CN114928477B - 一种网络入侵检测方法、装置、可读存储介质及终端设备 - Google Patents

一种网络入侵检测方法、装置、可读存储介质及终端设备 Download PDF

Info

Publication number
CN114928477B
CN114928477B CN202210461012.9A CN202210461012A CN114928477B CN 114928477 B CN114928477 B CN 114928477B CN 202210461012 A CN202210461012 A CN 202210461012A CN 114928477 B CN114928477 B CN 114928477B
Authority
CN
China
Prior art keywords
intrusion detection
network
position vector
network intrusion
learning machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210461012.9A
Other languages
English (en)
Other versions
CN114928477A (zh
Inventor
马超
谭旭
于成龙
陈慧灵
孙慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Institute of Information Technology
Original Assignee
Shenzhen Institute of Information Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Institute of Information Technology filed Critical Shenzhen Institute of Information Technology
Priority to CN202210461012.9A priority Critical patent/CN114928477B/zh
Publication of CN114928477A publication Critical patent/CN114928477A/zh
Application granted granted Critical
Publication of CN114928477B publication Critical patent/CN114928477B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Image Analysis (AREA)

Abstract

本申请属于网络安全技术领域,尤其涉及一种网络入侵检测方法、装置、计算机可读存储介质及终端设备。所述方法包括:根据目标网络的网络日志数据构建非平衡数据集;基于所述非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化,得到最优特征子集和所述加权极限学习机优化后的参数集;根据所述最优特征子集和所述加权极限学习机优化后的参数集构建网络入侵检测分类器;使用所述网络入侵检测分类器在所述目标网络中进行网络入侵检测,得到所述目标网络的网络入侵检测结果。通过本申请,能够在网络日志数据中的非平衡数据情况下,有效降低计算复杂度,提高计算效率,具有较强的鲁棒性和泛化能力。

Description

一种网络入侵检测方法、装置、可读存储介质及终端设备
技术领域
本申请属于网络安全技术领域,尤其涉及一种网络入侵检测方法、装置、计算机可读存储介质及终端设备。
背景技术
随着科技的进步和时代的发展,互联网已成为人们生活的一部分,互联网用户的数量日益增长。可靠、准确的安全系统,对提供安全网络通信和保护网络共享信息至关重要。网络入侵检测技术可实时监控网络,提高了网络的安全性,是阻挡攻击行为的一种重要手段。
目前已有的网络入侵检测方法主要大多基于BP神经网络,这些方法都取得了较好的检测结果。但是,BP神经网络中的输入层和隐藏层的权重值很难确定,传统采用的梯度下降方法很容易陷入局部极值而找不到全局最优解的情况,参数值较多,需要花费大量时间训练调整。虽然能取得较好的检测结果,但计算复杂度高,计算效率低下,对于复杂的网络数据,以及网络日志数据中的非平衡数据集来说,其方法的鲁棒性和泛化能力非常弱。
发明内容
有鉴于此,本申请实施例提供了一种网络入侵检测方法、装置、计算机可读存储介质及终端设备,以解决现有的网络入侵检测方法效率低下、鲁棒性和泛化能力较弱的问题。
本申请实施例的第一方面提供了一种网络入侵检测方法,可以包括:
根据目标网络的网络日志数据构建非平衡数据集;
基于所述非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化,得到最优特征子集和所述加权极限学习机优化后的参数集;
根据所述最优特征子集和所述加权极限学习机优化后的参数集构建网络入侵检测分类器;
使用所述网络入侵检测分类器在所述目标网络中进行网络入侵检测,得到所述目标网络的网络入侵检测结果。
在第一方面的一种具体实现方式中,所述基于所述非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数优化,得到最优特征子集和所述加权极限学习机优化后的参数集,可以包括:
根据所述非平衡数据集中数据的各个特征以及所述加权极限学习机待定的参数集构建哈里斯鹰算法中的位置向量;
使用所述改进哈里斯鹰算法求解得到所述位置向量的最优解;
根据所述位置向量的最优解确定所述最优特征子集和所述加权极限学习机优化后的参数集。
在第一方面的一种具体实现方式中,所述使用所述改进哈里斯鹰算法求解得到所述位置向量的最优解,可以包括:
初始化鹰群中的个体位置向量;
计算所述个体位置向量对应的适应度值,并将适应度值取得最大值时的所述个体位置向量作为当前猎物位置向量;
计算猎物逃跑能量因子,并根据所述猎物逃跑能量因子和所述当前猎物位置向量对所述个体位置向量进行更新;
返回执行所述计算所述个体位置向量对应的适应度值的步骤及其后续步骤,直至迭代次数等于预设的最大迭代次数为止;
将所述当前猎物位置向量作为所述位置向量的最优解。
在第一方面的一种具体实现方式中,所述计算所述个体位置向量对应的适应度值,可以包括:
确定所述个体位置向量对应的分类准确率和选择特征的个数;
根据所述分类准确率和所述选择特征的个数计算所述个体位置向量对应的适应度值。
在第一方面的一种具体实现方式中,所述加权极限学习机的参数集可以包括权重参数、正则化参数和核函数系数;
所述根据所述最优特征子集和所述加权极限学习机优化后的参数集构建网络入侵检测分类器,可以包括:
构建与所述最优特征子集以及优化后的权重参数、正则化参数和核函数系数对应的最优加权极限学习机;
将所述最优加权极限学习机作为所述网络入侵检测分类器。
在第一方面的一种具体实现方式中,所述使用所述网络入侵检测分类器在所述目标网络中进行网络入侵检测,得到所述目标网络的网络入侵检测结果,可以包括:
获取所述目标网络中的待检测网络数据;
使用所述网络入侵检测分类器对所述待检测网络数据进行分类,得到所述待检测网络数据的分类结果;
将所述分类结果作为所述网络入侵检测结果。
在第一方面的一种具体实现方式中,在使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化之前,还可以包括:
对所述非平衡数据集进行归一化处理,得到归一化的非平衡数据集。
本申请实施例的第二方面提供了一种网络入侵检测装置,可以包括:
数据集构建模块,用于根据目标网络的网络日志数据构建非平衡数据集;
改进哈里斯鹰优化模块,用于基于所述非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化,得到最优特征子集和所述加权极限学习机优化后的参数集;
分类器构建模块,用于根据所述最优特征子集和所述加权极限学习机优化后的参数集构建网络入侵检测分类器;
网络入侵检测模块,用于使用所述网络入侵检测分类器在所述目标网络中进行网络入侵检测,得到所述目标网络的网络入侵检测结果。
在第二方面的一种具体实现方式中,所述改进哈里斯鹰优化模块可以包括:
位置向量构建子模块,用于根据所述非平衡数据集中数据的各个特征以及所述加权极限学习机待定的参数集构建哈里斯鹰算法中的位置向量;
最优解求解子模块,用于使用所述改进哈里斯鹰算法求解得到所述位置向量的最优解;
参数确定子模块,用于根据所述位置向量的最优解确定所述最优特征子集和所述加权极限学习机优化后的参数集。
在第二方面的一种具体实现方式中,所述最优解求解子模块可以包括:
位置初始化单元,用于初始化鹰群中的个体位置向量;
适应度值计算单元,用于计算所述个体位置向量对应的适应度值;
猎物位置确定单元,用于将适应度值取得最大值时的所述个体位置向量作为当前猎物位置向量;
位置更新单元,用于计算猎物逃跑能量因子,并根据所述猎物逃跑能量因子和所述当前猎物位置向量对所述个体位置向量进行更新;
迭代求解单元,用于返回执行所述计算所述个体位置向量对应的适应度值的步骤及其后续步骤,直至迭代次数等于预设的最大迭代次数为止;
最优解确定单元,用于将所述当前猎物位置向量作为所述位置向量的最优解。
在第二方面的一种具体实现方式中,所述适应度值计算单元可以具体用于:确定所述个体位置向量对应的分类准确率和选择特征的个数;根据所述分类准确率和所述选择特征的个数计算所述个体位置向量对应的适应度值。
在第二方面的一种具体实现方式中,所述加权极限学习机的参数集可以包括权重参数、正则化参数和核函数系数;
所述分类器构建模块具体用于:构建与所述最优特征子集以及优化后的权重参数、正则化参数和核函数系数对应的最优加权极限学习机;将所述最优加权极限学习机作为所述网络入侵检测分类器。
在第二方面的一种具体实现方式中,所述网络入侵检测模块可以具体用于:获取所述目标网络中的待检测网络数据;使用所述网络入侵检测分类器对所述待检测网络数据进行分类,得到所述待检测网络数据的分类结果;将所述分类结果作为所述网络入侵检测结果。
在第二方面的一种具体实现方式中,所述网络入侵检测装置还可以包括:
归一化处理模块,用于对所述非平衡数据集进行归一化处理,得到归一化的非平衡数据集。
本申请实施例的第三方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种网络入侵检测方法的步骤。
本申请实施例的第四方面提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一种网络入侵检测方法的步骤。
本申请实施例的第五方面提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述任一种网络入侵检测方法的步骤。
本申请实施例与现有技术相比存在的有益效果是:本申请实施例根据目标网络的网络日志数据构建非平衡数据集;基于所述非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化,得到最优特征子集和所述加权极限学习机优化后的参数集;根据所述最优特征子集和所述加权极限学习机优化后的参数集构建网络入侵检测分类器;使用所述网络入侵检测分类器在所述目标网络中进行网络入侵检测,得到所述目标网络的网络入侵检测结果。通过本申请实施例,能够在网络日志数据中的非平衡数据情况下,有效降低计算复杂度,提高计算效率,具有较强的鲁棒性和泛化能力。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例中一种网络入侵检测方法的一个实施例流程图;
图2为使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化的示意流程图;
图3为本申请实施例中一种网络入侵检测装置的一个实施例结构图;
图4为本申请实施例中一种终端设备的示意框图。
具体实施方式
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本申请一部分实施例,而非全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本申请说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参阅图1,本申请实施例中一种网络入侵检测方法的一个实施例可以包括:
步骤S101、根据目标网络的网络日志数据构建非平衡数据集。
目标网络为待进行网络入侵检测的网络系统,可以为现有的任意一种网络系统,本申请实施例对此不作具体限定。
网络日志数据中包括了每次访问者对目标网络进行访问的访问记录,在本申请实施例中,对于每条访问记录,可以提取其中的各个特征,这些特征构成一个网络数据样本。其中,提取的各个特征可以包括但不限于数据流特征(Flow Features)、基本特征(BaseFeatures)、内容特征(Content Features)以及时间特征(Time Features)等。
对于每个网络数据样本,可以为其标注对应的分类标签,例如,标签值为 0代表正常数据,标签值为1代表入侵数据。对于入侵数据,可以进一步标注对应的入侵类型,包括但不限于模糊入侵(Fuzzers)、分析入侵(Analysis)、后门入侵(Backdoors)、侦察入侵(Reconnaissance)以及蠕虫入侵(Worms) 等。
足够多的网络数据样本可以组成一个数据集,由于正常数据与入侵数据的数目一般相差较大,各种入侵类型的数目一般也相差较大,该数据集为非平衡数据集。非平衡数据集中的网络数据样本总数、正常数据的数目、入侵数据的数目以及各种入侵类型的数目均可以根据实际情况进行设置,本申请实施例对此不作具体限定。
在得到非平衡数据集之后,可以进一步对其进行归一化处理,从而得到归一化的非平衡数据集。
归一化处理可以将各个特征的特征值都映射到[0,1]区间内,避免较大特征值对较小特征值造成的扰动,使得归一化处理后的网络数据能够有效的支撑改进哈里斯鹰算法的优化运算。
在本申请实施例中,可以根据下式进行归一化处理:
Figure BDA0003621674480000081
其中,x(i)为任一网络数据样本的第i个特征的特征值,1≤i≤dim,dim为特征总数,x(i)max为第i个特征在非平衡数据集中的最大值,x(i)min为第i个特征在非平衡数据集中的最小值,x(i)’为该网络数据样本的第i个特征归一化后的特征值。
如无特殊说明,后续过程中使用的非平衡数据集均指代归一化的非平衡数据集。
步骤S102、基于非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化,得到最优特征子集和加权极限学习机优化后的参数集。
在本申请实施例中,可以基于非平衡数据集划分出训练集、校验集和测试集。具体的集合划分方式可以根据实际情况进行设置,本申请实施例对此不作具体限定。
在使用改进哈里斯鹰算法前,可以预先进行算法参数设置,包括但不限于对哈里斯鹰种群数量以及最大迭代次数进行设置,参数的具体值可以根据实际情况进行设置,本申请实施例对此不作具体限定。
如图2所示,步骤S102具体可以包括如下过程:
步骤S1021、根据非平衡数据集中数据的各个特征以及加权极限学习机待定的参数集构建哈里斯鹰算法中的位置向量。
其中,加权极限学习机的参数集可以包括权重参数W、正则化参数C和核函数系数R。将各个特征依次记为f1、f2、…、fi、…、fdim,则哈里斯鹰算法中的位置向量可表示为(f1,f2,…,fi,…,fdim,W,C,R)。
步骤S1022、使用改进哈里斯鹰算法求解得到位置向量的最优解。
具体的求解过程可以包括:
(1)初始化鹰群中的个体位置向量。
在本申请实施例中,可以根据下式初始化鹰群中的个体位置向量:
x0=r0·(xmax-xmin)+xmin
其中,xmax为预设的个体位置向量上限,xmin为预设的个体位置向量下限, r0为[0,1]区间的随机生成数,x0为初始化的个体位置向量。
若种群数量为N,即鹰群由N只鹰组成,可以根据上式对鹰群中每只鹰的个体位置向量均进行初始化。
(2)计算个体位置向量对应的适应度值。
对于每只鹰而言,可以基于其个体位置向量来构建一个加权极限学习机,并确定该加权极限学习机对训练集进行处理的分类准确率和选择特征的个数,并根据分类准确率和选择特征的个数计算个体位置向量对应的适应度值,如下式所示:
Figure BDA0003621674480000091
其中,fitness为适应度值,ACC为分类准确率,|s|为选择特征的个数,η为预设的第一权重系数,β为预设的第二权重系数,0≤η<1,0≤β<1,且η+β=1。
若尚不存在当前猎物位置向量,在计算得到鹰群中每只鹰的个体位置向量对应的适应度值之后,可以将适应度值取得最大值时的个体位置向量作为当前猎物位置向量;若已存在当前猎物位置向量,在计算得到鹰群中每只鹰的个体位置向量对应的适应度值之后,可以将其中最大的适应度值与当前猎物位置向量对应的适应度值进行比较,若前者大于后者,则可以将适应度值取得最大值时的个体位置向量作为新的当前猎物位置向量,否则保持当前猎物位置向量不变。
(3)计算猎物逃跑能量因子。
在本申请实施例中,可以根据下式计算猎物逃跑能量因子:
E=2*E0*(1-t/tmax)
其中,E为猎物逃跑能量因子,E0为[-1,1]区间的随机生成数,t和tmax分别表示当前迭代次数和最大迭代次数,当前迭代次数的初始值为1,每进行一次迭代计算,则将当前迭代次数加1。
(4)根据猎物逃跑能量因子和当前猎物位置向量对个体位置向量进行更新。
当|E|≥1时,执行算法全局搜索,进一步提高改进哈里斯鹰算法全局搜索能力,根据下式对鹰群中每只鹰的个体位置向量进行更新:
Figure BDA0003621674480000101
其中,
Figure BDA0003621674480000102
为t时刻的个体位置向量,
Figure BDA0003621674480000103
为t+1时刻的个体位置向量,r1, r2,s,
Figure BDA0003621674480000104
均为在(0,1)区间的随机生成数,
Figure BDA0003621674480000105
表示基于
Figure BDA0003621674480000106
随机产生的位置向量,满足如下所示的高斯分布:
Figure BDA0003621674480000111
其中,σ2为鹰群中每只鹰的个体位置向量之间的标准方差。
当|E|<1时,执行算法局部搜索,为了更好地模拟捕猎行为,在局部搜索阶段包括四种搜索策略,根据随机生成数r和猎物逃逸能量因子E的组合以确定具体的搜索策略。r∈(0,1),它是用来决定猎物是否能逃脱包围圈,从而进一步分为四种搜索方式:
当|E|<1且r<0.5时,执行软围困(softbesiege),根据下式对鹰群中每只鹰的个体位置向量进行更新:
Figure BDA0003621674480000112
Figure BDA0003621674480000113
其中,xrabbit为当前猎物位置向量,J为猎物逃跑期间的跳跃长度,且 J=2*(1-q),q为在(0,1)区间的随机生成数。
当|E|<0.5且r≥0.5时,猎物没有逃跑的机会,逃跑的能量也不足。因此,可以通过硬围困(hardbesiege)对猎物进行追捕,根据下式对鹰群中每只鹰的个体位置向量进行更新:
Figure BDA0003621674480000114
当|E|≥0.5且r<0.5时,猎物有机会从包围圈中逃脱,而逃跑所需的能量是足够的。此时,哈里斯鹰在进攻时采用的策略包括两步更新。如果执行第一步更新时哈里斯鹰的位置没有改善,则执行第二步更新。
具体地,可以根据下式对鹰群中每只鹰的个体位置向量进行更新:
Figure BDA0003621674480000115
其中,y为第一步更新结果,其计算公式为:
Figure BDA0003621674480000116
z为第二步更新结果,其计算公式为:
z=y+s*levy
其中,s为维度为dim的一个随机变量,f为适应度值计算函数,levy的计算公式如下所示:
Figure BDA0003621674480000121
其中,
Figure BDA0003621674480000122
u和μ分别为在(0,1)区间的随机生成数,β为常量值,一般可以将其设为1.5。
当|E|<0.5且r<0.5时,哈里斯鹰在进攻前将形成一个重围,猎物无法逃脱,根据下式对鹰群中每只鹰的个体位置向量进行更新:
Figure BDA0003621674480000123
其中,
Figure BDA0003621674480000124
z1=y1+s*levy,
Figure BDA0003621674480000125
为 t时刻的个体位置向量的平均值。
改进哈里斯鹰算法的核心思想是通过猎物逃跑能量因子的判断分别进行算法中的全局搜索和局部搜索过程,保证算法在全局搜索和局部搜索能力的合理转换,为了更好地模拟捕猎行为,在局部搜索阶段包括四种搜索策略。根据随机生成数r和猎物逃逸能量因子E的组合以确定具体的搜索策略,从而保证了算法能够有效避免易陷入局部最小值的缺点,从而获得问题的最优解,并由此构建出泛化能力和鲁棒性更强的加权极限学习机分类模型。
(5)判断迭代次数是否达到最大迭代次数tmax,若未达到,则返回执行步骤(2)及其后续步骤,即重新进行一次迭代计算过程;若达到,则改进哈里斯鹰算法优化完成,将当前猎物位置向量作为位置向量的最优解。
步骤S1023、根据位置向量的最优解确定最优特征子集和加权极限学习机优化后的参数集。
将位置向量的最优解记为:
xrabbit=(f1,f2,…,fi,…,fdim,W,C,R)
对fi的取值进行二值化处理,若所得结果为1,则将第i个特征作为选中的特征,若所得结果为0,则将第i个特征作为未选中的特征,最后可以将所有选中的特征组成的集合作为最优特征子集。最优解中的W,C,R分别为优化后的权重参数、正则化参数和核函数系数。
步骤S103、根据最优特征子集和加权极限学习机优化后的参数集构建网络入侵检测分类器。
在本申请实施例中,可以构建与最优特征子集以及优化后的权重参数、正则化参数和核函数系数对应的加权极限学习机,将其记为最优加权极限学习机,可以使用如下所示方程进行表示:
Figure BDA0003621674480000131
其中,x1、x2、…、xSN为训练集中的各个网络数据样本,SN为样本数目,需要注意的是,此处可以只选取与最优特征子集对应的特征,T为目标输出向量,也即由各个网络数据样本的分类标签组成的向量,χ为预设的核矩阵, K(x,y)=exp(-R||x-y||2),x为最优加权极限学习机的输入,F(x)为最优加权极限学习机的输出。
在构建得到最优加权极限学习机之后,可以将其作为网络入侵检测分类器在目标网络中进行网络入侵检测。
步骤S104、使用网络入侵检测分类器在目标网络中进行网络入侵检测,得到目标网络的网络入侵检测结果。
具体地,可以获取目标网络中的待检测网络数据,使用网络入侵检测分类器对待检测网络数据进行分类,得到待检测网络数据的分类结果,即确定待检测网络数据为正常数据或入侵数据,若待检测网络数据为入侵数据,则进一步确定其入侵类型。最后,将网络入侵检测分类器输出的分类结果作为网络入侵检测结果。
综上所述,本申请实施例根据目标网络的网络日志数据构建非平衡数据集;基于所述非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化,得到最优特征子集和所述加权极限学习机优化后的参数集;根据所述最优特征子集和所述加权极限学习机优化后的参数集构建网络入侵检测分类器;使用所述网络入侵检测分类器在所述目标网络中进行网络入侵检测,得到所述目标网络的网络入侵检测结果。通过本申请实施例,能够在网络日志数据中的非平衡数据情况下,有效降低计算复杂度,提高计算效率,具有较强的鲁棒性和泛化能力。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
对应于上文实施例所述的一种网络入侵检测方法,图3示出了本申请实施例提供的一种网络入侵检测装置的一个实施例结构图。
本实施例中,一种网络入侵检测装置可以包括:
数据集构建模块301,用于根据目标网络的网络日志数据构建非平衡数据集;
改进哈里斯鹰优化模块302,用于基于所述非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化,得到最优特征子集和所述加权极限学习机优化后的参数集;
分类器构建模块303,用于根据所述最优特征子集和所述加权极限学习机优化后的参数集构建网络入侵检测分类器;
网络入侵检测模块304,用于使用所述网络入侵检测分类器在所述目标网络中进行网络入侵检测,得到所述目标网络的网络入侵检测结果。
在本申请实施例的一种具体实现方式中,所述改进哈里斯鹰优化模块可以包括:
位置向量构建子模块,用于根据所述非平衡数据集中数据的各个特征以及所述加权极限学习机待定的参数集构建哈里斯鹰算法中的位置向量;
最优解求解子模块,用于使用所述改进哈里斯鹰算法求解得到所述位置向量的最优解;
参数确定子模块,用于根据所述位置向量的最优解确定所述最优特征子集和所述加权极限学习机优化后的参数集。
在本申请实施例的一种具体实现方式中,所述最优解求解子模块可以包括:
位置初始化单元,用于初始化鹰群中的个体位置向量;
适应度值计算单元,用于计算所述个体位置向量对应的适应度值;
猎物位置确定单元,用于将适应度值取得最大值时的所述个体位置向量作为当前猎物位置向量;
位置更新单元,用于计算猎物逃跑能量因子,并根据所述猎物逃跑能量因子和所述当前猎物位置向量对所述个体位置向量进行更新;
迭代求解单元,用于返回执行所述计算所述个体位置向量对应的适应度值的步骤及其后续步骤,直至迭代次数等于预设的最大迭代次数为止;
最优解确定单元,用于将所述当前猎物位置向量作为所述位置向量的最优解。
在本申请实施例的一种具体实现方式中,所述适应度值计算单元可以具体用于:确定所述个体位置向量对应的分类准确率和选择特征的个数;根据所述分类准确率和所述选择特征的个数计算所述个体位置向量对应的适应度值。
在本申请实施例的一种具体实现方式中,所述加权极限学习机的参数集可以包括权重参数、正则化参数和核函数系数;
所述分类器构建模块具体用于:构建与所述最优特征子集以及优化后的权重参数、正则化参数和核函数系数对应的最优加权极限学习机;将所述最优加权极限学习机作为所述网络入侵检测分类器。
在本申请实施例的一种具体实现方式中,所述网络入侵检测模块可以具体用于:获取所述目标网络中的待检测网络数据;使用所述网络入侵检测分类器对所述待检测网络数据进行分类,得到所述待检测网络数据的分类结果;将所述分类结果作为所述网络入侵检测结果。
在本申请实施例的一种具体实现方式中,所述网络入侵检测装置还可以包括:
归一化处理模块,用于对所述非平衡数据集进行归一化处理,得到归一化的非平衡数据集。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置,模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
图4示出了本申请实施例提供的一种终端设备的示意框图,为了便于说明,仅示出了与本申请实施例相关的部分。
如图4所示,该实施例的终端设备4包括:处理器40、存储器41以及存储在所述存储器41中并可在所述处理器40上运行的计算机程序42。所述处理器40执行所述计算机程序42时实现上述各个网络入侵检测方法实施例中的步骤,例如图1所示的步骤S101至步骤S104。或者,所述处理器40执行所述计算机程序42时实现上述各装置实施例中各模块/单元的功能,例如图3所示模块301至模块304的功能。
示例性的,所述计算机程序42可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器41中,并由所述处理器40执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序42在所述终端设备4中的执行过程。
所述终端设备4可以是桌上型计算机、笔记本、掌上电脑等计算设备。本领域技术人员可以理解,图4仅仅是终端设备4的示例,并不构成对终端设备 4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备4还可以包括输入输出设备、网络接入设备、总线等。
所述处理器40可以是中央处理单元(Central Processing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列 (Field-Programmable Gate Array,FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41可以是所述终端设备4的内部存储单元,例如终端设备4 的硬盘或内存。所述存储器41也可以是所述终端设备4的外部存储设备,例如所述终端设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括所述终端设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储所述计算机程序以及所述终端设备4所需的其它程序和数据。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读存储介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读存储介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读存储介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (9)

1.一种网络入侵检测方法,其特征在于,包括:
根据目标网络的网络日志数据构建非平衡数据集;
基于所述非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化,得到最优特征子集和所述加权极限学习机优化后的参数集;
根据所述最优特征子集和所述加权极限学习机优化后的参数集构建网络入侵检测分类器;
使用所述网络入侵检测分类器在所述目标网络中进行网络入侵检测,得到所述目标网络的网络入侵检测结果;
所述基于所述非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数优化,得到最优特征子集和所述加权极限学习机优化后的参数集,包括:
根据所述非平衡数据集中数据的各个特征以及所述加权极限学习机待定的参数集构建哈里斯鹰算法中的位置向量;
使用所述改进哈里斯鹰算法求解得到所述位置向量的最优解;
根据所述位置向量的最优解确定所述最优特征子集和所述加权极限学习机优化后的参数集。
2.根据权利要求1所述的网络入侵检测方法,其特征在于,所述使用所述改进哈里斯鹰算法求解得到所述位置向量的最优解,包括:
初始化鹰群中的个体位置向量;
计算所述个体位置向量对应的适应度值,并将适应度值取得最大值时的所述个体位置向量作为当前猎物位置向量;
计算猎物逃跑能量因子,并根据所述猎物逃跑能量因子和所述当前猎物位置向量对所述个体位置向量进行更新;
返回执行所述计算所述个体位置向量对应的适应度值的步骤及其后续步骤,直至迭代次数等于预设的最大迭代次数为止;
将所述当前猎物位置向量作为所述位置向量的最优解。
3.根据权利要求2所述的网络入侵检测方法,其特征在于,所述计算所述个体位置向量对应的适应度值,包括:
确定所述个体位置向量对应的分类准确率和选择特征的个数;
根据所述分类准确率和所述选择特征的个数计算所述个体位置向量对应的适应度值。
4.根据权利要求1所述的网络入侵检测方法,其特征在于,所述加权极限学习机的参数集包括权重参数、正则化参数和核函数系数;
所述根据所述最优特征子集和所述加权极限学习机优化后的参数集构建网络入侵检测分类器,包括:
构建与所述最优特征子集以及优化后的权重参数、正则化参数和核函数系数对应的最优加权极限学习机;
将所述最优加权极限学习机作为所述网络入侵检测分类器。
5.根据权利要求1所述的网络入侵检测方法,其特征在于,所述使用所述网络入侵检测分类器在所述目标网络中进行网络入侵检测,得到所述目标网络的网络入侵检测结果,包括:
获取所述目标网络中的待检测网络数据;
使用所述网络入侵检测分类器对所述待检测网络数据进行分类,得到所述待检测网络数据的分类结果;
将所述分类结果作为所述网络入侵检测结果。
6.根据权利要求1至5中任一项所述的网络入侵检测方法,其特征在于,在使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化之前,还包括:
对所述非平衡数据集进行归一化处理,得到归一化的非平衡数据集。
7.一种网络入侵检测装置,其特征在于,包括:
数据集构建模块,用于根据目标网络的网络日志数据构建非平衡数据集;
改进哈里斯鹰优化模块,用于基于所述非平衡数据集,使用改进哈里斯鹰算法进行特征选择以及加权极限学习机的参数集优化,得到最优特征子集和所述加权极限学习机优化后的参数集;
分类器构建模块,用于根据所述最优特征子集和所述加权极限学习机优化后的参数集构建网络入侵检测分类器;
网络入侵检测模块,用于使用所述网络入侵检测分类器在所述目标网络中进行网络入侵检测,得到所述目标网络的网络入侵检测结果;
所述改进哈里斯鹰优化模块包括:
位置向量构建子模块,用于根据所述非平衡数据集中数据的各个特征以及所述加权极限学习机待定的参数集构建哈里斯鹰算法中的位置向量;
最优解求解子模块,用于使用所述改进哈里斯鹰算法求解得到所述位置向量的最优解;
参数确定子模块,用于根据所述位置向量的最优解确定所述最优特征子集和所述加权极限学习机优化后的参数集。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的网络入侵检测方法的步骤。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的网络入侵检测方法的步骤。
CN202210461012.9A 2022-04-28 2022-04-28 一种网络入侵检测方法、装置、可读存储介质及终端设备 Active CN114928477B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210461012.9A CN114928477B (zh) 2022-04-28 2022-04-28 一种网络入侵检测方法、装置、可读存储介质及终端设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210461012.9A CN114928477B (zh) 2022-04-28 2022-04-28 一种网络入侵检测方法、装置、可读存储介质及终端设备

Publications (2)

Publication Number Publication Date
CN114928477A CN114928477A (zh) 2022-08-19
CN114928477B true CN114928477B (zh) 2023-04-07

Family

ID=82807625

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210461012.9A Active CN114928477B (zh) 2022-04-28 2022-04-28 一种网络入侵检测方法、装置、可读存储介质及终端设备

Country Status (1)

Country Link
CN (1) CN114928477B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111416797A (zh) * 2020-02-25 2020-07-14 江西理工大学 改进天牛群算法优化正则化极限学习机的入侵检测方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2017279806B2 (en) * 2017-05-29 2023-10-12 Saltor Pty Ltd Method and system for abnormality detection
CN108234500A (zh) * 2018-01-08 2018-06-29 重庆邮电大学 一种基于深度学习的无线传感网入侵检测方法
CN108737429B (zh) * 2018-05-24 2021-06-08 桂林电子科技大学 一种网络入侵检测方法
CN110070141B (zh) * 2019-04-28 2021-09-14 上海海事大学 一种网络入侵检测方法
CN111222638B (zh) * 2019-11-21 2023-05-12 湖南大学 一种基于神经网络的网络异常检测方法及装置
CN111625816A (zh) * 2020-04-21 2020-09-04 江西理工大学 一种入侵检测方法及装置
US11477216B2 (en) * 2020-05-04 2022-10-18 Microsoft Technology Licensing, Llc Detection of abnormal entities based on syntactic grouping of strings
CN111970259B (zh) * 2020-08-05 2022-04-29 贵州大学 一种基于深度学习的网络入侵检测方法和报警系统
CN113240069A (zh) * 2021-05-14 2021-08-10 江苏科技大学 一种基于改进哈里斯鹰算法的rbf神经网络优化方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111416797A (zh) * 2020-02-25 2020-07-14 江西理工大学 改进天牛群算法优化正则化极限学习机的入侵检测方法

Also Published As

Publication number Publication date
CN114928477A (zh) 2022-08-19

Similar Documents

Publication Publication Date Title
CN110135157B (zh) 恶意软件同源性分析方法、系统、电子设备及存储介质
CN109302410B (zh) 一种内部用户异常行为检测方法、系统及计算机存储介质
CN111428874A (zh) 风控方法、电子装置及计算机可读存储介质
CN109840413B (zh) 一种钓鱼网站检测方法及装置
CN112990318B (zh) 持续学习方法、装置、终端及存储介质
CN110135681A (zh) 风险用户识别方法、装置、可读存储介质及终端设备
CN111914253A (zh) 一种入侵检测的方法、系统、设备及可读存储介质
CN113839926B (zh) 一种基于灰狼算法特征选择的入侵检测系统建模方法、系统及装置
CN108805174A (zh) 聚类方法及装置
CN112818162A (zh) 图像检索方法、装置、存储介质和电子设备
CN112749737A (zh) 图像分类方法及装置、电子设备、存储介质
CN111159481B (zh) 图数据的边预测方法、装置及终端设备
CN114187009A (zh) 交易风险预测模型的特征解释方法、装置、设备及介质
CN112131199A (zh) 一种日志处理方法、装置、设备及介质
CN114928477B (zh) 一种网络入侵检测方法、装置、可读存储介质及终端设备
CN109670552B (zh) 一种图像分类方法、装置、设备及可读存储介质
CN111178630A (zh) 一种负荷预测方法及装置
CN116501993B (zh) 房源数据推荐方法及装置
CN115146258B (zh) 请求处理方法、装置、存储介质及电子设备
CN113111833B (zh) 人工智能系统的安全性检测方法、装置及终端设备
CN115423598A (zh) 数据特征的筛选方法及装置
CN116862673A (zh) 处理结果预测方法、装置、计算机设备和存储介质
CN117911166A (zh) 团险理赔风险识别方法、装置、计算机设备和存储介质
CN118015374A (zh) 一种小样本图像识别方法及系统
CN117951553A (zh) 异常检测方法及装置、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant