CN111031042A - 一种基于改进d-s证据理论的网络异常检测方法 - Google Patents

一种基于改进d-s证据理论的网络异常检测方法 Download PDF

Info

Publication number
CN111031042A
CN111031042A CN201911281444.6A CN201911281444A CN111031042A CN 111031042 A CN111031042 A CN 111031042A CN 201911281444 A CN201911281444 A CN 201911281444A CN 111031042 A CN111031042 A CN 111031042A
Authority
CN
China
Prior art keywords
bpa
network
data
anomaly detection
network anomaly
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911281444.6A
Other languages
English (en)
Inventor
周世杰
贺雅琪
刘启和
胡凤仙
向麟
陈鼎伟
王鹤鸣
黄铭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN201911281444.6A priority Critical patent/CN111031042A/zh
Publication of CN111031042A publication Critical patent/CN111031042A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • G06F18/254Fusion techniques of classification results, e.g. of results related to same input data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • G06F18/257Belief theory, e.g. Dempster-Shafer

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于改进D‑S证据理论的网络异常检测方法,包括如下步骤:步骤1,采集网络数据;步骤2,对采集到的网络数据进行数据预处理;步骤3,利用经步骤2处理后的网络数据,采用改进的D‑S证据理论训练网络异常检测模型;步骤4,将真实网络数据输入网络异常检测模型进行网络异常检测;步骤5,对网络异常检测结果进行可视化处理。本发明基于改进D‑S证据理论进行网络异常检测,可以更好地确定不确定假设,得到更加精准的网络异常检测结果。

Description

一种基于改进D-S证据理论的网络异常检测方法
技术领域
本发明涉及网络安全技术领域,尤其是一种基于改进D-S证据理论的网络异常检测方法。
背景技术
网络异常检测技术是入侵检测领域研究的热点内容,但由于存在着误报率较高、检测攻击范围不够全面、检测效率不能满足高速网络实时检测需求等问题,并未在实际环境中得以大规模应用。对于这一问题,基于D-S证据理论的网络异常检测方法区分正常或攻击的情况时有着较大优势,但当新的攻击出现时,该证据理论表现的效果欠佳。同时,由于D-S证据理论的计算量问题较大、BPA构造复杂等问题导致该证据理论应用的局限性,从而使得现在的D-S证据理论不能满足网络异常检测的需要。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供一种基于改进D-S证据理论的网络异常检测方法。
本发明采用的技术方案如下:
一种基于改进D-S证据理论的网络异常检测方法,包括如下步骤:
步骤1,采集网络数据;
步骤2,对采集到的网络数据进行数据预处理;
步骤3,利用经步骤2处理后的网络数据,采用改进的D-S证据理论训练网络异常检测模型;
步骤4,将真实网络数据输入网络异常检测模型进行网络异常检测;
步骤5,对网络异常检测结果进行可视化处理。
进一步,所述步骤1的方法为:通过截获网络中传送的数据包,收集连接时间、网络类型、窗口大小、以及传输数据大小。
进一步,所述步骤2包括如下子步骤:
步骤2.1,将采集到的网络数据划分为数值型数据和非数值型数据;
步骤2.2,对非数值型数据进行数值处理转换为数值字段数据;
步骤2.3,对数值字段数据进行线性变化,采用Min-Max归一化方法将数值字段数据归一化到[0,1]的范围;
步骤2.4,对数值型数据以及经步骤2.2-2.3处理得到的数值字段数据进行数据清洗。
进一步,所述步骤3包括如下子步骤:
步骤3.1,提取网络数据中的关键特征内容并进行属性划分;
步骤3.2,将属性划分的网络数据进行骤2处理,并将得到的网络数据划分为训练集和测试集;
步骤3.3,在训练集上采用模糊朴素贝叶斯方法和FCM算法计算不同属性在识别框架上的BPA;
步骤3.4,使用Dempster合成规则将不同属性的BPA进行整合得到综合BPA;
步骤3.5,将综合BPA转换为一个聚焦决策的Pignistic概率函数;
步骤3.6,将测试集输入Pignistic概率函数,具有最大Pignistic概率的输出结果作为测试集的输出网络异常检测结果,并以此验证测试集的输出网络异常检测结果的准确率符合要求时,该Pignistic概率函数作为网络异常检测模型。
进一步,所述步骤3.3中的方法如下:
(1)确定识别框架Θ
Θ=C={C1,C2,…,Cn} (1)
识别框架幂集2Θ的焦元表示为:
Ω={{C1},…,{CN},{C1,C2},…,{Ci,Cj},…,{CN-1,CN}} (2)
其中,复合元素{Ci,Cj}(i≠j)为D-S证据理论中的不确定假设;
(2)通过计算隶属度值和隶属度方差确定复合假设
首先,给定训练集中的一个输入样本,对于属性x,计算隶属度值为:
Figure BDA0002316859320000035
然后,对于复合假设{Ci,Cj},在属性x分类之后计算每一个模糊划分下的隶属度方差为:
Figure BDA0002316859320000031
其中,M是期望,隶属度矩阵为
Figure BDA0002316859320000032
最后,设置一个阈值D(u)作为隶属度方差阈值,在该模糊划分下,隶属度矩阵U的每一行的隶属度方差的平均值作为阈值D(u)的取值,当D(ui)<D(u)时认为该输入样本同时具有两种类别标签的性质,即属于复合假设;
(3)计算生成类BPA
使用一个模糊AND算子来分配与复合假设相关的质量函数,通过模糊朴素贝叶斯方法计算得到每个复合假设的生成类BPA函数为:
Figure BDA0002316859320000033
Figure BDA0002316859320000034
(4)计算判别类BPA
定义复合假设的类别质心
Figure BDA00023168593200000413
为:
Figure BDA00023168593200000414
利用输入样本和类别质心距离的指数函数作为判别类BPA函数:
Figure BDA0002316859320000041
Figure BDA0002316859320000042
(5)加权整合生成类BPA和判别类BPA
整合等式如下:
Figure BDA0002316859320000043
其中,
Figure BDA0002316859320000044
表示生成类BPA,
Figure BDA0002316859320000045
表示判别类BPA,0≤α,β≥1是自适应确定两类证据重要性的调节参数;
则对于属性x的BPA:mx({·})的定义为:
Figure BDA0002316859320000046
Figure BDA0002316859320000047
其中,K是用来满足质量函数,使等式得出有效BPA的归一化因数:
Figure BDA0002316859320000048
进一步,所述步骤3.4中使用的Dempster合成规则包括:
(1)对于两个证据的BPA合成
对于
Figure BDA0002316859320000049
命题A对于同一识别框架Θ上的两个质量函数:m1,m2,其Dempster合成规则为:
Figure BDA00023168593200000410
其中,符号
Figure BDA00023168593200000411
表示正交和,使质量函数之和为1,则K为归一化常数:
Figure BDA00023168593200000412
(2)对于多个证据的BPA合成
对于
Figure BDA0002316859320000051
命题A对于同一识别框架Θ上的n个质量函数:m1,m2,…,mn时,其Dempster合成规则为:
Figure BDA0002316859320000052
其中,归一化常数K为:
Figure BDA0002316859320000053
进一步,所述步骤3.5中将综合BPA转换为一个聚焦决策的Pignistic概率函数的等式为:
Figure BDA0002316859320000054
综上所述,由于采用了上述技术方案,本发明的有益效果是:
本发明基于改进D-S证据理论进行网络异常检测,可以更好地确定不确定假设,得到更加精准的网络异常检测结果。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明的基于改进D-S证据理论的网络异常检测方法的流程框图。
图2为本发明采用改进的D-S证据理论训练网络异常检测模型的流程框图。
图3为本发明中不确定区域示意图。
具体实施方式
如图1所示,本发明的一种基于改进D-S证据理论的网络异常检测方法,包括如下步骤:
步骤1,采集网络数据;
步骤2,对采集到的网络数据进行数据预处理;
步骤3,利用经步骤2处理后的网络数据,采用改进的D-S证据理论训练网络异常检测模型;
步骤4,将真实网络数据输入网络异常检测模型进行网络异常检测;
步骤5,对网络异常检测结果进行可视化处理。
以下结合实施例对本发明的特征和性能作进一步的详细描述。
1、采集网络数据
采集网络数据的方法为:通过截获网络中传送的数据包,收集连接时间、网络类型、窗口大小、以及传输数据大小。在实际应用中,还可以根据需要获取其他网络数据,后续过程相同。
2、数据预处理
采集到的网络数据的数据类型不统一、数据冗余、报警重复等现象,同时非数值型数据也无法直接进行量化处理,需要对采集到的网络数据进行数据预处理,获得干净、复杂度低且数据类型统一的网络数据,由此所述步骤2包括如下子步骤:
步骤2.1,将采集到的网络数据划分为数值型数据和非数值型数据;
步骤2.2,对非数值型数据进行数值处理转换为数值字段数据;具体地,对于非数值型数据进行统计分析,分别赋予相应的编号作为非数值型数据转换后的数值字段数据,以此保证网络数据集中的字段皆为数值型数据;非数值字段被处理为数值字段数据之后在度量方面会有较大的差距,此时就需要归一化操作;
步骤2.3,对数值字段数据进行线性变化,采用Min-Max归一化方法将数值字段数据归一化到[0,1]的范围;
步骤2.4,对数值型数据以及经步骤2.2-2.3处理得到的数值字段数据进行数据清洗;数据清洗包括去除干扰数据,再通过属性选择进一步删减冗余数据,降低数据维度和后续的计算复杂度。
3、网络异常检测模型
如图2所示,所述步骤3包括如下子步骤:
步骤3.1,提取网络数据中的关键特征内容并进行属性划分;其中,网络数据的关键特征内容可以是从获取的网络数据的连接时间、网络类型、窗口大小、以及传输数据大小等信息中的关键特征内容,例如,从源主机到目标主机的数据的字节、访问系统敏感文件和目录的次数、与当前连接具有相同目标主机的连接中,出现REJ错误的连接所占的百分比等属性内容。具有p个属性的网络数据就被划分为p个独立属性模型,在应用于D-S证据理论时,因为网络数据是作为证据被输入,所以这部分也可以叫作证据划分。
步骤3.2,将属性划分的网络数据进行骤2处理,并将得到的网络数据划分为训练集和测试集;其中,训练集用来计算每个独立属性模型的生成类BPA和判别类BPA,测试集用于验证网络异常检测模型的准确率,验证算法的效果。
步骤3.3,在训练集上采用模糊朴素贝叶斯方法和FCM算法计算不同属性在识别框架上的BPA;在对网络异常检测这个问题上,识别框架中的命题是网络中发生了何种攻击和将要发生何种攻击。在选取识别框架时,我们要考虑现有的攻击种类,由此确定识别框架中的元素。识别框架表示网络异常检测问题的所有可能答案,但其中只有一个答案是正确的。该识别框架的子集称为命题,分配给各命题的信任程度称为基本概率分配(BPA)。
在训练集上采用模糊朴素贝叶斯方法和FCM算法计算不同属性在识别框架上的生成类BPA和判别类BPA的过程如下:
(1)确定识别框架Θ
Θ=C={C1,C2,…,Cn} (1)
识别框架幂集2Θ的焦元表示为:
Ω={{C1},…,{CN},{C1,C2},…,{Ci,Cj},…,{CN-1,CN}} (2)
其中,复合元素{Ci,Cj}(i≠j)为D-S证据理论中的不确定假设,在本发明中不考虑基数超过2的焦元。为了更直观地理解识别框架中的复合元素,每个类别利用高斯分布进行建模,如图3所示,代表了第k项属性属于类别Ci或Cj的隶属程度。左边区域和右边区域分别代表了类别Ci和Cj的高斯分布,中间的重合区域是不确定区域(ROU,Region ofUncertainty),所以落在ROU中的样本会难以辨识,因为它们较大程度地同时具有两个不同类别的性质,所以这部分样本的识别任务可能会产生分类错误。因此使用ROU来表示复合假设{Ci,Cj},以此来对不确定性数据进行划分。这样,对于每个独立属性,可以获得N个高斯分布和
Figure BDA0002316859320000081
个ROU函数来分别作为单一假设和复合假设的模型。
(2)通过计算隶属度值和隶属度方差确定复合假设
使用模糊朴素贝叶斯方法和FCM算法来计算分配到每个焦元的基本概率时,模糊隶属度值
Figure BDA0002316859320000082
被用来表示每个属性归属于不同类别的程度。
首先,给定训练集中的一个输入样本,对于属性x,计算隶属度值为:
Figure BDA0002316859320000083
然后,对于复合假设{Ci,Cj},在属性x分类之后计算每一个模糊划分下的隶属度方差为:
Figure BDA0002316859320000091
其中,M是期望,隶属度矩阵为
Figure BDA0002316859320000092
最后,设置一个阈值D(u)作为隶属度方差阈值,在该模糊划分下,隶属度矩阵U的每一行的隶属度方差的平均值作为阈值D(u)的取值,当D(ui)<D(u)时认为该输入样本同时具有两种类别标签的性质,即属于复合假设。
(3)计算生成类BPA
由于在不确定区域内的对象既能属于Ci类,又能属于Cj类,所以使用一个模糊AND算子来分配与复合假设相关的质量函数,通过模糊朴素贝叶斯方法计算得到每个复合假设的生成类BPA函数为:
Figure BDA0002316859320000093
Figure BDA0002316859320000094
同样地,在没有适当归一化的情况下,公式(5)和(6)可能无法产生有效的BPA。在公式(6)中,对于∧运算,可以使用任何三角范式(T-Norm),在本发明中优选为最小值作为三角范式。
(4)计算判别类BPA
依据FCM算法,利用输入样本和类别质心向量
Figure BDA0002316859320000095
之间的欧几里德距离来确定判别类BPA。由此以ROU作为复合假设这一概念为基础,定义复合假设的类别质心
Figure BDA0002316859320000096
为:
Figure BDA0002316859320000097
复合假设的类别质心
Figure BDA0002316859320000098
的值为通过两种不同类别Ci、Cj的分布计算出的具有最小AND值的点。
利用输入样本和类别质心距离的指数函数作为判别类BPA函数:
Figure BDA0002316859320000101
Figure BDA0002316859320000102
(5)加权整合生成类BPA和判别类BPA
为了使该识别框架更灵活、更能在实际应用中有较好的发挥,本发明提出一种加权调节框架来对不同证据进行收集与整合。整合等式如下:
Figure BDA0002316859320000103
其中,
Figure BDA0002316859320000104
表示生成类BPA,
Figure BDA0002316859320000105
表示判别类BPA,0≤α,β≥1是自适应确定两类证据重要性的调节参数;此加权调节机制可以从训练集中找到针对不同证据源的适当加权,利用网格搜索最小化训练误差,寻找最优调节参数,此处对训练过程不做赘述。另外,需要说明的是公式(5)、(6)、(8)、(9)中的
Figure BDA0002316859320000106
Figure BDA0002316859320000107
并非最终的BPA。
对于属性x的整合BPA:mx({·})的定义为:
Figure BDA0002316859320000108
Figure BDA0002316859320000109
其中,K是用来满足质量函数,使等式得出有效BPA的归一化因数,对于每一个属性都有一个最优集(α,β)与之对应:
Figure BDA00023168593200001010
步骤3.4,使用Dempster合成规则将每个独立属性模型的生成类BPA和判别类BPA进行整合得到综合BPA;
(1)对于两个证据的BPA合成
对于
Figure BDA0002316859320000111
命题A对于同一识别框架Θ上的两个质量函数:m1,m2,其Dempster合成规则为:
Figure BDA0002316859320000112
其中,符号
Figure BDA0002316859320000113
表示正交和,使质量函数之和为1,则K为归一化常数:
Figure BDA0002316859320000114
(2)对于多个证据的BPA合成
对于
Figure BDA0002316859320000115
命题A对于同一识别框架Θ上的n个质量函数:m1,m2,…,mn时,同样可以按照将多个基本概率分配函数求正交和成为一个基本信任函数的方法,其Dempster合成规则为,:
Figure BDA0002316859320000116
其中,归一化常数K为:
Figure BDA0002316859320000117
步骤3.5,将综合BPA转换为一个聚焦决策的Pignistic概率函数;
Pignistic概率距离是以识别框架Θ下各子集的最大距离作为证据距离。利用Pignistic概率距离构造证据可信度,能够很好地判断证据之间的矛盾冲突。因此,本发明采用Pignistic概率距离作为证据决策依据。
对于
Figure BDA0002316859320000118
m(A)是定义在识别框架Θ上的一个基本概率分配函数,那么它在识别框架Θ上的Pignistic概率函数Bet Pm:Θ→[0,1]:
Figure BDA0002316859320000119
上式中,
Figure BDA00023168593200001110
则上述等式可以简化为:
Figure BDA00023168593200001111
所有BPA整合完成之后,利用公式(19)将综合BPA被转换为一个聚焦决策的Pignistic概率。
步骤3.6,将测试集输入Pignistic概率转换,具有最大Pignistic概率的输出结果作为测试集的输出网络异常检测结果;验证测试集的输出网络异常检测结果准确率符合要求时,该Pignistic概率转换作为网络异常检测模型。
通过上述内容可知,本发明的网络异常检测方法量化了来自每个信息源的证据并对单一假设和复合假设分别构造其基本概率分配函数,并使用ROU来定义复合假设,为了兼顾不同源的特征,采用加权调节架构来为单一假设和复合假设分配概率。在实际应用中,可以采用训练机制来寻找适当的加权系数(α,β),将它们运用到不用的证据类别。
4、网络异常检测;
将真实网络数据输入网络异常检测模型进行网络异常检测,其中,真实网络数据同样采用步骤3的方法,利用模糊朴素贝叶斯方法和FCM算法计算不同属性的生成类BPA和判别类,以及综合BPA,最后通过Pignistic概率转换识别网络数据中的攻击数量、攻击种类、正常数量等信息。
步骤5,对网络异常检测结果进行可视化处理。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于改进D-S证据理论的网络异常检测方法,其特征在于,包括如下步骤:
步骤1,采集网络数据;
步骤2,对采集到的网络数据进行数据预处理;
步骤3,利用经步骤2处理后的网络数据,采用改进的D-S证据理论训练网络异常检测模型;
步骤4,将真实网络数据输入网络异常检测模型进行网络异常检测;
步骤5,对网络异常检测结果进行可视化处理。
2.根据权利要求1所述的基于改进D-S证据理论的网络异常检测方法,其特征在于,所述步骤1的方法为:通过截获网络中传送的数据包,收集连接时间、网络类型、窗口大小、以及传输数据大小。
3.根据权利要求1所述的基于改进D-S证据理论的网络异常检测方法,其特征在于,所述步骤2包括如下子步骤:
步骤2.1,将采集到的网络数据划分为数值型数据和非数值型数据;
步骤2.2,对非数值型数据进行数值处理转换为数值字段数据;
步骤2.3,对数值字段数据进行线性变化,采用Min-Max归一化方法将数值字段数据归一化到[0,1]的范围;
步骤2.4,对数值型数据以及经步骤2.2-2.3处理得到的数值字段数据进行数据清洗。
4.根据权利要求1所述的基于改进D-S证据理论的网络异常检测方法,其特征在于,所述步骤3包括如下子步骤:
步骤3.1,提取网络数据中的关键特征内容并进行属性划分;
步骤3.2,将属性划分的网络数据进行骤2处理,并将得到的网络数据划分为训练集和测试集;
步骤3.3,在训练集上采用模糊朴素贝叶斯方法和FCM算法计算不同属性在识别框架上的BPA;
步骤3.4,使用Dempster合成规则将不同属性的BPA进行整合得到综合BPA;
步骤3.5,将综合BPA转换为一个聚焦决策的Pignistic概率函数;
步骤3.6,将测试集输入Pignistic概率函数,具有最大Pignistic概率的输出结果作为测试集的输出网络异常检测结果,并以此验证测试集的输出网络异常检测结果的准确率符合要求时,该Pignistic概率函数作为网络异常检测模型。
5.根据权利要求4所述的基于改进D-S证据理论的网络异常检测方法,其特征在于,所述步骤3.3中的方法如下:
(1)确定识别框架Θ
Θ=C={C1,C2,...,Cn} (1)
识别框架幂集2Θ的焦元表示为:
Ω={{C1},...,{CN},{C1,C2},...,{Ci,Cj},...,{CN-1,CN}} (2)
其中,复合元素{Ci,Cj}(i≠j)为D-S证据理论中的不确定假设;
(2)通过计算隶属度值和隶属度方差确定复合假设
首先,给定训练集中的一个输入样本,对于属性x,计算隶属度值为:
μ{Ci}(x)=ui(xi)=maxjuij(xi) (3)
然后,对于复合假设{Ci,Cj},在属性x分类之后计算每一个模糊划分下的隶属度方差为:
Figure FDA0002316859310000021
其中,M是期望,隶属度矩阵为
Figure FDA0002316859310000031
最后,设置一个阈值D(u)作为隶属度方差阈值,在该模糊划分下,隶属度矩阵U的每一行的隶属度方差的平均值作为阈值D(u)的取值,当D(ui)<D(u)时认为该输入样本同时具有两种类别标签的性质,即属于复合假设;
(3)计算生成类BPA
使用一个模糊AND算子来分配与复合假设相关的质量函数,通过模糊朴素贝叶斯方法计算得到每个复合假设的生成类BPA函数为:
Figure FDA0002316859310000032
Figure FDA0002316859310000033
(4)计算判别类BPA
定义复合假设的类别质心
Figure FDA0002316859310000034
为:
Figure FDA0002316859310000035
利用输入样本和类别质心距离的指数函数作为判别类BPA函数:
Figure FDA0002316859310000036
Figure FDA0002316859310000037
(5)加权整合生成类BPA和判别类BPA
整合等式如下:
Figure FDA0002316859310000038
其中,
Figure FDA0002316859310000039
表示生成类BPA,
Figure FDA00023168593100000310
表示判别类BPA,0≤α,β≥1是自适应确定两类证据重要性的调节参数;
则对于属性x的BPA:mx({·})的定义为:
Figure FDA00023168593100000311
Figure FDA0002316859310000041
其中,K是用来满足质量函数,使等式得出有效BPA的归一化因数:
Figure FDA0002316859310000042
6.根据权利要求5所述的基于改进D-S证据理论的网络异常检测方法,其特征在于,公式(6)中∧运算为最小值作为三角范式。
7.根据权利要求5所述的基于改进D-S证据理论的网络异常检测方法,其特征在于,所述步骤3.4中使用的Dempster合成规则包括:
(1)对于两个证据的BPA合成
对于
Figure FDA0002316859310000043
命题A对于同一识别框架Θ上的两个质量函数:m1,m2,其Dempster合成规则为:
Figure FDA0002316859310000044
其中,符号
Figure FDA0002316859310000045
表示正交和,使质量函数之和为1,则K为归一化常数:
Figure FDA0002316859310000046
(2)对于多个证据的BPA合成
对于
Figure FDA0002316859310000047
命题A对于同一识别框架Θ上的n个质量函数:m1,m2,…,mn时,其Dempster合成规则为:
Figure FDA0002316859310000048
其中,归一化常数K为:
Figure FDA0002316859310000049
8.根据权利要求5所述的基于改进D-S证据理论的网络异常检测方法,其特征在于,所述步骤3.5中将综合BPA转换为一个聚焦决策的Pignistic概率函数的等式为:
Figure FDA0002316859310000051
CN201911281444.6A 2019-12-13 2019-12-13 一种基于改进d-s证据理论的网络异常检测方法 Pending CN111031042A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911281444.6A CN111031042A (zh) 2019-12-13 2019-12-13 一种基于改进d-s证据理论的网络异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911281444.6A CN111031042A (zh) 2019-12-13 2019-12-13 一种基于改进d-s证据理论的网络异常检测方法

Publications (1)

Publication Number Publication Date
CN111031042A true CN111031042A (zh) 2020-04-17

Family

ID=70208537

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911281444.6A Pending CN111031042A (zh) 2019-12-13 2019-12-13 一种基于改进d-s证据理论的网络异常检测方法

Country Status (1)

Country Link
CN (1) CN111031042A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113657429A (zh) * 2021-06-30 2021-11-16 北京邮电大学 面向数字孪生城市物联网的数据融合方法及装置
CN115225301A (zh) * 2021-04-21 2022-10-21 上海交通大学 基于d-s证据理论的混合入侵检测方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104484602A (zh) * 2014-12-09 2015-04-01 中国科学院深圳先进技术研究院 一种入侵检测方法、装置
CN105681339A (zh) * 2016-03-07 2016-06-15 重庆邮电大学 一种融合粗糙集与ds证据理论的增量式入侵检测方法
CN106250442A (zh) * 2016-07-26 2016-12-21 新疆大学 一种网络安全数据的特征选择方法及系统
CN108763793A (zh) * 2018-06-01 2018-11-06 电子科技大学 一种加权模糊型d-s证据理论框架
CN110381013A (zh) * 2019-05-28 2019-10-25 三明学院 一种网络安全态势感控方法、装置、设备和存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104484602A (zh) * 2014-12-09 2015-04-01 中国科学院深圳先进技术研究院 一种入侵检测方法、装置
CN105681339A (zh) * 2016-03-07 2016-06-15 重庆邮电大学 一种融合粗糙集与ds证据理论的增量式入侵检测方法
CN106250442A (zh) * 2016-07-26 2016-12-21 新疆大学 一种网络安全数据的特征选择方法及系统
CN108763793A (zh) * 2018-06-01 2018-11-06 电子科技大学 一种加权模糊型d-s证据理论框架
CN110381013A (zh) * 2019-05-28 2019-10-25 三明学院 一种网络安全态势感控方法、装置、设备和存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115225301A (zh) * 2021-04-21 2022-10-21 上海交通大学 基于d-s证据理论的混合入侵检测方法和系统
CN115225301B (zh) * 2021-04-21 2023-11-21 上海交通大学 基于d-s证据理论的混合入侵检测方法和系统
CN113657429A (zh) * 2021-06-30 2021-11-16 北京邮电大学 面向数字孪生城市物联网的数据融合方法及装置
CN113657429B (zh) * 2021-06-30 2023-07-07 北京邮电大学 面向数字孪生城市物联网的数据融合方法及装置

Similar Documents

Publication Publication Date Title
US8868985B2 (en) Supervised fault learning using rule-generated samples for machine condition monitoring
CN112910859B (zh) 基于c5.0决策树和时序分析的物联网设备监测预警方法
CN113378990B (zh) 基于深度学习的流量数据异常检测方法
CN113255573B (zh) 基于混合簇中心标签学习的行人重识别方法和存储介质
US20230419402A1 (en) Systems and methods of optimizing machine learning models for automated anomaly detection
CN116108371B (zh) 基于级联异常生成网络的云服务异常诊断方法与系统
CN111031042A (zh) 一种基于改进d-s证据理论的网络异常检测方法
Dionelis et al. Tail of distribution GAN (TailGAN): GenerativeAdversarial-network-based boundary formation
Igoe et al. How useful are gradients for ood detection really?
CN115757103A (zh) 基于树结构的神经网络测试用例生成方法
CN116015708A (zh) 基于深度学习预测不确定性的恶意流量开集识别方法及装置
CN117351659A (zh) 一种水文地质灾害监测装置及监测方法
CN112528554A (zh) 一种适于多发多源火箭试验数据的数据融合方法及系统
Lust et al. A survey on assessing the generalization envelope of deep neural networks: predictive uncertainty, out-of-distribution and adversarial samples
Ahmad et al. Causal discovery using model invariance through knockoff interventions
Darling Using uncertainty to interpret supervised machine learning predictions
Lahoti et al. Detecting and mitigating test-time failure risks via model-agnostic uncertainty learning
Duan et al. Risk assessment for enterprise merger and acquisition via multiple classifier fusion
Florbäck Anomaly detection in logged sensor data
CN115831339B (zh) 基于深度学习的医疗系统风险管控事前预测方法、系统
Su et al. Intrusion detection using convolutional recurrent neural network
Liu et al. Zero-bias deep learning enabled quick and reliable abnormality detection in IoT
CN116708029B (zh) 一种区块链异常节点的检测方法、系统、设备和存储介质
CN115348074B (zh) 深度时空混合的云数据中心网络流量实时检测方法
Shi et al. Robustness Evaluation of Deep Learning Models Based on Local Prediction Consistency

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200417

RJ01 Rejection of invention patent application after publication