CN110351241B - 一种基于GWA优化的工业网络DDoS入侵检测系统分类方法 - Google Patents

Abstract

一种基于GWA优化的工业网络DDoS入侵检测系统分类方法，包括以下步骤：步骤1：设定初始参数；步骤2：利用混沌逻辑映射策略生成初始的SVM参数的种群；步骤3：利用改进的反向学习策略优化初始的SVM参数的种群；步骤4：使用GWA算子更新SVM参数的种群；步骤5：计算种群个体的适应度函数值，更新最优个体的位置向量；步骤6：若达到最大允许迭代次数，则执行步骤7；否则t＝t+1并返回步骤4；步骤7：结束SVM参数优化过程，输出最优参数C和γ；步骤8：应用搜索到的参数训练支持向量机模型，将该模型用于入侵检测系统的攻击行为检测。本发明很好的平衡了局部搜索与全局搜索，提高了识别能力和实时性。

Description

一种基于GWA优化的工业网络DDoS入侵检测系统分类方法

技术领域

本发明属于智能优化领域，涉及一种基于全局最优鲸鱼算法(G-best WhaleAlgorithm，以下简称GWA)优化的工业网络DDoS入侵检测系统分类方法。

背景技术

在工业生产中，工业网络一般会受到分布式拒绝服务(Distributed Denial ofService，以下简称DDoS)攻击。DDoS指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，以达到瘫痪网络的目的。为了维护企业的网络安全，企业基本上都配置了入侵检测系统(Intrusion Detection System，以下简称IDS)。而常用的商用入侵检测系统基本上是基于规则库,因此规则库的完备程度直接决定了系统性能的好坏。为了改善入侵检测系统对规则库的依赖,很多学者引入多种机器学习算法作为入侵检测系统的分类器,其中,支持向量机(Support Vector Machine，以下简称SVM)尤其受到青睐。但是，支持向量机的内部参数的选择直接决定了SVM的性能，故有必要对其内部参数进行研究和优化。

SVM的标准参数搜索算法是穷举搜索算法,训练模型相当耗时,很难应用到实际生产环境中。传统的粒子群算法、遗传算法等技术在优化问题方面的达到了广泛的应用,但是它们存在诸如容易过早收敛于局部最优值或收敛速度过慢等问题,从而使优化效果变差。

发明内容

针对现有技术存在的问题，本发明提供了一种基于GWA优化的工业网络DDoS入侵检测系统分类方法，该方法很好的平衡了局部搜索与全局搜索，从而提高了工业网络DDoS入侵检测系统分类方法的识别能力和实时性。

本发明解决其技术问题所采用的技术方案是：

一种基于GWA优化的入侵检测系统分类方法，包括以下步骤：

步骤1：设定初始参数，包括工业网络DDoS入侵检测系统的种群大小M，SVM的惩罚参数C的搜索范围[C_min,C_max]，SVM的核参数γ的搜索范围[γ_min,γ_max]，当前迭代次数t＝0，种群优化最大允许迭代次数t_m；

步骤2：利用混沌逻辑映射策略生成初始的SVM参数的种群，设向量S_k＝(p_k,1,p_k,2)是初始的SVM参数的种群中的第k个体，其中p_k,1和p_k,2分别是对应于SVM的惩罚参数C和核参数γ的一个候选解，混沌逻辑映射策略成的初始种群描述为：

式中，r_1,h是介于0到1之间的随机数且h＝1,2。当h＝1时，

和

分别为C_min和C_max；当h＝2时，

和

分别为γ_min和γ_max；

步骤3：利用改进的反向学习策略优化初始的SVM参数的种群：

式中，P_k,h是对应于混沌逻辑映射策略生成的个体特征p_k,h的反向特征，P_k是对应于种群个体p_k的反向个体，其中适应度函数V(p)分别以种群个体和训练数据集为函数变量和输入常量，函数值为根据K折交叉验证得到的SVM的分类误差，根据个体的适应度函数值，如果反向个体P_k比原始个体p_k好，则初始种群中的原始个体被反向个体所取代；否则，保留原始个体；

步骤4：使用GWA算子更新SVM参数的种群，设定r为[0,1]范围内的一个随机向量，S(t)是当代种群，S_r(t)是当代种群中的一个随机个体，S_m(t)是当代最优个体，且初始种群S(0)＝{S₁,S₂,…,S_M}，GWA算子的变量设置如下：

A＝(2-2t/t_m).r (5)

W_r(t)＝A.|S(t)-S_r(t)| (6)

W_m(t)＝1.5A.|S_m(t)-S(t)| (7)

根据公式(8)来更新种群：

式中，h是介于[-1,1]之间的随机数，q是介于[0,1]之间的随机数，Q是介于[0,2]之间的随机向量；

步骤5：计算种群个体的适应度函数值，更新最优个体的位置向量；

步骤6：若当前迭代达到最大允许迭代次数，则执行步骤7；否则，t＝t+1并返回步骤4；

步骤7：结束SVM参数优化过程，输出最优参数C和γ；

步骤8：应用搜索到的参数进行支持向量机模型训练，并将该模型用于工业网络DDoS入侵检测系统的攻击行为检测。

本发明的有益效果主要表现在：1.GWA利用混沌逻辑映射和改进反向学习的混合策略生成初始SVM参数种群，有效的避免了算法早熟收敛和缓慢收敛的问题，工业网络DDoS入侵检测系统训练模型的时间大幅缩减。与其他入侵检测系统相比，该系统的时效性很好,适用场景更广。

2.GWA算法很好的协调了局部搜索算子和全局搜索算子，从而有效的搜索到最优SVM参数，使得工业网络DDoS入侵检测系统对攻击行为的检测率有所改善。

附图说明

图1是基于GWA的支持向量机优化流程图。

图2是支持向量机的参数种群适应度迭代结果图。

具体实施方式

下面结合附图对本发明作进一步描述。

参照图1和图2，一种基于GWA优化的工业网络DDoS入侵检测系统分类方法，包括以下步骤：

步骤1：设定初始参数，包括工业网络DDoS入侵检测系统的种群大小M＝30，SVM的惩罚参数C的搜索范围[0.001,10000]，SVM的核参数γ的搜索范围[0.001,10000]，当前迭代次数t＝0，种群优化最大允许迭代次数t_m＝50；

步骤2：利用混沌逻辑映射策略生成初始的SVM参数的种群，设向量S_k＝(p_k,1,p_k,2)是初始的SVM参数的种群中的第k个体，其中p_k,1和p_k,2分别是对应于SVM的惩罚参数C和核参数γ的一个候选解，混沌逻辑映射策略成的初始种群描述为：

式中，r_1,h是介于0到1之间的随机数且h＝1,2；当h＝1时，

和

分别为0.001和10000；当h＝2时，

和

分别为0.001和10000；

步骤3：利用改进的反向学习策略优化初始的SVM参数的种群：

式中，P_k,h是对应于混沌逻辑映射策略生成的个体特征p_k,h的反向特征，P_k是对应于种群个体p_k的反向个体。其中适应度函数V(p)分别以种群个体和训练数据集为函数变量和输入常量，函数值为根据K折交叉验证得到的SVM的分类误差；在本实例中训练数据集为工业机器人装配系统采集到的正常行为六维力数据和攻击行为六维力数据。根据个体的适应度函数值，如果反向个体P_k比原始个体p_k好，则初始种群中的原始个体被反向个体所取代；否则，保留原始个体；

步骤4：使用GWA算子更新SVM参数的种群，设定r为[0,1]范围内的一个随机向量，S(t)是当代种群，S_r(t)是当代种群中的一个随机个体，S_m(t)是当代最优个体，且初始种群S(0)＝{S₁,S₂,…,S_M}，GWA

A＝(2-2t/t_m).r (5)

W_r(t)＝A.|S(t)-S_r(t)| (6)

W_m(t)＝1.5A.|S_m(t)-S(t)| (7)

根据公式(8)来更新种群：

式中，h是介于[-1,1]之间的随机数，q是介于[0,1]之间的随机数，Q是介于[0,2]之间的随机向量；

步骤5：计算种群个体的适应度函数值，更新最优个体的位置向量；

步骤6：若当前迭代达到最大允许迭代次数，则执行步骤7；否则，t＝t+1并返回步骤4；

步骤7：结束SVM参数优化过程，输出最优参数C和γ；

步骤8：应用搜索到的参数进行支持向量机模型训练，并将该模型用于工业网络DDoS入侵检测系统的攻击行为检测。

本实例通过GWA优化了SVM的惩罚参数和核参数。且实例结果表明GWA能够较好的搜索优化支持向量机的最优参数，且预测接触状态与实际接触状态相差不大。

以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有许多变形。本领域的普通技术人员还能从本发明公开的内容直接导出或联想到的所有变形，均应认为是本发明的保护范围。

Claims (1)

1.一种基于GWA优化的工业网络DDoS入侵检测系统分类方法，其特征在于，所述方法包括以下步骤：

步骤1：设定初始参数，包括工业网络DDoS入侵检测系统的种群大小M，SVM的惩罚参数C的搜索范围[C_min,C_max]，SVM的核参数γ的搜索范围[γ_min,γ_max]，当前迭代次数t＝0，种群优化最大允许迭代次数t_m；

步骤2：利用混沌逻辑映射策略生成初始的SVM参数的种群，设向量S_k＝(p_k,1,p_k,2)是初始的SVM参数的种群中的第k个体，其中p_k,1和p_k,2分别是对应于SVM的惩罚参数C和核参数γ的一个候选解，混沌逻辑映射策略成的初始种群描述为：

式中，r_1,h是介于0到1之间的随机数且h＝1,2；当h＝1时，

和

分别为C_min和C_max；当h＝2时，

和

分别为γ_min和γ_max；

步骤3：利用改进的反向学习策略优化初始的SVM参数的种群：

式中，P_k,h是对应于混沌逻辑映射策略生成的个体特征p_k,h的反向特征，P_k是对应于种群个体p_k的反向个体，其中适应度函数V(p)分别以种群个体和训练数据集为函数变量和输入常量，函数值为根据K折交叉验证得到的SVM的分类误差，根据个体的适应度函数值，如果反向个体P_k比原始个体p_k好，则初始种群中的原始个体被反向个体所取代；否则，保留原始个体；

步骤4：使用GWA算子更新SVM参数的种群，设定r为[0,1]范围内的一个随机向量，S(t)是当代种群，S_r(t)是当代种群中的一个随机个体，S_m(t)是当代最优个体，且初始种群S(0)＝{S₁,S₂,…,S_M}，GWA算子的变量设置如下：

A＝(2-2t/t_m).r (5)

W_r(t)＝A.|S(t)-S_r(t)| (6)

W_m(t)＝1.5A.|S_m(t)-S(t)| (7)

根据公式(8)来更新种群：

式中，h是介于[-1,1]之间的随机数，q是介于[0,1]之间的随机数，Q是介于[0,2]之间的随机向量；

步骤5：计算种群个体的适应度函数值，更新最优个体的位置向量；

步骤6：若当前迭代达到最大允许迭代次数，则执行步骤7；否则，t＝t+1并返回步骤4；

步骤7：结束SVM参数优化过程，输出最优参数C和γ；

步骤8：应用搜索到的参数进行支持向量机模型训练，并将该模型用于工业网络DDoS入侵检测系统的攻击行为检测。

Images