CN112887326A - 一种基于边云协同的入侵检测方法 - Google Patents
一种基于边云协同的入侵检测方法 Download PDFInfo
- Publication number
- CN112887326A CN112887326A CN202110200602.1A CN202110200602A CN112887326A CN 112887326 A CN112887326 A CN 112887326A CN 202110200602 A CN202110200602 A CN 202110200602A CN 112887326 A CN112887326 A CN 112887326A
- Authority
- CN
- China
- Prior art keywords
- model
- edge
- data
- cloud
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 62
- 238000012545 processing Methods 0.000 claims abstract description 21
- 238000007781 pre-processing Methods 0.000 claims abstract description 14
- 238000000034 method Methods 0.000 claims abstract description 13
- 241000255581 Drosophila <fruit fly, genus> Species 0.000 claims description 45
- 230000006870 function Effects 0.000 claims description 28
- 238000005457 optimization Methods 0.000 claims description 15
- 238000012937 correction Methods 0.000 claims description 14
- 241000255588 Tephritidae Species 0.000 claims description 12
- 238000001914 filtration Methods 0.000 claims description 12
- 238000012549 training Methods 0.000 claims description 10
- 238000011156 evaluation Methods 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000012360 testing method Methods 0.000 claims description 6
- 230000006399 behavior Effects 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 5
- 230000002028 premature Effects 0.000 claims description 4
- 238000009827 uniform distribution Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 3
- 238000013500 data storage Methods 0.000 claims description 3
- 238000002474 experimental method Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 235000013305 food Nutrition 0.000 claims description 3
- 238000010606 normalization Methods 0.000 claims description 2
- 239000002994 raw material Substances 0.000 claims description 2
- 238000012847 principal component analysis method Methods 0.000 claims 1
- 238000000513 principal component analysis Methods 0.000 description 6
- 210000002569 neuron Anatomy 0.000 description 5
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000019637 foraging behavior Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 210000004027 cell Anatomy 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 235000001968 nicotinic acid Nutrition 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于边云协同的入侵检测方法。包括如下步骤:主机或网络设备上抓取数据包,上传到边缘端;在边缘端将采集到的数据包进行数据预处理,然后使用预先构建的分类器模型来分类出各种攻击;云端分析边缘端上传的入侵检测模型处理结果的可靠性,为了边缘端能解决未知入侵,云端对边缘端的模型更新后重新传回边缘端。当系统通过模型判别攻击类型时出现将正常行为判定为攻击类型时,网络管理员将误报反馈给系统,同时上传至云端,在云端进行模型更新后传回边缘端,以减少边缘端出现误报。将边缘计算与云计算进行协同,应用于入侵检测,能降低时延,更能提高入侵检测系统的检测准确率,同时增强对未知攻击类型的检测。
Description
技术领域
本发明涉及一种基于边云协同的入侵检测方法,属于网络信息安全领域。
背景技术
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。通过入侵检测技术,可以监测主机和网络等边缘侧的异常数据。目前基于云环境下的入侵检测已经很成熟,但在云环境下传输海量数据、云中心处理数据都需要时间,这增加了响应时间。入侵检测系统一旦遭受恶意入侵,如果不能及时响应将造成严重后果,近年出现的边缘计算能解决这一问题。边缘计算将边缘设备(基站、无线接入点、路由器等)作为云端和设备端设备之间的桥梁,将云服务扩展到网络边缘侧,将数据在设备端附近就能得到及时有效的处理,能够弥补云计算大数据分析过程的时延高、周期长、网络耗能严重等缺陷。因此,将边缘计算与云计算进行协同能够更好地提高入侵检测的速度和准确率。
发明内容
为了克服现有技术的不足,本发明提供一种基于边云协同的入侵检测方法。
本发明采用的技术如下:一种基于边云协同的入侵检测方法,包括以下步骤:
(1)主机或网络设备上抓取数据包,上传至边缘端。
(2)在边缘端,对抓取到的数据包进行数据过滤、格式处理和数据预处理操作。
(3)在边缘端利用预先构建好的改进果蝇算法优化极限学习机模型,对预处理所得数据进行分类,确定属于哪种攻击。将检测到的攻击事件反馈到系统,以便网络管理员能及时做出决策。
(4)云端分析边缘端上传的入侵检测模型处理结果的可靠性,并更新边缘端模型,存储分析结果。云端对边缘端模型进行更新后重新传回边缘端,不断交互,赋予边缘端更强的入侵检测能力。
(5)当系统通过模型判别攻击类型时,出现将正常行为判定为攻击类型情况时,网络管理员将误报反馈给系统,同时上传至云端,并在云端进行模型更新,更新后传回边缘端,以减少边缘端出现误报的情况。
基于边云协同的入侵检测方法,其基于设备端、边缘端和云端,设备端包含采集、反馈功能,能够进行数据采集、数据上传和误报反馈;边缘端包括对数据进行过滤、数据预处理、模型训练以及攻击分类功能,在边缘端提前将改进果蝇算法优化极限学习机模型进行训练,当进行入侵检测时,边缘端将已检测到的攻击反馈给设备端,将分类结果上传至云端;云端包括结果分析、模型优化和存储数据功能,能分析边缘端入侵检测模型处理结果的可靠性,并更新模型,将更新的模型传回边缘端。
主机或网络设备上抓取的数据包主要来自:从网卡上直接复制转发过来的数据,系统的日志文件以及一些关键进程的日志文件,系统配置文件改动部分等。这些数据作为原始素材,发送给边缘端进行处理。
抓取到的数据包非常庞大,需要对抓取到的数据包进行数据过滤、格式处理和数据预处理操作。具体步骤为:在边缘端将使用一定的过滤规则对数据包过滤,留下需要分析的数据,剔除掉无效信息;为便于输入模型进行分类处理,将对过滤后的数据进行进一步的处理,包括将其格式设置为跟训练集KDD CUP99数据集一样的格式,将其字符型数据转化为数值型数据,进行归一化的预处理操作。
改进果蝇算法优化极限学习机模型包括以下步骤:
3.1)使用主成分分析法(PCA)对预处理好的KDD CUP99数据集进行特征提取去除冗余特征,并对提取完的数据集进行划分,其中训练集占70%,测试集占30%。
3.2)初始化极限学习机模型参数,获取输入层节点、隐藏层节点和输出层节点以及网络初始权值和阈值。
3.3)利用改进果蝇算法获取全局最优位置,改进果蝇算法的全局最优位置即为极限学习机隐含层最优初始权值和阈值。
3.4)将最优初始权值和阈值带入极限学习机(ELM)中,对测试集进行实验,得到改进果蝇算法优化极限学习机模型,即最优分类器模型。
所述步骤(3.3)中的改进果蝇算法,一方面是在算法初始化阶段,利用精英反向学习策略初始化种群,同时搜索当前解与其动态反向学习的解,(Xij *,Yij *)是初始种群(Xij,Yij)对应的反向解,(Xij *,Yij *)=(Xaj+Xbj-Xij,Yaj+Ybj-Yij),其中Xaj=min(Xij),Xbj=max(Xij),Yaj=min(Yij),Ybj=max(Yij)分别是X和Y在搜索区间第j维的最小值和最大值,利用适应度评价函数比较初始种群和反向种群,将较优的解作为初始解;另一方面是为克服算法的早熟收敛性,提高精度,引入修正因子对味道浓度判定值Si做了修改,修正公式如下:β=ρ·Disti,Si=1/Disti+βi=1,2,...n,其中ρ是均匀分布,β是修正因子,Disti表示果蝇个体新位置与原点之间的距离;
所述改进果蝇算法具体包括以下步骤:
3.3.1)随机产生初始种群(Xij,Yij),i=1,2,...N,j=1,2,...,L,N是群体规模,L是问题的维度,Xij,Yij∈搜索区间。
3.3.2)计算反向种群(Xij *,Yij *),i=1,2,...N,j=1,2,...,L,N是群体规模,L是问题的维度,(Xij *,Yij *)是(Xij,Yij)对应的反向解。
3.3.3)利用适应度评价函数比较初始种群和反向种群,选择N个适应度高的个体组成初始种群。
3.3.4)初始化果蝇群体搜索食物的方向与距离。
3.3.5)引入修正因子对味道浓度判定值进行修改后,计算味道浓度判定值,同时将味道浓度判定值带入味道浓度判定函数(或称适应度函数fitness function),求出果蝇个体的味道浓度。
3.3.6)求出果蝇群体中味道浓度最优的果蝇,保留位置。
3.3.7)保留最佳味道浓度值与X,Y坐标,此时果蝇群体利用视觉往该位置飞去。
3.3.8)进入迭代寻优,重复执行步骤3.3.4)~3.3.6),并判断味道浓度是否优于前一迭代味道浓度,同时当前迭代次数是否小于最大迭代次数Maxgen,若是则执行步骤3.3.7。保留具有较优味道浓度判定函数值的果蝇个体。
本发明的有益效果是:
(1)引入边云协同模式,边缘计算能在终端设备的网络边缘处理和存储数据,就近提供服务从而保证较低的延迟。边缘计算能够将云计算的计算能力下沉到数据端,提供计算、存储和网络服务,能解决云服务器存储和计算负担过重、网络传输带宽压力过大等问题。因此,将边缘计算与云计算进行协同能够更好地提高入侵检测的速度和准确率。
(2)使用改进果蝇算法优化极限学习机模型,由于入侵检测数据具有量大、变化快、未知的攻击多等特点,因此,使用极限学习机作为入侵检测的分类器,能够有效发挥其快速学习的优势和很好的泛化能力。
(3)利用精英反向学习改进果蝇算法,扩大了种群的多样性,扩大了搜索空间,提高搜索性能,也避免算法陷入局部最优。对味道浓度判定值做了修改,是为了克服算法的早熟收敛性,提高精度。采用改进的果蝇算法对ELM神经网络参数进行优化,能提高算法的泛化能力,也能避免算法陷入局部最优解。
附图说明
下面结合附图对本发明进行详细的描述。
图1是本发明实施例一种基于边云协同的入侵检测方法流程示意图;
图2是改进果蝇算法优化极限学习机入侵检测模型流程图;
图3是改进果蝇算法流程图。
具体实施方式
下面结合附图和具体实施方式,对本发明做进一步的说明。
实施例1:如图1-3所示,一种基于边云协同的入侵检测方法,基于设备端、边缘端和云端,设备端包含采集、反馈功能,能够进行数据采集、数据上传和误报反馈;边缘端包括对数据进行过滤、数据预处理、模型训练以及攻击分类功能,在边缘端提前将改进果蝇算法优化极限学习机模型进行训练,当进行入侵检测时,边缘端将已检测到的攻击反馈给设备端,将分类结果上传至云端;云端包括结果分析、模型优化和存储数据功能,能分析边缘端入侵检测模型处理结果的可靠性,并更新模型,将更新的模型传回边缘端。
一种基于边云协同的入侵检测方法,包括如下步骤:
(1)主机或网络设备上抓取数据包,上传至边缘端。
(2)边缘端对抓取到的数据包进行数据过滤,格式处理和数据预处理操作。
(3)边缘端利用预先构建好的改进果蝇算法优化极限学习机模型,对预处理所得数据进行分类,确定属于哪种攻击。将检测到的攻击事件反馈到系统,以便网络管理员能及时做出决策。
(4)云端分析边缘端上传的入侵检测模型处理结果的可靠性,并更新边缘端模型,存储分析结果。云端对边缘端模型进行更新后重新传回边缘端,不断交互,赋予边缘端更强的入侵检测能力。
(5)当系统通过模型判别攻击类型时,出现将正常行为判定为攻击类型情况时,网络管理员将误报反馈给系统,同时上传至云端,并在云端进行模型更新,更新后传回边缘端,以减少边缘端出现误报的情况。
边缘计算(Edge Computing,EC)是指一种将相关应用程序运算由中心节点移至逻辑上的边缘节点来处理的计算方式,目标是提高数据处理效率,减少延迟。
边缘计算作为云计算的一种补充,其设备主要部署于接近产生计算数据源的用户端网络边缘,用于将原有云计算中由大型的中心云节点处理的大型服务划分为相对较小的计算模块,然后分别交给不同的边缘节点进行计算处理。
为了合理分配入侵检测系统的计算负载,将入侵检测系统部署在边缘端,这个部署的原因是:一方面如果入侵检测系统部署在云端,由于所有数据都必须发送到云端,网络通信成本会增加,计算负载也会增加,还会造成延迟;另一方面云端很容易成为攻击的目标,如果入侵检测系统部署在云端,入侵检测系统容易遭受过多攻击;另一方面:使用极限学习机训练模型时,训练数据集比较大,如果只通过云端进行训练,会大大增加训练时间。
入侵是一个连续不断的行为,时刻都会有新的攻击类型,所以将边缘端的分类结果上传至云端,云端分析边缘端入侵检测模型处理结果的可靠性,更新边缘端的模型,更新后重新传回边缘端。通过不断交互,赋予边缘端更强的入侵检测能力,使其模型能够检测出未知攻击。当发现边缘端的入侵检测结果出现误报及错误时,及时反馈给网络管理员做出相应决策,同时传给云端进行数据分析,模型更新后传回边缘端,通过设备端-边缘端-云端三层的不断交互,使得入侵检测模型更好,入侵检测系统的检测以及响应能力更优,能够更好地提高入侵检测的速度和准确率。
极限学习机(ELM)是一种由输入层、隐含层和输出层组成的前馈神经网络,只需要设置隐含层神经元的个数及隐含层神经元的激活函数,学习过程中不需要更新输入层到隐含层的权值和隐含层神经元的偏置,即可计算出隐含层与输出层间的连接权值,因而通过一次学习即可获得最优值。
假设总共存在N个任意的样本(Xi,ti),Xi=[xi1,xi2,...xin]T∈Rn.一个拥有L个隐含结点的单隐层神经网络可以表示为
其中,g(x)为激活函数,Wj=[wj1,wj2,...,wjn]T∈Rm表示输入层和隐含层第j个神经元之间的输入权重,βj为隐含层和输出层第j个神经元之间的输出权重,bj是第j个隐层单元的偏置。Wj*Xi是Wj和Xi对应的内积。
果蝇优化算法(FOA),即果蝇算法,是基于果蝇觅食行为的仿生学原理而提出的一种新兴群体智能优化算法。果蝇算法通过模拟果蝇群体觅食行为,采用群体协作、信息共享的机制进行寻优操作。
改进果蝇算法优化极限学习机模型流程如图2所示,包括以下步骤:
1)使用主成分分析法(PCA)对预处理好的KDD CUP99数据集进行特征提取去除冗余特征,并对提取完的数据集进行划分,其中训练集占70%,测试集占30%。
2)初始化极限学习机模型参数,获取输入层节点、隐藏层节点和输出层节点以及网络初始权值和阈值。
3)利用改进果蝇算法获取全局最优位置,改进果蝇算法的全局最优位置即为极限学习机隐含层最优初始权值和阈值。
4)将最优初始权值和阈值带入ELM中,对测试集进行实验,得到改进果蝇算法优化极限学习机模型,即最优分类器模型。
主成分分析法(PCA)是一种线性降维技术,从多维特征提取反映数据属性的信息主元,这些主元可以反映几乎全部的高维信息,并且具有数目少、互不相关的特点。
改进果蝇算法,一方面是在算法初始化阶段,利用精英反向学习策略初始化种群,同时搜索当前解与其动态反向学习的解,(Xij *,Yij *)是初始种群(Xij,Yij)对应的反向解,(Xij *,Yij *)=(Xaj+Xbj-Xij,Yaj+Ybj-Yij),其中Xaj=min(Xij),Xbj=max(Xij),Yaj=min(Yij),Ybj=max(Yij)分别是X和Y在搜索区间第j维的最小值和最大值,利用适应度评价函数比较初始种群和反向种群,将较优的解作为初始解;另一方面是为克服算法的早熟收敛性,提高精度,引入修正因子对味道浓度判定值Si做了修改,修正公式如下:β=ρ·Disti,Si=1/Disti+βi=1,2,...n,其中ρ是均匀分布,β是修正因子,Disti表示果蝇个体新位置与原点之间的距离;
所述改进果蝇算法流程如图3所示,详细步骤如下:
3.3.1)随机产生初始种群(Xij,Yij),i=1,2,...N,j=1,2,...,L,N是群体规模,L是问题的维度,Xij,Yij∈搜索区间。
3.3.2)计算反向种群(Xij *,Yij *),i=1,2,...N,j=1,2,...,L,N是群体规模,L是问题的维度,(Xij *,Yij *)是(Xij,Yij)对应的反向解:
其中,Xaj=min(Xij),Xbj=max(Xij),Yaj=min(Yij),Ybj=max(Yij)分别是X和Y在搜索区间第j维的最小值和最大值。
3.3.3)利用适应度评价函数比较初始种群和反向种群,选择N个适应度高的个体组成初始种群。
Si=1/Disti (4)
其中,Disti表示果蝇个体新位置与原点之间的距离,Disti的倒数作为适应度评价函数Si。
3.3.4)初始化果蝇群体搜索食物的方向与距离。
式中:RandValue为搜索距离。
3.3.5)引入修正因子β对味道浓度判定值Si进行修改后,计算味道浓度判定值,同时将味道浓度判定值Si带入味道浓度判定函数(或称适应度函数fitness function),求出果蝇个体的味道浓度。修正公式如下:
Si=1/Disti+β i=1,2,...n (6)
β=ρ·Disti (7)
其中ρ是均匀分布,β是修正因子,Disti表示果蝇个体新位置与原点之间的距离。
求果蝇个体的味道浓度Smelli:
Smelli=function(Si) (8)
3.3.6)求出果蝇群体中味道浓度最优的果蝇,保留位置。
[bestSmell,bestIndex]=min(Smelli) (9)
3.3.7)保留最佳味道浓度值SmellBest与X,Y坐标,此时果蝇群体利用视觉往该位置飞去。
SmellBest=bestSmell (10)
3.3.8)进入迭代寻优,重复执行步骤3.3.4)~3.3.6),并判断味道浓度是否优于前一迭代味道浓度,同时当前迭代次数是否小于最大迭代次数Maxgen,若是则执行步骤3.3.7。保留具有较优味道浓度判定函数值的果蝇个体。
本发明将边缘计算与云计算进行协同,应用于入侵检测,能降低时延,更能提高入侵检测系统的检测准确率,同时增强对未知攻击类型的检测。
以上结合附图对本发明的具体实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。
Claims (6)
1.一种基于边云协同的入侵检测方法,其特征在于:包括如下步骤:
(1)主机或网络设备上抓取数据包,上传至边缘端;
(2)在边缘端,对抓取到的数据包进行数据过滤、格式处理和数据预处理操作;
(3)在边缘端利用预先构建好的改进果蝇算法优化极限学习机模型,对预处理所得数据进行分类,确定属于哪种攻击,将检测到的攻击事件反馈到系统,以便网络管理员能及时做出决策;
(4)云端分析边缘端上传的入侵检测模型处理结果的可靠性,并更新边缘端模型,存储分析结果,云端对边缘端模型进行更新后重新传回边缘端,不断交互,赋予边缘端更强的入侵检测能力;
(5)当系统通过模型判别攻击类型时,出现将正常行为判定为攻击类型情况时,网络管理员将误报反馈给系统,同时上传至云端,并在云端进行模型更新,更新后传回边缘端,以减少边缘端出现误报的情况。
2.根据权利要求1所述基于边云协同的入侵检测方法,其特征在于:基于设备端、边缘端和云端,设备端包含采集、反馈功能,能够进行数据采集、数据上传和误报反馈;边缘端包括对数据进行过滤、数据预处理、模型训练以及攻击分类功能,在边缘端提前将改进果蝇算法优化极限学习机模型进行训练,当进行入侵检测时,边缘端将已检测到的攻击反馈给设备端,将分类结果上传至云端;云端包括结果分析、模型优化和存储数据功能,能分析边缘端入侵检测模型处理结果的可靠性,并更新模型,将更新的模型传回边缘端。
3.根据权利要求1所述基于边云协同的入侵检测方法,其特征在于:所述步骤(1)中:从主机或网络设备上抓取的数据包主要来自:从网卡上直接复制转发过来的数据,系统的日志文件以及一些关键进程的日志文件,系统配置文件改动部分,这些数据作为原始素材,发送给边缘端进行处理。
4.根据权利要求1所述基于边云协同的入侵检测方法,其特征在于:所述步骤(2)中:抓取到的数据包非常庞大,需要对抓取到的数据包进行数据过滤、格式处理和数据预处理操作,具体步骤为:在边缘端将使用一定的过滤规则对数据包过滤,留下需要分析的数据,剔除掉无效信息;为便于输入模型进行分类处理,将对过滤后的数据进行进一步的处理,包括将其格式设置为跟训练集KDD CUP99数据集一样的格式,将其字符型数据转化为数值型数据,进行归一化的预处理操作。
5.根据权利要求1所述基于边云协同的入侵检测方法,其特征在于:所述步骤(3)中,改进果蝇算法优化极限学习机模型包括以下步骤:
3.1)使用主成分分析法对预处理好的KDD CUP99数据集进行特征提取去除冗余特征,并对提取完的数据集进行划分,其中训练集占70%,测试集占30%;
3.2)初始化极限学习机模型参数,获取输入层节点、隐藏层节点和输出层节点以及网络初始权值和阈值;
3.3)利用改进果蝇算法获取全局最优位置,改进果蝇算法的全局最优位置即为极限学习机隐含层最优初始权值和阈值;
3.4)将最优初始权值和阈值带入极限学习机中,对测试集进行实验,得到改进果蝇算法优化极限学习机模型,即最优分类器模型。
6.根据权利要求5所述基于边云协同的入侵检测方法,其特征在于:所述步骤(3.3)中的改进果蝇算法,一方面是在算法初始化阶段,利用精英反向学习策略初始化种群,同时搜索当前解与其动态反向学习的解,(Xij *,Yij *)是初始种群(Xij,Yij)对应的反向解,(Xij *,Yij *)=(Xaj+Xbj-Xij,Yaj+Ybj-Yij),其中Xaj=min(Xij),Xbj=max(Xij),Yaj=min(Yij),Ybj=max(Yij)分别是X和Y在搜索区间第j维的最小值和最大值,利用适应度评价函数比较初始种群和反向种群,将较优的解作为初始解;另一方面是为克服算法的早熟收敛性,提高精度,引入修正因子对味道浓度判定值Si做了修改,修正公式如下:β=ρ·Disti,Si=1/Disti+βi=1,2,...n,其中ρ是均匀分布,β是修正因子,Disti表示果蝇个体新位置与原点之间的距离;
所述改进果蝇算法具体包括以下步骤:
3.3.1)随机产生初始种群(Xij,Yij),i=1,2,...N,j=1,2,...,L,N是群体规模,L是问题的维度,Xij,Yij∈搜索区间;
3.3.2)计算反向种群(Xij *,Yij *),i=1,2,...N,j=1,2,...,L,N是群体规模,L是问题的维度,(Xij *,Yij *)是(Xij,Yij)对应的反向解;
3.3.3)利用适应度评价函数比较初始种群和反向种群,选择N个适应度高的个体组成初始种群;
3.3.4)初始化果蝇群体搜索食物的方向与距离;
3.3.5)引入修正因子对味道浓度判定值进行修改后,计算味道浓度判定值,同时将味道浓度判定值带入味道浓度判定函数(或称适应度函数fitness function),求出果蝇个体的味道浓度;
3.3.6)求出果蝇群体中味道浓度最优的果蝇,保留位置;
3.3.7)保留最佳味道浓度值与X,Y坐标,此时果蝇群体利用视觉往该位置飞去;
3.3.8)进入迭代寻优,重复执行步骤3.3.4)~3.3.6),并判断味道浓度是否优于前一迭代味道浓度,同时当前迭代次数是否小于最大迭代次数Maxgen,若是则执行步骤3.3.7,保留具有较优味道浓度判定函数值的果蝇个体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110200602.1A CN112887326A (zh) | 2021-02-23 | 2021-02-23 | 一种基于边云协同的入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110200602.1A CN112887326A (zh) | 2021-02-23 | 2021-02-23 | 一种基于边云协同的入侵检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112887326A true CN112887326A (zh) | 2021-06-01 |
Family
ID=76053825
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110200602.1A Pending CN112887326A (zh) | 2021-02-23 | 2021-02-23 | 一种基于边云协同的入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112887326A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114137634A (zh) * | 2021-12-07 | 2022-03-04 | 中兴飞流信息科技有限公司 | 一种基于雷达视频融合的站台端头入侵检测方法及系统 |
CN114785579A (zh) * | 2022-04-14 | 2022-07-22 | 七台河达不琉网络科技有限公司 | 一种应用于云边端计算的网络攻击分析方法及服务器 |
CN117278332A (zh) * | 2023-11-21 | 2023-12-22 | 北京邮电大学 | 基于网络架构搜索的网络流入侵检测方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107145778A (zh) * | 2017-05-04 | 2017-09-08 | 北京邮电大学 | 一种入侵检测方法及装置 |
CN108566364A (zh) * | 2018-01-15 | 2018-09-21 | 中国人民解放军国防科技大学 | 一种基于神经网络的入侵检测方法 |
CN111832457A (zh) * | 2020-07-01 | 2020-10-27 | 济南浪潮高新科技投资发展有限公司 | 基于云边协同的陌生人入侵检测方法 |
-
2021
- 2021-02-23 CN CN202110200602.1A patent/CN112887326A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107145778A (zh) * | 2017-05-04 | 2017-09-08 | 北京邮电大学 | 一种入侵检测方法及装置 |
CN108566364A (zh) * | 2018-01-15 | 2018-09-21 | 中国人民解放军国防科技大学 | 一种基于神经网络的入侵检测方法 |
CN111832457A (zh) * | 2020-07-01 | 2020-10-27 | 济南浪潮高新科技投资发展有限公司 | 基于云边协同的陌生人入侵检测方法 |
Non-Patent Citations (2)
Title |
---|
王振东,张林,李大海: "《基于机器学习的物联网入侵检测系统综述》", 《计算机工程与应用》 * |
韩俊英,刘成忠: "《应用反向学习策略的果蝇优化算法》", 《计算机应用与软件》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114137634A (zh) * | 2021-12-07 | 2022-03-04 | 中兴飞流信息科技有限公司 | 一种基于雷达视频融合的站台端头入侵检测方法及系统 |
CN114785579A (zh) * | 2022-04-14 | 2022-07-22 | 七台河达不琉网络科技有限公司 | 一种应用于云边端计算的网络攻击分析方法及服务器 |
CN117278332A (zh) * | 2023-11-21 | 2023-12-22 | 北京邮电大学 | 基于网络架构搜索的网络流入侵检测方法和系统 |
CN117278332B (zh) * | 2023-11-21 | 2024-02-13 | 北京邮电大学 | 基于网络架构搜索的网络流入侵检测方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108632279B (zh) | 一种基于网络流量的多层异常检测方法 | |
WO2021088372A1 (zh) | SDN网络中基于神经网络的DDoS检测方法及系统 | |
CN112887326A (zh) | 一种基于边云协同的入侵检测方法 | |
CN109981691B (zh) | 一种面向SDN控制器的实时DDoS攻击检测系统与方法 | |
Alkasassbeh et al. | Detecting distributed denial of service attacks using data mining techniques | |
Verma et al. | On evaluation of network intrusion detection systems: Statistical analysis of CIDDS-001 dataset using machine learning techniques | |
Peng et al. | Network intrusion detection based on deep learning | |
Yang et al. | Griffin: an ensemble of autoencoders for anomaly traffic detection in SDN | |
Devi et al. | Feature selection in intrusion detection grey wolf optimizer | |
CN110826617A (zh) | 态势要素分类方法及其模型的训练方法、装置及服务器 | |
El-Kadhi et al. | A Mobile Agents and Artificial Neural Networks for Intrusion Detection. | |
CN110581840A (zh) | 基于双层异质集成学习器的入侵检测方法 | |
Novikov et al. | Artificial intelligence approaches for intrusion detection | |
Babu et al. | Improved Monarchy Butterfly Optimization Algorithm (IMBO): Intrusion Detection Using Mapreduce Framework Based Optimized ANU-Net. | |
CN115842647A (zh) | 一种基于流量数据的网络安全威胁检测方法 | |
CN111064724B (zh) | 一种基于rbf神经网络的网络入侵检测系统 | |
CN114363065B (zh) | 一种基于GSODNN和SDN的DDoS检测方法 | |
CN112651422B (zh) | 一种时空感知的网络流量异常行为检测方法及电子装置 | |
dos Santos et al. | Improving intrusion detection confidence through a moving target defense strategy | |
Patond et al. | Survey on data mining techniques for intrusion detection system | |
Meng et al. | Deep Learning SDN Intrusion Detection Scheme Based on TW-Pooling | |
CN111475380A (zh) | 一种日志分析方法和装置 | |
Zhou et al. | Intrusion detection model based on hierarchical fuzzy inference system | |
Fan et al. | DDoS Attack detection system based on RF-SVM-IL Model Under SDN | |
CN115442309B (zh) | 一种基于图神经网络的包粒度网络流量分类方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210601 |
|
RJ01 | Rejection of invention patent application after publication |