CN114726599A - 基于人工智能算法的软件定义网络中入侵检测方法 - Google Patents

基于人工智能算法的软件定义网络中入侵检测方法 Download PDF

Info

Publication number
CN114726599A
CN114726599A CN202210311244.6A CN202210311244A CN114726599A CN 114726599 A CN114726599 A CN 114726599A CN 202210311244 A CN202210311244 A CN 202210311244A CN 114726599 A CN114726599 A CN 114726599A
Authority
CN
China
Prior art keywords
classifier
intrusion detection
mixed
classification
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210311244.6A
Other languages
English (en)
Other versions
CN114726599B (zh
Inventor
兰雨晴
余丹
于艺春
王丹星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Standard Intelligent Security Technology Co Ltd
Original Assignee
China Standard Intelligent Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Standard Intelligent Security Technology Co Ltd filed Critical China Standard Intelligent Security Technology Co Ltd
Priority to CN202210311244.6A priority Critical patent/CN114726599B/zh
Publication of CN114726599A publication Critical patent/CN114726599A/zh
Application granted granted Critical
Publication of CN114726599B publication Critical patent/CN114726599B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • G06F18/2148Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the process organisation or structure, e.g. boosting cascade
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Security & Cryptography (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种基于人工智能算法的软件定义网络中入侵检测方法和装置,涉及互联网技术领域。该方法对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k‑means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。可以看到,本申请实施例能够克服传统入侵检测的弊端和局限,改进算法能够更有效地选择优化特征子集,增强了网络流分类的能力,提升了对不同类别攻击的检测精度。

Description

基于人工智能算法的软件定义网络中入侵检测方法
技术领域
本申请涉及互联网技术领域,尤其涉及一种基于人工智能算法的软件定义网络中入侵检测方法和装置。
背景技术
随着互联网技术的快速发展,新的网络技术数见不鲜,网络入侵却不断带来网络安全的问题,面对如此复杂网络环境下的攻击,如何及时发现黑客的攻击行为,尽可能抵御、减少网络上的恶意攻击、维护网络安全,这使得网络流量的监控和入侵检测变得越来越重要。
现有的入侵检测系统和设备被独立地部署在有限的区域内,很难相互合作。另外,它们通常进行基于特征的误用检测,即通过将新到来的异常行为和归纳历史数据得到的预定义规则进行匹配和比较。可以看到,现有入侵检测系统和设备大多独立部署,难以协同;此外,它们都基于特征匹配和模式比较进行检测,难以智能地识别未知攻击,亟需解决这一技术问题。
发明内容
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的基于人工智能算法的软件定义网络中入侵检测方法和装置。所述技术方案如下:
第一方面,提供了一种基于人工智能算法的软件定义网络中入侵检测方法,包括以下步骤:
对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;
基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器;
将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;
对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。
在一种可能的实现方式中,所述利用随机森林算法选取与入侵检测相关的特征数据,包括:
利用随机森林算法选取软件定义网络中的流量数据集中的TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征的数据,作为与入侵检测相关的特征数据。
在一种可能的实现方式中,基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器,包括:
获取网络入侵检测的训练集和测试集;
对训练集和测试集中的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
选取训练集的进行数值转换后的特征数据分别作为输入导入k-means++算法和Adaboost算法中,通过训练集建立k-means++混合特征分类器和Adaboost混合特征分类器;
通过测试集的进行数值转换后的特征数据分别对k-means++混合特征分类器和Adaboost混合特征分类器进行评估,得到评估后的k-means++混合特征分类器和Adaboost混合特征分类器;
结合评估后的k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器。
在一种可能的实现方式中,将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果,包括:
对软件定义网络中的流量数据集的与入侵检测相关的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
将与入侵检测相关的进行数值转换后的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果。
在一种可能的实现方式中,所述对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值,包括:
将分类转换数值的时候,使用独热编码,将协议类型、主机的服务类型、连接状态的特征转换为哑变量覆盖原来的数值。
在一种可能的实现方式中,所述对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类,其具体步骤包括:
步骤A1:利用公式(1)根据每个与入侵检测相关的进行数值转换后的特征数据的各个混合特征分类器的分类结果得到每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组
[F(a)]2=[D1(1),D1(2),…D1(n)]||[D2(1),D2(2),…D2(n)] (1)
其中[F(a)]2表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组;[D1(1),D1(2),…D1(n)]表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组,并且当k-means++混合特征分类器识别到第a个与入侵检测相关的进行数值转换后的特征数据的分类结果后会将所述排列数组中被识别到的分类结果标注为1,其余项标注为0,形成k-means++混合特征分类器关于第a个与入侵检测相关的进行数值转换后的特征数据的分类数组;[D2(1),D2(2),…D2(n)]表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组,并且当Adaboost混合特征分类器识别到第a个与入侵检测相关的进行数值转换后的特征数据的分类结果后会将所述排列数组中被识别到的分类结果标注为1,其余项标注为0,形成Adaboost混合特征分类器关于第a个与入侵检测相关的进行数值转换后的特征数据的分类数组;||表示按位或运算;
步骤A2:利用公式(2)根据每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组计算出每个分类结果的分类权重
Figure BDA0003567208910000041
其中W(i)表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组中的第i个分类结果的分类权重值;[F(a)]2(i)表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组中的第i位的二进制数值;m表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组中的数值位数;n表示与入侵检测相关的进行数值转换后的特征数据的总数;Y{}表示数值1校验函数,若括号内的数值为1则函数值为1,若括号内的函数值不为1则函数值为0;
步骤A3:利用公式(3)根据每个分类结果的分类权重得到每个与入侵检测相关的进行数值转换后的特征数据的综合分类结果
Figure BDA0003567208910000042
其中I(a)表示第a个与入侵检测相关的进行数值转换后的特征数据的综合分类结果为按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组中的第I(a)个分类结果;
Figure BDA0003567208910000051
表示将i的值从1取值到m得到括号内公式最大值是所对应的i值。
第二方面,提供了一种基于人工智能算法的软件定义网络中入侵检测装置,包括:
选取模块,用于对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;
构建模块,用于基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器;
检测模块,用于将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。
在一种可能的实现方式中,所述选取模块还用于:
利用随机森林算法选取软件定义网络中的流量数据集中的TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征的数据,作为与入侵检测相关的特征数据。
在一种可能的实现方式中,所述构建模块还用于:
获取网络入侵检测的训练集和测试集;
对训练集和测试集中的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
选取训练集的进行数值转换后的特征数据分别作为输入导入k-means++算法和Adaboost算法中,通过训练集建立k-means++混合特征分类器和Adaboost混合特征分类器;
通过测试集的进行数值转换后的特征数据分别对k-means++混合特征分类器和Adaboost混合特征分类器进行评估,得到评估后的k-means++混合特征分类器和Adaboost混合特征分类器;
结合评估后的k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器。
在一种可能的实现方式中,所述检测模块还用于:
对软件定义网络中的流量数据集的与入侵检测相关的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
将与入侵检测相关的进行数值转换后的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果。
在一种可能的实现方式中,所述检测模块还用于:
将分类转换数值的时候,使用独热编码,将协议类型、主机的服务类型、连接状态的特征转换为哑变量覆盖原来的数值。
在一种可能的实现方式中,所述检测模块还用于:
步骤A1:利用公式(1)根据每个与入侵检测相关的进行数值转换后的特征数据的各个混合特征分类器的分类结果得到每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组
[F(a)]2=[D1(1),D1(2),…D1(n)]||[D2(1),D2(2),…D2(n)] (1)
其中[F(a)]2表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组;[D1(1),D1(2),…D1(n)]表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组,并且当k-means++混合特征分类器识别到第a个与入侵检测相关的进行数值转换后的特征数据的分类结果后会将所述排列数组中被识别到的分类结果标注为1,其余项标注为0,形成k-means++混合特征分类器关于第a个与入侵检测相关的进行数值转换后的特征数据的分类数组;[D2(1),D2(2),…D2(n)]表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组,并且当Adaboost混合特征分类器识别到第a个与入侵检测相关的进行数值转换后的特征数据的分类结果后会将所述排列数组中被识别到的分类结果标注为1,其余项标注为0,形成Adaboost混合特征分类器关于第a个与入侵检测相关的进行数值转换后的特征数据的分类数组;||表示按位或运算;
步骤A2:利用公式(2)根据每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组计算出每个分类结果的分类权重
Figure BDA0003567208910000071
其中W(i)表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组中的第i个分类结果的分类权重值;[F(a)]2(i)表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组中的第i位的二进制数值;m表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组中的数值位数;n表示与入侵检测相关的进行数值转换后的特征数据的总数;Y{}表示数值1校验函数,若括号内的数值为1则函数值为1,若括号内的函数值不为1则函数值为0;
步骤A3:利用公式(3)根据每个分类结果的分类权重得到每个与入侵检测相关的进行数值转换后的特征数据的综合分类结果
Figure BDA0003567208910000072
其中I(a)表示第a个与入侵检测相关的进行数值转换后的特征数据的综合分类结果为按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组中的第I(a)个分类结果;
Figure BDA0003567208910000081
表示将i的值从1取值到m得到括号内公式最大值是所对应的i值。
借由上述技术方案,本申请实施例提供的基于人工智能算法的软件定义网络中入侵检测方法和装置,对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器;将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。可以看到,本申请实施例能够克服传统入侵检测的弊端和局限,改进算法能够更有效地选择优化特征子集,增强了网络流分类的能力,提升了对不同类别攻击的检测精度。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍。
图1示出了根据本申请实施例的基于人工智能算法的软件定义网络中入侵检测方法的流程图;
图2示出了根据本申请另一实施例的基于人工智能算法的软件定义网络中入侵检测方法的流程图;
图3示出了根据本申请实施例的基于人工智能算法的软件定义网络中入侵检测装置的结构图。
具体实施方式
下面将参照附图更详细地描述本申请的示例性实施例。虽然附图中显示了本申请的示例性实施例,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”及其变体要被解读为意味着“包括但不限于”的开放式术语。
本申请实施例提供了一种基于人工智能算法的软件定义网络中入侵检测方法。如图1所示,该基于人工智能算法的软件定义网络中入侵检测方法可以包括以下步骤S101至S104:
步骤S101,对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;
步骤S102,基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器;
步骤S103,将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;
步骤S104,对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。
本申请实施例可以对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器;将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。可以看到,本申请实施例能够克服传统入侵检测的弊端和局限,改进算法能够更有效地选择优化特征子集,增强了网络流分类的能力,提升了对不同类别攻击的检测精度。
本申请实施例中提供了一种可能的实现方式,上文步骤S101利用随机森林算法选取与入侵检测相关的特征数据,具体可以是利用随机森林算法选取软件定义网络中的流量数据集中的TCP(Transmission Control Protocol,传输控制协议)连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征的数据,作为与入侵检测相关的特征数据,这些特征数据也可以根据实际需求来确定,本申请实施例对此不做限制。例如,TCP连接的基本特征是判断入侵检测的基础依据,可以是持续连接时间、协议类型、目标主机的服务类型、连接状态、源主机到目标主机的字节数、目标主机到源主机的字节数、连接的源地址和目的地址是否相同、错误分段的数量、紧急数据包个数等等。
本申请实施例中提供了一种可能的实现方式,上文步骤S102基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器,具体可以包括以下步骤a1至a5:
步骤a1,获取网络入侵检测的训练集和测试集;
步骤a2,对训练集和测试集中的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
步骤a3,选取训练集的进行数值转换后的特征数据分别作为输入导入k-means++算法和Adaboost算法中,通过训练集建立k-means++混合特征分类器和Adaboost混合特征分类器;
步骤a4,通过测试集的进行数值转换后的特征数据分别对k-means++混合特征分类器和Adaboost混合特征分类器进行评估,得到评估后的k-means++混合特征分类器和Adaboost混合特征分类器;
步骤a5,结合评估后的k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器。
在本申请实施例中,K-means++算法在聚类中心的初始化过程中的基本原则是使得初始的聚类中心之间的相互距离尽可能远,K-means++算法的初始化过程如下所示:
(1)在数据集中随机选择一个样本点作为第一个初始化的聚类中心;
(2)选择出其余的聚类中心:
计算样本中的每一个样本点与已经初始化的聚类中心之间的距离,并选择其中最短的距离,记为d_i;
以概率选择距离最大的样本作为新的聚类中心,重复上述过程,直到k个聚类中心都被确定;
(3)对k个初始化的聚类中心,利用K-means算法计算最终的聚类中心。
本申请实施例中,Adaboost是一种迭代算法,其核心思想是针对同一个训练集训练不同的分类器,为弱分类器,然后把这些弱分类器集合起来,构成一个更强的最终分类器,为强分类器。其算法本身是通过改变数据分布来实现的,它根据每次训练集之中每个样本的分类是否正确,以及上次的总体分类的准确率,来确定每个样本的权值。将修改过权值的新数据集送给下层分类器进行训练,最后将每次训练得到的分类器最后融合起来,作为最后的决策分类器。使用Adaboost分类器可以排除一些不必要的训练数据特征,并放在关键的训练数据上面。
本申请实施例结合评估后的k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器,增强了网络流分类的能力,提升了对不同类别攻击的检测精度。
本申请实施例中提供了一种可能的实现方式,上文步骤S103将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果,具体可以包括以下步骤B1至B2:
步骤B1,对软件定义网络中的流量数据集的与入侵检测相关的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
步骤B2,将与入侵检测相关的进行数值转换后的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果。
本申请实施例对软件定义网络中的流量数据集的与入侵检测相关的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;将与入侵检测相关的进行数值转换后的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果,可以增强网络流分类的能力,提升了对不同类别攻击的检测精度。
本申请实施例中提供了一种可能的实现方式,上文步骤A2或步骤B1对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值,具体可以是将分类转换数值的时候,使用独热编码,将协议类型、主机的服务类型、连接状态的特征转换为哑变量覆盖原来的数值。可以看到,本申请实施例将分类转换数值的时候,使用独热编码,将协议类型、主机的服务类型、连接状态的特征转换为哑变量覆盖原来的数值能够提高入侵检测效率和精确度。
本申请实施例中提供了一种可能的实现方式,上文步骤S104对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类,其具体步骤包括:
步骤A1:利用公式(1)根据每个与入侵检测相关的进行数值转换后的特征数据的各个混合特征分类器的分类结果得到每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组
[F(a)]2=[D1(1),D1(2),…D1(n)]||[D2(1),D2(2),…D2(n)] (1)
其中[F(a)]2表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组;[D1(1),D1(2),…D1(n)]表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组,并且当k-means++混合特征分类器识别到第a个与入侵检测相关的进行数值转换后的特征数据的分类结果后会将所述排列数组中被识别到的分类结果标注为1,其余项标注为0,形成k-means++混合特征分类器关于第a个与入侵检测相关的进行数值转换后的特征数据的分类数组;[D2(1),D2(2),…D2(n)]表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组,并且当Adaboost混合特征分类器识别到第a个与入侵检测相关的进行数值转换后的特征数据的分类结果后会将所述排列数组中被识别到的分类结果标注为1,其余项标注为0,形成Adaboost混合特征分类器关于第a个与入侵检测相关的进行数值转换后的特征数据的分类数组;||表示按位或运算;
步骤A2:利用公式(2)根据每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组计算出每个分类结果的分类权重
Figure BDA0003567208910000131
其中W(i)表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组中的第i个分类结果的分类权重值;[F(a)]2(i)表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组中的第i位的二进制数值;m表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组中的数值位数;n表示与入侵检测相关的进行数值转换后的特征数据的总数;Y{}表示数值1校验函数,若括号内的数值为1则函数值为1,若括号内的函数值不为1则函数值为0;
步骤A3:利用公式(3)根据每个分类结果的分类权重得到每个与入侵检测相关的进行数值转换后的特征数据的综合分类结果
Figure BDA0003567208910000141
其中I(a)表示第a个与入侵检测相关的进行数值转换后的特征数据的综合分类结果为按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组中的第I(a)个分类结果;
Figure BDA0003567208910000142
表示将i的值从1取值到m得到括号内公式最大值是所对应的i值。
上述技术方案的有益效果为:首先利用步骤A1中的公式(1)根据每个与入侵检测相关的进行数值转换后的特征数据的各个混合特征分类器的分类结果得到每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组,一是数组形式便于后续的计算,二是可以快速的对每个分类结果进行准确的定位;然后利用步骤A2中的公式(2)根据每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组计算出每个分类结果的分类权重,进而根据每个混合特征分类器对于每个分类结果的重叠情况得到所属权重,确保权重计算的可信度;最后利用步骤A3中的公式(3)根据每个分类结果的分类权重得到每个与入侵检测相关的进行数值转换后的特征数据的综合分类结果,进而对每个与入侵检测相关的进行数值转换后的特征数据找到最与之匹配的分类结果,从而确保系统整体的准确性以及稳定性。
以上介绍了图1所示实施例的各个环节的多种实现方式,下面将通过具体实施例来详细介绍基于人工智能算法的软件定义网络中入侵检测方法。
本申请另一实施例提供了一种基于人工智能算法的软件定义网络中入侵检测方法。如图2所示,该基于人工智能算法的软件定义网络中入侵检测方法可以包括以下步骤S201至S208。
步骤S201,获取网络入侵检测的训练集和测试集。
步骤S202,对训练集和测试集中的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值。
步骤S203,选取训练集的进行数值转换后的特征数据分别作为输入导入k-means++算法和Adaboost算法中,通过训练集建立k-means++混合特征分类器和Adaboost混合特征分类器。
步骤S204,通过测试集的进行数值转换后的特征数据分别对k-means++混合特征分类器和Adaboost混合特征分类器进行评估,得到评估后的k-means++混合特征分类器和Adaboost混合特征分类器。
步骤S205,结合评估后的k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器。
步骤S206,对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据。
步骤S207,将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果。
步骤S208,对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。
本申请实施例可以对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器;将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。可以看到,本申请实施例能够克服传统入侵检测的弊端和局限,改进算法能够更有效地选择优化特征子集,增强了网络流分类的能力,提升了对不同类别攻击的检测精度和检测效率。
需要说明的是,实际应用中,上述所有可能的实施方式可以采用结合的方式任意组合,形成本申请的可能的实施例,在此不再一一赘述。
基于上文各个实施例提供的基于人工智能算法的软件定义网络中入侵检测方法,基于同一发明构思,本申请实施例还提供了一种基于人工智能算法的软件定义网络中入侵检测装置。
图3示出了根据本申请实施例的基于人工智能算法的软件定义网络中入侵检测装置的结构图。如图3所示,该基于人工智能算法的软件定义网络中入侵检测装置可以包括选取模块310、构建模块320以及检测模块330。
选取模块310,用于对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;
构建模块320,用于基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器;
检测模块330,用于将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。
本申请实施例中提供了一种可能的实现方式,上文图3展示的选取模块310还用于:
利用随机森林算法选取软件定义网络中的流量数据集中的TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征的数据,作为与入侵检测相关的特征数据。
本申请实施例中提供了一种可能的实现方式,上文图3展示的构建模块320还用于:
获取网络入侵检测的训练集和测试集;
对训练集和测试集中的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
选取训练集的进行数值转换后的特征数据分别作为输入导入k-means++算法和Adaboost算法中,通过训练集建立k-means++混合特征分类器和Adaboost混合特征分类器;
通过测试集的进行数值转换后的特征数据分别对k-means++混合特征分类器和Adaboost混合特征分类器进行评估,得到评估后的k-means++混合特征分类器和Adaboost混合特征分类器;
结合评估后的k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器。
本申请实施例中提供了一种可能的实现方式,上文图3展示的检测模块330还用于:
对软件定义网络中的流量数据集的与入侵检测相关的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
将与入侵检测相关的进行数值转换后的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果。
本申请实施例中提供了一种可能的实现方式,上文图3展示的检测模块330还用于:
将分类转换数值的时候,使用独热编码,将协议类型、主机的服务类型、连接状态的特征转换为哑变量覆盖原来的数值。
本申请实施例中提供了一种可能的实现方式,上文图3展示的检测模块330还用于:
步骤A1:利用公式(1)根据每个与入侵检测相关的进行数值转换后的特征数据的各个混合特征分类器的分类结果得到每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组
[F(a)]2=[D1(1),D1(2),…D1(n)]||[D2(1),D2(2),…D2(n)] (1)
其中[F(a)]2表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组;[D1(1),D1(2),…D1(n)]表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组,并且当k-means++混合特征分类器识别到第a个与入侵检测相关的进行数值转换后的特征数据的分类结果后会将所述排列数组中被识别到的分类结果标注为1,其余项标注为0,形成k-means++混合特征分类器关于第a个与入侵检测相关的进行数值转换后的特征数据的分类数组;[D2(1),D2(2),…D2(n)]表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组,并且当Adaboost混合特征分类器识别到第a个与入侵检测相关的进行数值转换后的特征数据的分类结果后会将所述排列数组中被识别到的分类结果标注为1,其余项标注为0,形成Adaboost混合特征分类器关于第a个与入侵检测相关的进行数值转换后的特征数据的分类数组;||表示按位或运算;
步骤A2:利用公式(2)根据每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组计算出每个分类结果的分类权重
Figure BDA0003567208910000181
其中W(i)表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组中的第i个分类结果的分类权重值;[F(a)]2(i)表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组中的第i位的二进制数值;m表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组中的数值位数;n表示与入侵检测相关的进行数值转换后的特征数据的总数;Y{}表示数值1校验函数,若括号内的数值为1则函数值为1,若括号内的函数值不为1则函数值为0;
步骤A3:利用公式(3)根据每个分类结果的分类权重得到每个与入侵检测相关的进行数值转换后的特征数据的综合分类结果
Figure BDA0003567208910000191
其中I(a)表示第a个与入侵检测相关的进行数值转换后的特征数据的综合分类结果为按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组中的第I(a)个分类结果;
Figure BDA0003567208910000192
表示将i的值从1取值到m得到括号内公式最大值是所对应的i值。
本申请实施例可以对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器;将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。可以看到,本申请实施例能够克服传统入侵检测的弊端和局限,改进算法能够更有效地选择优化特征子集,增强了网络流分类的能力,提升了对不同类别攻击的检测精度和检测效率。
所属领域的技术人员可以清楚地了解到,上述描述的系统、装置、模块的具体工作过程,可以参考前述方法实施例中的对应过程,为简洁起见,在此不另赘述。
本领域普通技术人员可以理解:本申请的技术方案本质上或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,其包括若干程序指令,用以使得一电子设备(例如个人计算机,服务器,或者网络设备等)在运行所述程序指令时执行本申请各实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM)、随机存取存储器(RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,实现前述方法实施例的全部或部分步骤可以通过程序指令相关的硬件(诸如个人计算机,服务器,或者网络设备等的电子设备)来完成,所述程序指令可以存储于一计算机可读取存储介质中,当所述程序指令被电子设备的处理器执行时,所述电子设备执行本申请各实施例所述方法的全部或部分步骤。
以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:在本申请的精神和原则之内,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案脱离本申请的保护范围。

Claims (10)

1.一种基于人工智能算法的软件定义网络中入侵检测方法,其特征在于,包括以下步骤:
对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;
基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器;
将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;
对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。
2.根据权利要求1所述的基于人工智能算法的软件定义网络中入侵检测方法,其特征在于,所述利用随机森林算法选取与入侵检测相关的特征数据,包括:
利用随机森林算法选取软件定义网络中的流量数据集中的TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征的数据,作为与入侵检测相关的特征数据。
3.根据权利要求1或2所述的基于人工智能算法的软件定义网络中入侵检测方法,其特征在于,基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器,包括:
获取网络入侵检测的训练集和测试集;
对训练集和测试集中的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
选取训练集的进行数值转换后的特征数据分别作为输入导入k-means++算法和Adaboost算法中,通过训练集建立k-means++混合特征分类器和Adaboost混合特征分类器;
通过测试集的进行数值转换后的特征数据分别对k-means++混合特征分类器和Adaboost混合特征分类器进行评估,得到评估后的k-means++混合特征分类器和Adaboost混合特征分类器;
结合评估后的k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器。
4.根据权利要求1或2所述的基于人工智能算法的软件定义网络中入侵检测方法,其特征在于,将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果,包括:
对软件定义网络中的流量数据集的与入侵检测相关的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
将与入侵检测相关的进行数值转换后的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果。
5.根据权利要求4所述的基于人工智能算法的软件定义网络中入侵检测方法,其特征在于,所述对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值,包括:
将分类转换数值的时候,使用独热编码,将协议类型、主机的服务类型、连接状态的特征转换为哑变量覆盖原来的数值。
6.根据权利要求1所述的基于人工智能算法的软件定义网络中入侵检测方法,其特征在于,所述对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类,其具体步骤包括:
步骤A1:利用公式(1)根据每个与入侵检测相关的进行数值转换后的特征数据的各个混合特征分类器的分类结果得到每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组
[F(a)]2=[D1(1),D1(2),…D1(n)]||[D2(1),D2(2),…D2(n)] (1)
其中[F(a)]2表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组;[D1(1),D1(2),…D1(n)]表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组,并且当k-means++混合特征分类器识别到第a个与入侵检测相关的进行数值转换后的特征数据的分类结果后会将所述排列数组中被识别到的分类结果标注为1,其余项标注为0,形成k-means++混合特征分类器关于第a个与入侵检测相关的进行数值转换后的特征数据的分类数组;[D2(1),D2(2),…D2(n)]表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组,并且当Adaboost混合特征分类器识别到第a个与入侵检测相关的进行数值转换后的特征数据的分类结果后会将所述排列数组中被识别到的分类结果标注为1,其余项标注为0,形成Adaboost混合特征分类器关于第a个与入侵检测相关的进行数值转换后的特征数据的分类数组;||表示按位或运算;
步骤A2:利用公式(2)根据每个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组计算出每个分类结果的分类权重
Figure FDA0003567208900000031
其中W(i)表示按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组中的第i个分类结果的分类权重值;[F(a)]2(i)表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组中的第i位的二进制数值;m表示第a个与入侵检测相关的进行数值转换后的特征数据的分类结果二进制数组中的数值位数;n表示与入侵检测相关的进行数值转换后的特征数据的总数;Y{}表示数值1校验函数,若括号内的数值为1则函数值为1,若括号内的函数值不为1则函数值为0;
步骤A3:利用公式(3)根据每个分类结果的分类权重得到每个与入侵检测相关的进行数值转换后的特征数据的综合分类结果
Figure FDA0003567208900000041
其中I(a)表示第a个与入侵检测相关的进行数值转换后的特征数据的综合分类结果为按照k-means++混合特征分类器和Adaboost混合特征分类器对每个与入侵检测相关的进行数值转换后的特征数据的所有分类结果按照识别的顺序进行排列形成排列数组中的第I(a)个分类结果;
Figure FDA0003567208900000042
表示将i的值从1取值到m得到括号内公式最大值是所对应的i值。
7.一种基于人工智能算法的软件定义网络中入侵检测装置,其特征在于,包括:
选取模块,用于对软件定义网络中的流量数据集进行分析,利用随机森林算法选取与入侵检测相关的特征数据;
构建模块,用于基于k-means++算法和Adaboost算法分别构建k-means++混合特征分类器和Adaboost混合特征分类器,并基于k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器;
检测模块,用于将软件定义网络中的流量数据集的与入侵检测相关的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果;对各个混合特征分类器的分类结果按类别进行加权求和,得到综合分类结果,实现对入侵检测分类。
8.根据权利要求7所述的基于人工智能算法的软件定义网络中入侵检测装置,其特征在于,所述选取模块还用于:
利用随机森林算法选取软件定义网络中的流量数据集中的TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征的数据,作为与入侵检测相关的特征数据。
9.根据权利要求7或8所述的基于人工智能算法的软件定义网络中入侵检测装置,其特征在于,所述构建模块还用于:
获取网络入侵检测的训练集和测试集;
对训练集和测试集中的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
选取训练集的进行数值转换后的特征数据分别作为输入导入k-means++算法和Adaboost算法中,通过训练集建立k-means++混合特征分类器和Adaboost混合特征分类器;
通过测试集的进行数值转换后的特征数据分别对k-means++混合特征分类器和Adaboost混合特征分类器进行评估,得到评估后的k-means++混合特征分类器和Adaboost混合特征分类器;
结合评估后的k-means++混合特征分类器和Adaboost混合特征分类器,构建组合分类器。
10.根据权利要求7或8所述的基于人工智能算法的软件定义网络中入侵检测装置,其特征在于,所述检测模块还用于:
对软件定义网络中的流量数据集的与入侵检测相关的特征数据进行数值转换处理,将分类标签转换成分类数值,将文字型特征转换为数值类型,对没有关联的特征分类数值进行编码,将字符型特征转换为哑变量覆盖原来的数值;
将与入侵检测相关的进行数值转换后的特征数据输入组合分类器,分别导入k-means++混合特征分类器和Adaboost混合特征分类器,输出得到各个混合特征分类器的分类结果。
CN202210311244.6A 2022-03-28 2022-03-28 基于人工智能算法的软件定义网络中入侵检测方法和装置 Active CN114726599B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210311244.6A CN114726599B (zh) 2022-03-28 2022-03-28 基于人工智能算法的软件定义网络中入侵检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210311244.6A CN114726599B (zh) 2022-03-28 2022-03-28 基于人工智能算法的软件定义网络中入侵检测方法和装置

Publications (2)

Publication Number Publication Date
CN114726599A true CN114726599A (zh) 2022-07-08
CN114726599B CN114726599B (zh) 2023-01-10

Family

ID=82239987

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210311244.6A Active CN114726599B (zh) 2022-03-28 2022-03-28 基于人工智能算法的软件定义网络中入侵检测方法和装置

Country Status (1)

Country Link
CN (1) CN114726599B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170178256A1 (en) * 2015-12-18 2017-06-22 C3, Inc. Predictive segmentation of energy customers
CN108898479A (zh) * 2018-06-28 2018-11-27 中国农业银行股份有限公司 信用评价模型的构建方法及装置
CN112187752A (zh) * 2020-09-18 2021-01-05 湖北大学 一种基于随机森林的入侵检测分类方法及装置
CN112464232A (zh) * 2020-11-21 2021-03-09 西北工业大学 一种基于混合特征组合分类的Android系统恶意软件检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170178256A1 (en) * 2015-12-18 2017-06-22 C3, Inc. Predictive segmentation of energy customers
CN108401459A (zh) * 2015-12-18 2018-08-14 思睿物联网公司 能源消费者的预测性细分
CN108898479A (zh) * 2018-06-28 2018-11-27 中国农业银行股份有限公司 信用评价模型的构建方法及装置
CN112187752A (zh) * 2020-09-18 2021-01-05 湖北大学 一种基于随机森林的入侵检测分类方法及装置
CN112464232A (zh) * 2020-11-21 2021-03-09 西北工业大学 一种基于混合特征组合分类的Android系统恶意软件检测方法

Also Published As

Publication number Publication date
CN114726599B (zh) 2023-01-10

Similar Documents

Publication Publication Date Title
CN112003870B (zh) 一种基于深度学习的网络加密流量识别方法及装置
CN112235264B (zh) 一种基于深度迁移学习的网络流量识别方法及装置
CN109067586B (zh) DDoS攻击检测方法及装置
CN109117634B (zh) 基于网络流量多视图融合的恶意软件检测方法及系统
CN112019497B (zh) 一种基于词嵌入的多阶段网络攻击检测方法
CN112837069B (zh) 基于区块链与大数据的安全支付方法及云平台系统
CN111866024A (zh) 一种网络加密流量识别方法及装置
Sarraf Analysis and detection of ddos attacks using machine learning techniques
CN113821793A (zh) 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统
Saheed et al. An efficient hybridization of k-means and genetic algorithm based on support vector machine for cyber intrusion detection system
Raihan-Al-Masud et al. Network intrusion detection system using voting ensemble machine learning
CN113315851A (zh) 域名检测方法、装置及存储介质
CN114826681A (zh) 一种dga域名检测方法、系统、介质、设备及终端
Setitra et al. Feature modeling and dimensionality reduction to improve ML-based DDOS detection systems in SDN environment
Arya et al. Ensemble filter-based feature selection model for cyber attack detection in industrial Internet of Things
CN111431872B (zh) 一种基于tcp/ip协议特征的两阶段物联网设备识别方法
CN114726599B (zh) 基于人工智能算法的软件定义网络中入侵检测方法和装置
CN112149121A (zh) 一种恶意文件识别方法、装置、设备及存储介质
CN115567224A (zh) 一种用于检测区块链交易异常的方法及相关产品
CN110197066B (zh) 一种云计算环境下的虚拟机监控方法及监控系统
Liao et al. Multi-scale Convolutional Feature Fusion Network Based on Attention Mechanism for IoT Traffic Classification
Saiyed et al. A Genetic Algorithm-and t-Test-Based System for DDoS Attack Detection in IoT Networks
CN117574135B (zh) 一种电网攻击事件检测方法、装置、设备及存储介质
Arafah et al. Evaluating the impact of generative adversarial models on the performance of anomaly intrusion detection
CN113810372B (zh) 一种低吞吐量dns隐蔽信道检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant