;
步骤5、利用最优特征子集对预处理后的待测网络数据进行特征提取,提取出网络连接特征作为入侵检测器的输入数据,如果检测到入侵攻击,则由入侵检测器触发相应的处理操作。
2.根据权利要求1所述的一种网络入侵检测方法,其特征是,步骤2.2中,采用多蜂群算法机制,通过对不同蜂群设定不同的尝试开发次数阈值,并对采用蜂群算法对不同蜂群的蜜源位置进行搜索,每隔设定的间隔迭代次数,将蜂群搜索到的优质蜜源位置传送到公共位置交换区的具体过程如下:
步骤2.2.1、为每个蜂群设定不同的蜜源位置的尝试开发次数阈值,并在搜索空间为每个蜂群随机生成蜜源位置的初始位置,并计算每个蜜源位置的适应度;
步骤2.2.2、每个蜂群执行雇佣峰阶段,即在蜜源位置附近随机搜索新的蜜源位置,并计算其适应度,如果新蜜源位置的适应度值高于旧蜜源位置的适应度,就用新蜜源位置的位置代替旧蜜源位置的位置,否则,保存原来的蜜源位置;
步骤2.2.3、每个蜂群执行观察蜂阶段,即观察蜂以设定概率跟随雇佣蜂,该观察蜂采用与雇佣蜂相同的方式在所选择的蜜源位置附近进行贪婪搜索;
步骤2.2.4、每个蜂群执行侦查蜂阶段,即淘汰劣质蜜源位置,随机生成新蜜源位置;
步骤2.2.5、判断是否达到间隔迭代次数,如果达到,则对所有蜂群所搜索到的蜜源位置按照适应度由高到低的顺序排序,并从中选择排名靠前的优质蜜源位置上传到公共位置交换区,否则,继续返回到步骤2.2.2。
3.根据权利要求1或2所述的一种网络入侵检测方法,其特征是,每隔设定的间隔迭代次数,每个蜂群均将当前适应度排名靠前的优质蜜源位置作为其下一次迭代蜜源位置的初始位置。
4.根据权利要求1所述的一种网络入侵检测方法,其特征是,步骤2.3中,用公共位置交换区中的蜜源位置对粒子群中的粒子位置进行赋值,并采用粒子群算法对粒子位置进行搜索,每隔设定的间隔突变次数,将粒子群搜索到的优质粒子位置传送到公共位置交换区的具体过程如下:
步骤2.3.1、用公共位置交换区中的蜜源位置对粒子群中的粒子位置进行赋值;
步骤2.3.2、初始化每个粒子位置的速度和位置向量;
步骤2.3.3、对每个粒子位置的位置向量的多位同时进行随机突变;
步骤2.3.4、每次突变之后,计算粒子位置的适应度,并与粒子位置保留的最优位置适应度比较,如果新位置适应度大于粒子位置保留的最优位置适应度,则将新位置保存为最优位置,并转至步骤2.3.5,否则,返回步骤2.3.3;
步骤2.3.5、判断是否达到间隔突变次数,如果达到,则对粒子群所搜索到的粒子位置按照适应度由高到低的顺序排序,并从中选择排名靠前的优质粒子位置上传到公共位置交换区,否则,继续返回到步骤2.3.3。
5.根据权利要求4所述的一种网络入侵检测方法,其特征是,粒子群的数量为2个以上,此时所有粒子群将其所搜索到的粒子位置按照适应度由高到低的顺序排序,并从中选择排名靠前的优质粒子位置上传到公共位置交换区。
6.根据权利要求1所述的一种网络入侵检测方法,其特征是,步骤1对测试网络数据进行预处理的过程和步骤4对待测网络数据进行预处理的过程相一致。
7.根据权利要求6所述的一种网络入侵检测方法,其特征是,步骤1对测试网络数据进行预处理的过程和步骤4对待测网络数据进行预处理的过程包括编码、数值化和归一化处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810510359.1A CN108737429B (zh) | 2018-05-24 | 2018-05-24 | 一种网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810510359.1A CN108737429B (zh) | 2018-05-24 | 2018-05-24 | 一种网络入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108737429A true CN108737429A (zh) | 2018-11-02 |
CN108737429B CN108737429B (zh) | 2021-06-08 |
Family
ID=63935411
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810510359.1A Active CN108737429B (zh) | 2018-05-24 | 2018-05-24 | 一种网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108737429B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110458054A (zh) * | 2019-07-26 | 2019-11-15 | 哈尔滨工业大学 | 一种极化sar图像停泊舰船检测方法 |
CN113965358A (zh) * | 2021-09-28 | 2022-01-21 | 石河子大学 | 综合能源系统网络安全检测方法及系统 |
CN114928477A (zh) * | 2022-04-28 | 2022-08-19 | 深圳信息职业技术学院 | 一种网络入侵检测方法、装置、可读存储介质及终端设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101557327A (zh) * | 2009-03-20 | 2009-10-14 | 扬州永信计算机有限公司 | 基于支持向量机的入侵检测方法 |
CN103685268A (zh) * | 2013-12-10 | 2014-03-26 | 华东理工大学 | 一种基于gpu和svm的网络入侵检测方法 |
CN105930864A (zh) * | 2016-04-15 | 2016-09-07 | 杭州电子科技大学 | 一种基于abc-svm的脑电信号特征分类方法 |
CN107465664A (zh) * | 2017-07-07 | 2017-12-12 | 桂林电子科技大学 | 基于并行多人工蜂群算法和支持向量机的入侵检测方法 |
-
2018
- 2018-05-24 CN CN201810510359.1A patent/CN108737429B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101557327A (zh) * | 2009-03-20 | 2009-10-14 | 扬州永信计算机有限公司 | 基于支持向量机的入侵检测方法 |
CN103685268A (zh) * | 2013-12-10 | 2014-03-26 | 华东理工大学 | 一种基于gpu和svm的网络入侵检测方法 |
CN105930864A (zh) * | 2016-04-15 | 2016-09-07 | 杭州电子科技大学 | 一种基于abc-svm的脑电信号特征分类方法 |
CN107465664A (zh) * | 2017-07-07 | 2017-12-12 | 桂林电子科技大学 | 基于并行多人工蜂群算法和支持向量机的入侵检测方法 |
Non-Patent Citations (2)
Title |
---|
刘铭等: "改进的人工蜂群优化支持向量机算法在入侵检测中的应用", 《计算机应用与软件》 * |
宁爱平,张雪英,刘俊芳: "ABC-PSO算法优化混合核SVM参数及应用", 《数学的实践与认识》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110458054A (zh) * | 2019-07-26 | 2019-11-15 | 哈尔滨工业大学 | 一种极化sar图像停泊舰船检测方法 |
CN110458054B (zh) * | 2019-07-26 | 2021-07-06 | 哈尔滨工业大学 | 一种极化sar图像停泊舰船检测方法 |
CN113965358A (zh) * | 2021-09-28 | 2022-01-21 | 石河子大学 | 综合能源系统网络安全检测方法及系统 |
CN114928477A (zh) * | 2022-04-28 | 2022-08-19 | 深圳信息职业技术学院 | 一种网络入侵检测方法、装置、可读存储介质及终端设备 |
Also Published As
Publication number | Publication date |
---|---|
CN108737429B (zh) | 2021-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103716204B (zh) | 一种基于维纳过程的异常入侵检测集成学习方法及装置 | |
CN108932535B (zh) | 一种基于机器学习的边缘计算克隆节点识别方法 | |
CN108737429A (zh) | 一种网络入侵检测方法 | |
CN111756719A (zh) | SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法 | |
CN109063456B (zh) | 图像型验证码的安全性检测方法及系统 | |
CN108595655B (zh) | 一种基于会话特征相似性模糊聚类的异常用户检测方法 | |
CN103617235B (zh) | 一种基于粒子群算法的网络水军账号识别方法及系统 | |
CN112581262A (zh) | 一种基于鲸鱼算法优化lvq神经网络的欺诈行为检测方法 | |
CN110222592B (zh) | 一种基于互补时序行为提案生成的时序行为检测网络模型的构建方法 | |
CN114615093A (zh) | 基于流量重构与继承学习的匿名网络流量识别方法及装置 | |
CN111597991A (zh) | 一种基于信道状态信息和BiLSTM-Attention的康复检测方法 | |
CN110309887A (zh) | 基于改进花朵授粉的模糊c-均值聚类异常检测方法 | |
CN109615616A (zh) | 一种基于abc-pcnn的裂缝识别方法及系统 | |
CN115348074A (zh) | 深度时空混合的云数据中心网络流量实时检测方法 | |
CN110365603A (zh) | 一种基于5g网络能力开放的自适应网络流量分类方法 | |
CN114581694A (zh) | 一种基于改进的支持向量机的网络安全态势评估方法 | |
Anusha et al. | Comparative study for feature selection algorithms in intrusion detection system | |
CN111641598A (zh) | 一种基于宽度学习的入侵检测方法 | |
CN111600877A (zh) | 一种基于MF-Ada算法的LDoS攻击检测方法 | |
CN113705604A (zh) | 僵尸网络流量分类检测方法、装置、电子设备及存储介质 | |
CN108960486A (zh) | 基于灰支持向量回归机预测适应值的交互式集合进化方法 | |
CN113109782B (zh) | 一种直接应用于雷达辐射源幅度序列的分类方法 | |
CN114112984A (zh) | 一种基于自注意力的织物纤维成分定性方法 | |
CN114363065B (zh) | 一种基于GSODNN和SDN的DDoS检测方法 | |
CN115842647A (zh) | 一种基于流量数据的网络安全威胁检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20181102 Assignee: Guilin Biqi Information Technology Co.,Ltd. Assignor: GUILIN University OF ELECTRONIC TECHNOLOGY Contract record no.: X2023980045831 Denomination of invention: A Network Intrusion Detection Method Granted publication date: 20210608 License type: Common License Record date: 20231107 |
|
EE01 | Entry into force of recordation of patent licensing contract |