CN114928478A - 基于核心算法、机器学习和云计算的网络安全检测系统 - Google Patents

Abstract

本发明涉及一种网络安全检测系统，尤其为一种基于核心算法、机器学习和云计算的网络安全检测系统，包括入侵检测模块和检测优化模块，所述入侵检测模块用于支持向量机建立入侵检测模型，并通过入侵检测模型对网络安全进行检测，所述检测优化模块通过改进的万有引力搜索算法对网络安全检测模块采用的支持向量机的惩罚因子和核函数参数进行优化，所述万有引力搜索算法中粒子的适应度值越大，该粒子所在位置的解越优。本发明以群体间个体相互作用、相互影响的思想为核心，在一定的搜索空间区域内，通过万有引力搜索算法搜寻一组向量(C,g,ε)，使支持向量机的惩罚因子和核函数参数目标(适应度)函数值达到最小，具有参数设置少、结构简单和全局优化能力强等特点。

Description

基于核心算法、机器学习和云计算的网络安全检测系统

技术领域

本发明涉及一种网络安全检测系统，尤其是一种基于核心算法、机器学习和云计算的网络安全检测系统。

背景技术

对国家发展而言，很多的信息都需要通过计算机进行整合，从而对信息进行归类，使得信息管理有一个完善的管理制度，为此，在国家之间的信息方面，很多的信息都是通过计算机技术的传递。使得计算机网络安全是国家近几年重点研究领域，由于数据库注入、蠕虫病毒等不断变化，对传统计算机网络安全设备造成巨大的威胁。因此，需要以支持向量机为基础降低计算机网络流量处理的不确定性以及误报、漏报率。但是，支持向量机学习参数中的惩罚因子C、核函数参数g和不敏感系数ε对其性能有着关键性影响，惩罚因子C过小，样本惩罚减小，训练误差增大；C过大，则学习精度提高，泛化能力变差。核函数参数g越小，拟合误差越小，训练时间延长，但过小的g会导致模型过拟合而降低其泛化能力。

发明内容

本发明的目的是通过提出一种基于核心算法、机器学习和云计算的网络安全检测系统，以解决上述背景技术中提出的缺陷。

本发明采用的技术方案如下：

提供一种基于核心算法、机器学习和云计算的网络安全检测系统，包括入侵检测模块和检测优化模块，所述入侵检测模块用于支持向量机建立入侵检测模型，并通过入侵检测模型对网络安全进行检测，所述检测优化模块通过改进的万有引力搜索算法对网络安全检测模块采用的支持向量机的惩罚因子和核函数参数进行优化，所述万有引力搜索算法中粒子的适应度值越大，该粒子所在位置的解越优。

作为本发明的一种优选技术方案：所述建立入侵检测模型具体包括：

通过支持向量机分解处理计算机网络流量离散时间序列中的低频信息，使得离散时间序列呈现有规律、周期性变化；

用核函数处理时间序列中的高频部分；

对流量分量进行预测，并根据分量预测结果进行重构，得到在空间嵌入维数的计算机网络流量安全态势分析结果。

作为本发明的一种优选技术方案：所述通过入侵检测模型对网络安全进行检测具体包括：

对计算机网络流量进行预处理，并从计算机网络流量中采集、获取原始数据的时间序列；

运用支持向量机分解原理，将带有差异时间序列的计算机网络流量分解成若干个分量；

将计算机网络流量分量进行归一化处理，并按照区间大小对分量进行相应的算法变动；

运用计算机网络设备中安装的自动化监测数据所采集到的样本数据，在嵌入维数之后进行训练，形成测试样本集，然后按照空间维数对输入计算机以及输出计算机的向量进行设置与支持；

针对按照监测数据频数高低进行突变几率的预测，并按照支持向量机线性核函数，对高频监测数据进行处理；使用支持向量机高斯核函数，对低频监测数据进行非线性处理；

训练安全态势预测模型性能，将支持向量机获取到的参数作为预测模型构建依据，然后进行集体学习与集体测试；

实施归一化措施处理计算机网络流量的分量，并使用反归一法对最终预测结果进行支持向量机转换的重构。

作为本发明的一种优选技术方案：所述对计算机网络流量进行预处理具体为：

其中，n为最优嵌入维，r为信息获取延时；meany(j)为输入向量Y第j列的算术平均值，stdy(j)为输入向量第列的标准方差，meanx为输入向量x的算术平均值；stdx为输入向量x的标准方差。

作为本发明的一种优选技术方案：所述万有引力搜索算法包括：

初始化各个参数和种群位置；

S1：计算适应度值；

S2：计算粒子的惯性质量、每个粒子的在每个方向的引力、加速度；

S3：更新每个粒子的位置及适应度值和全局最优值；

S4：达到终止条件后结束，输出最优解，否则就返回S3进入下一轮迭代。

作为本发明的一种优选技术方案：所述支持向量机具体为：

其中，K(x_i,x)＝Φ(x_i)Φ(x)，其中，Φ(x_i)Φ(x)为满足Mercer条件的核函数，a_i、

为二次规划中Lagrange乘子，含有l个训练样本的集合为：{(x_i，y_i)，i＝1，2…，l}，b为常数。

作为本发明的一种优选技术方案：所述核函数Φ(x_i)Φ(x)具体为：

K(x_i，x)＝exp(-g||x-x_i||²)

其中，g＞0。

作为本发明的一种优选技术方案：所述通过改进的万有引力搜索算法对网络安全检测模块采用的支持向量机的惩罚因子和核函数参数进行优化具体为：

其中，y_i为第i个样本的实测值，

为第i个样本的模拟值。

作为本发明的一种优选技术方案：所述从计算机网络流量中采集、获取原始数据的时间序列包括：

设计算机流量传输为每秒t字节，通过第一个原始数据的簇数在第n秒传输完成的时间作为时间序列的起始点，依次计算下一个时间序列。

作为本发明的一种优选技术方案：所述从计算机网络流量中采集、获取原始数据的时间序列具体为：

其中，

为第h个时间序列，d_n第n秒内传输的字节数，d_min为前面h-1个时间序列传输的最小字节数，T_h为第h个时间序列中传输的总簇数。

本发明提供的基于核心算法、机器学习和云计算的网络安全检测系统：

1、本发明引入支持向量机对计算机网络流量进行设定、监测数据的去噪、分解以及支持向量机建模等步骤，可有效提高计算机网络安全态势预测精准度。通过对计算机网络安全态势预测模型的分析后，证明该模型可有效应对大量因素的干扰，极大地提升数据加密、备份、恢复等步骤的安全性，从而满足人们使用计算机网络的要求。

2、本发明通过万有引力搜索算法对网络安全检测模块采用的支持向量机的惩罚因子和核函数参数进行优化，由于支持向量机学习参数中的惩罚因子C、核函数参数g和不敏感系数ε对其性能有着关键性影响，惩罚因子C过小，样本惩罚减小，训练误差增大；C过大，则学习精度提高，泛化能力变差。核函数参数g越小，拟合误差越小，训练时间延长，但过小的g会导致模型过拟合而降低其泛化能力。本发明以群体间个体相互作用、相互影响的思想为核心，在一定的搜索空间区域内，通过万有引力搜索算法搜寻一组向量(C,g,ε)，使支持向量机的惩罚因子和核函数参数目标(适应度)函数值达到最小，具有参数设置少、结构简单和全局优化能力强等特点。

3、本优选实施例针对原始GSA算法存在的搜索精度较低以及易陷入局部极值的缺陷，对原始GSA算法进行了改进，在GSA算法的每次迭代更新时，当种群中粒子所在的位置较优或者其距离待更新粒子越近时，其对待更新粒子具有较大的引力值，这些引力值较大的粒子直接影响着待更新粒子的寻优方向，因此，在种群中选取对待更新粒子具有较大引力值的粒子，并对这些引力较大的粒子进行聚类，在计算待更新粒子受到的合力时，当粒子对待更新粒子的引力值较小时，仍采用传统的合力计算方式，从而保持万有引力搜索算法的全局勘探能力，当粒子对待更新粒子的引力值较大时，引入类调节系数调节该引力值在合力中的权值，当所述引力较大的粒子所处的类中拥有较多的粒子时，则减小该粒子的引力值在合力中的权值，从而增加所述合力吸引待更新粒子向着拥有较少粒子的较优区域或最优解区域进行寻优的概率，使得种群中粒子对搜索空间的较优区域搜索的较为均匀，增加种群的局部开发能力，进而提高改进后的GSA算法的寻优精度，并且避免算法陷入局部极值，使得算法收敛到最优解。即本实施例改进后的GSA算法相较于原始GSA算法具有较高的寻优精度，使得采用改进后的GSA算法对支持向量机参数进行寻优时，能够获得支持向量机的最优参数，从而提高建立的入侵检测模型的准确度。

附图说明

图1为本发明优选实施例的整体系统框图；

图2为本发明优选实施例中整体系统建模流程图。

图中：100、入侵检测模块；200、检测优化模块。

具体实施方式

需要说明的是，在不冲突的情况下，本实施例中的实施例及实施例中的特征可以相互组合，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参照图1-2，本发明优选实施例提供了一种基于核心算法、机器学习和云计算的网络安全检测系统，包括入侵检测模块100和检测优化模块200，所述入侵检测模块100用于支持向量机建立入侵检测模型，并通过入侵检测模型对网络安全进行检测，所述检测优化模块200通过改进的万有引力搜索算法对网络安全检测模块采用的支持向量机的惩罚因子和核函数参数进行优化，所述万有引力搜索算法中粒子的适应度值越大，该粒子所在位置的解越优。

支持向量机经过训练后可以形成有关计算机网络流量的解决小样本，在高模式识别方面具有特殊的优势。一方面，支持向量机采用核函数方法，实现空间从低维到高维的转变，另一方面，将特征空间分割为最优的超平面，从而得到最佳学习期。在升维过程中，为降低维数灾难发生率，一般采用核函数，分别为线性核函数、RBF径向基。在利用支持向量机对训练集以及测试集进行去噪以及归一化处理的过程中，在提取数据特征并进行预处理之后，再进行算法的参数初始化，并利用径向基核函数合理筛选惩罚因子的大小，再利用向量机算法对数据分类，以此获得具有较高准确率的分类结果，保障计算机网络安全态势分析的精准性，以此提高支持向量机计算机网络安全态势预测模型应用性能。

还包括监测数据的去噪以及分解，一般采用的是计算机网络设备中安装的自动装置监测到的数据，从而降低噪声对预测模型精准性的影响。在此过程中应用的仍为支持向量机工作原理，分解带有阈值的原始数据，然后利用变换处理分解原始数据出现的噪声信息。首先，对监测数据噪声经历多尺度变换，为得到不同尺度的变换信号做好铺垫工作。其次，保留除去噪声信息的真实值，确保分析数据的真实性，然后使用逆变换处理监测数据真实值的各层分解信号，最终打造降噪目标。最后，运用支持向量机，根据嵌入重构空间维数，对真实信号部分进行增强处理，然后达到吸收引子维数的目的，从而实现低维空间监测数据向高维空间的扩展，为计算机安全态势预测模式的建立奠定良好的数据基础。

最大化结构安全原则为运用支持向量机建立计算机网络安全态势预测模型的主要学习方法，在克服计算机网络混沌性与不确定性时，可有效分析安全态势的走向。具体的，建立入侵检测模型具体包括：

通过支持向量机分解处理计算机网络流量离散时间序列中的低频信息，使得离散时间序列呈现有规律、周期性变化；

用核函数处理时间序列中的高频部分；

对流量分量进行预测，并根据分量预测结果进行重构，得到在空间嵌入维数的计算机网络流量安全态势分析结果。

通过入侵检测模型对网络安全进行检测具体包括：

对计算机网络流量进行预处理，并从计算机网络流量中采集、获取原始数据的时间序列；

运用支持向量机分解原理，将带有差异时间序列的计算机网络流量分解成若干个分量；

将计算机网络流量分量进行归一化处理，并按照区间大小对分量进行相应的算法变动；

运用计算机网络设备中安装的自动化监测数据所采集到的样本数据，在嵌入维数之后进行训练，形成测试样本集，然后按照空间维数对输入计算机以及输出计算机的向量进行设置与支持；

针对按照监测数据频数高低进行突变几率的预测，并按照支持向量机线性核函数，对高频监测数据进行处理；使用支持向量机高斯核函数，对低频监测数据进行非线性处理；

训练安全态势预测模型性能，将支持向量机获取到的参数作为预测模型构建依据，然后进行集体学习与集体测试；

实施归一化措施处理计算机网络流量的分量，并使用反归一法对最终预测结果进行支持向量机转换的重构。

由于计算机网络流量具有非线性、混沌性等特点，在运用支持向量机建立安全态势预测模型之前，需要对实时相空间进行重构处理，并运用虚假最近邻点方法模拟出计算机网络流量的变动轨迹，从而获得重构流量集。其中，对计算机网络流量进行预处理具体为：

其中，n为最优嵌入维，r为信息获取延时；meany(j)为输入向量Y第j列的算术平均值，stdy(j)为输入向量第列的标准方差，meanx为输入向量x的算术平均值；stdx为输入向量x的标准方差。

作为优选，万有引力搜索算法包括：

初始化各个参数和种群位置；

S1：计算适应度值；

S2：计算粒子的惯性质量、每个粒子的在每个方向的引力、加速度；

S3：更新每个粒子的位置及适应度值和全局最优值；

S4：达到终止条件后结束，输出最优解，否则就返回S3进入下一轮迭代。

但是，万有引力搜索算法通过个体间的万有引力相互作用实现优化信息的共享，引导群体向最优解区域搜索，具有较好的全局搜索能力，但局部搜索能力较弱，易陷入局部极值。由于支持向量机学习参数中的惩罚因子C、核函数参数g和不敏感系数ε对其性能有着关键性影响，惩罚因子C过小，样本惩罚减小，训练误差增大；C过大，则学习精度提高，泛化能力变差。核函数参数g越小，拟合误差越小，训练时间延长，但过小的g会导致模型过拟合而降低其泛化能力。因此，本实施例在一定的搜索空间区域内，通过万有引力搜索算法搜寻一组向量(C，g，ε)，使支持向量机的惩罚因子和核函数参数目标(适应度)函数值达到最小。

支持向量机具体为：

其中，K(x_i，x)＝Φ(x_i)Φ(x)，其中，Φ(x_i)Φ(x)为满足Mercer条件的核函数，a_i、

为二次规划中Lagrange乘子，含有l个训练样本的集合为：{(x_i，y_i)，i＝1，2…，l}，b为常数。

核函数Φ(x_i)Φ(x)具体为：

K(x_i，x)＝exp(-g||x-x_i||²)

其中，g＞0。

通过改进的万有引力搜索算法对网络安全检测模块采用的支持向量机的惩罚因子和核函数参数进行优化具体为：

其中，y_i为第i个样本的实测值，

为第i个样本的模拟值。

从计算机网络流量中采集、获取原始数据的时间序列包括：

设计算机流量传输为每秒t字节，通过第一个原始数据的簇数在第n秒传输完成的时间作为时间序列的起始点，依次计算下一个时间序列。

从计算机网络流量中采集、获取原始数据的时间序列具体为：

其中，

为第h个时间序列，d_n第n秒内传输的字节数，d_min为前面h-1个时间序列传输的最小字节数，T_h为第h个时间序列中传输的总簇数。通过从计算机网络流量中采集、获取原始数据的时间序列，并且以每个时间序列中传输的总簇数来实时改变时间序列的长度，这样可保证时间序列内的数据完整性。

作为另一种优选，选用径向基核函数(RBF)作为网络安全检测模块采用的支持向量机的核函数。

优选的，在原始GSA算法中，每个粒子通过同时向种群中其他所有的粒子进行学习来实现下一时刻的更新，上述更新方式使得原始GSA算法存在下述特性：

(1)该种全局学习机制使得GSA算法具有较强的全局勘探能力的同时，也使得GSA算法的局部开发能力不足，从而使得原始GSA算法的寻优精度较低；

(2)在每次迭代更新时，因为每个粒子所受的合力都是种群中所有其他粒子对其施加的引力和，并朝着合力的方向移动，理想状态下，该合力将带领待更新粒子向着最优解区域移动，然而当种群中粒子分布不均匀时，当一个粒子所处区域并非最优解区域，但该粒子所处区域分布较多粒子，而因为待更新粒子所受的合力为种群中所有其他粒子对其施加的引力和，因此就算该粒子所处区域并非最优解区域，但因该区域分布较多粒子，这些粒子对待更新粒子的引力相加后在合力中所占的比重也将较大，从而影响种群向最优解区域收敛，因此，当种群中粒子分布不均匀时，采用传统方式计算所得的合力将带领种群中粒子向着粒子分布密集的区域移动，加剧种群对搜索空间寻优的不均匀性，进一步减少了种群中粒子的多样性，容易使得算法收敛到次优解，从而陷入局部极值。针对上述缺陷，本实施例利用改进的万有引力搜索算法对网络安全检测模块采用的支持向量机的惩罚因子和核函数参数进行优化，并基于所述支持向量机建立入侵检测模型，设置所述万有引力搜索算法中粒子的适应度值越大，该粒子所在的位置的解越优。

优选的，在改进的万有引力搜索算法中，设在一个D维搜索空间中包含N个粒子，则种群中粒子i在t时刻的位置和速度为：

其中，i＝1，2，...，N，N为种群中的粒子数，X_i(t)和V_i(t)为种群中粒子i在t时刻的位置和速度，

和

是t时刻种群中粒子i在第1维度空间的位置和速度，

和

是t时刻种群中粒子i在第2维度空间的位置和速度，

和

是t时刻种群中粒子i在第D维度空间的位置和速度；

在改进的万有引力搜索算法中，设置粒子i通过下列步骤实现(t+1)时刻的更新：

步骤(1)：根据t时刻种群中其他粒子对粒子i的引力对种群中粒子进行预处理；

步骤(2)：令粒子i通过向种群中其他(N-1)个粒子进行学习，从而实现(t+1)时刻的更新。

优选的，采用下列方式根据t时刻种群中其他粒子对粒子i的引力对种群中的粒子进行预处理：

定义f_ij(t)为t时刻种群中粒子j对粒子i的引力数值，且f_ij(t)的值为：

其中，M_i(t)和M_j(t)分别表示种群中粒子i和粒子j在t时刻的质量，G(t)是t时刻的万有引力常数，ε是一个大于0的常数，用于保证分母不为0，R_ij(t)是t时刻种群中粒子i和粒子j之间的欧式距离；设K_i(t)为t时刻在种群中选取的用于指导粒子i进行(t+1)时刻更新的主要粒子集合，且

P_i(t)为t时刻在种群中选取的用于指导粒子i进行(t+1)时刻更新的普通粒子集合，且

其中，f_iu(t)表示t时刻种群中粒子u对粒子i的引力数值，f_il(t)为t时刻种群中粒子l对粒子i的引力数值，

为t时刻种群中其他(N-1)个粒子对粒子i的引力数值的均值，则

N表示种群中的粒子数；

采用迭代聚类的方式对主要粒子集合K_i(t)中的粒子进行分类：设C_i，r(t)为对集合K_i(t)中粒子进行第r次迭代聚类所得的类，则类C_i，r(t)中的粒子采用下列方式在集合K_i(t)中选取：

确定类C_i，r(t)的类度量阈值：在集合K_i(t)当前的未分类粒子中选取距离位置X_i(t)最近的粒子作为类C_i，r(t)的类度量粒子，令k′、o′表示集合K_i(t)中的未分类粒子，且

X_o′(t)为集合K_i(t)中的未分类粒子o′在t时刻的位置，X_i(t)为种群中粒子i在t时刻的位置，未分类粒子k′即为集合K_i(t)当前的未分类粒子中距离位置X_i(t)最近的粒子，将未分类粒子k′加入类C_i，r(t)中，并根据未分类粒子k′确定类C_i，r(t)的类度量阈值H_i，r，k′(t)，则H_i，r，k′(t)＝y_k′(t)*(1-θ_k′(t))，其中，y_k′(t)为t时刻未分类粒子k′在种群中的邻域系数值，且

θ_k′(t)为t时刻未分类粒子k′在种群中的邻域统一系数，且

X_k′(t)为集合K_i(t)中的未分类粒子k′在t时刻的位置，X_k′，o(t)为t时刻种群中距离位置X_k′(t)第o近的粒子的位置，y_k′，o(t)为t时刻种群中距离位置X_k′(t)第o近的粒子的邻域系数值，c为给定的正整数，c的值可以取5；

根据确定的类度量阈值H_i，r，k′(t)继续在集合K_i(t)当前的未分类粒子中选取粒子加入类C_i，r(t)中，具体为：

分别在集合K_i(t)当前的未分类粒子中和类C_i，r(t)当前的粒子中选取距离最近的两个粒子进行检测，具体的：设X_e′(t)为集合K_i(t)中的未分类粒子e′在t时刻的位置，X_s(t)为类C_i，r(t)中的粒子s在t时刻的位置，X_a′(t)为集合K_i(t)中的未分类粒子a′在t时刻的位置，X_b(t)为类C_i，r(t)中的粒子b在t时刻的位置，当未分类粒子e′和粒子s满足：

即未分类粒子e′和粒子s分别为集合K_i(t)当前的未分类粒子中和类C_i，r(t)当前的粒子中距离最近的两个粒子，则对未分类粒子e′和粒子s进行检测，检测方式为：

(1)当未分类粒子e′和粒子s满足：|X_e′(t)-X_s(t)|＞H_i，r，k′(t)时，则停止在集合K_i(t)当前的未分类粒子中选取粒子加入类C_i，r(t)中，并对集合K_i(t)当前的未分类粒子进行下一次的迭代聚类；

(2)当未分类粒子e′和粒子s满足：|X_e′(t)-X_s(t)|≤H_i，r，k′(t)时，则将未分类粒子e′加入类C_i，r(t)中，当此时集合K_i(t)中的未分类粒子的个数为0时，则停止对集合K_i(t)中的未分类粒子进行迭代聚类，当此时集合K_i(t)中的未分类粒子的个数不为0时，则继续按照上述方式根据确定的类度量阈值H_i，r，k′(t)继续在集合K_i(t)当前的未分类粒子中选取粒子加入类C_i，r(t)中。

优选的，令粒子i通过向种群中其他(N-1)个粒子进行学习，从而实现(t+1)时刻的更新，具体为：

在第d维度空间中，t时刻粒子i受到的引力为种群中其他(N-1)个粒子对其产生的引力的合力，具体的：定文

为t时刻粒子i在第d维度空间受到的引力的合力，则

的计算公式为：

在上述

的计算公式中，

为t时刻种群中粒子j在第d维度空间对粒子i所产生的引力，根据万有引力定律的公式计算

的值为：

其中，M_i(t)和M_j(t)分别表示种群中粒子i和粒子j在t时刻的质量，G(t)是t时刻的万有引力常数，ε是一个大于0的常数，用于保证分母不为0，R_ij(t)是t时刻种群中粒子i和粒子j之间的欧式距离，

为t时刻种群中粒子i在第d维度空间的位置，

为t时刻种群中粒子j在第d维度空间的位置；

在上述

的计算公式中，

为定义的t时刻种群中粒子j在第d维度空间对粒子i所产生的引力在合力中所占的权值，设置

的值采用下列方式确定：

当种群中粒子j在t时刻为集合P_i(t)中的粒子时，则令

为一个[0，1]内的随机数；

当种群中粒子j在t时刻为集合K_i(t)中的粒子时，则令

为一个

内的随机数，其中，

为t时刻粒子j在集合K_i(t)中的类调节系数，且

设C_i，J(t)为对集合K_i(t)中粒子进行第J次迭代聚类所得的类，且j在t时刻为类C_i，J(t)中的粒子，即j∈C_i，J(t)，N_i，J(t)表示类C_i，J(t)中的粒子数，N_i(t)表示集合K_i(t)中的粒子数，

表示对集合K_i(t)中粒子进行迭代聚类所得的类中粒子数的分割值，且

其中，

表示对集合K_i(t)中粒子进行迭代聚类所得的类中粒子数的均值，且

σ_i(t)表示对集合K_i(t)中粒子进行迭代聚类所得的类中粒子数的均方差，且

其中，设C_i，r(t)为对集合K_i(t)中粒子进行第r次迭代聚类所得的类，N_i，r(t)表示类C_i，r(t)中的粒子数，R为对集合K_i(t)中粒子进行迭代聚类所得的类的总个数；

则t时刻粒子i在第d维度空间通过向种群中其他(N-1)个粒子学习获得的(t+1)时刻的位置为：

在上式中，

和

为(t+1)时刻种群中粒子i在第d维度空间的位置和速度，

和

为t时刻粒子i在第d维度空间的位置和速度，rand_i是一个[0，1]内的随机数，

为根据牛顿第二定律计算所得的t时刻粒子i在第d维度空间的加速度，且

其中，M_ii(t)为粒子i在t时刻的惯性质量。

本实施例针对原始GSA算法存在的搜索精度较低以及易陷入局部极值的缺陷，对原始GSA算法进行了改进，在GSA算法的每次迭代更新时，当种群中粒子所在的位置较优或者其距离待更新粒子越近时，其对待更新粒子具有较大的引力值，这些引力值较大的粒子直接影响着待更新粒子的寻优方向，因此，在种群中选取对待更新粒子具有较大引力值的粒子，并对这些引力较大的粒子进行聚类，在计算待更新粒子受到的合力时，当粒子对待更新粒子的引力值较小时，仍采用传统的合力计算方式，从而保持万有引力搜索算法的全局勘探能力，当粒子对待更新粒子的引力值较大时，引入类调节系数调节该引力值在合力中的权值，当所述引力较大的粒子所处的类中拥有较多的粒子时，则减小该粒子的引力值在合力中的权值，从而增加所述合力吸引待更新粒子向着拥有较少粒子的较优区域或最优解区域进行寻优的概率，使得种群中粒子对搜索空间的较优区域搜索的较为均匀，增加种群的局部开发能力，进而提高改进后的GSA算法的寻优精度，并且避免算法陷入局部极值，使得算法收敛到最优解。即本实施例改进后的GSA算法相较于原始GSA算法具有较高的寻优精度，使得采用改进后的GSA算法对支持向量机参数进行寻优时，能够获得支持向量机的最优参数，从而提高建立的入侵检测模型的准确度。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims (10)

1.一种基于核心算法、机器学习和云计算的网络安全检测系统，其特征在于：包括入侵检测模块(100)和检测优化模块(200)，所述入侵检测模块(100)用于支持向量机建立入侵检测模型，并通过入侵检测模型对网络安全进行检测，所述检测优化模块(200)通过改进的万有引力搜索算法对网络安全检测模块采用的支持向量机的惩罚因子和核函数参数进行优化，所述万有引力搜索算法中粒子的适应度值越大，该粒子所在位置的解越优。

2.根据权利要求1所述的基于核心算法、机器学习和云计算的网络安全检测系统，其特征在于：所述建立入侵检测模型具体包括：

通过支持向量机分解处理计算机网络流量离散时间序列中的低频信息，使得离散时间序列呈现有规律、周期性变化；

用核函数处理时间序列中的高频部分；

对流量分量进行预测，并根据分量预测结果进行重构，得到在空间嵌入维数的计算机网络流量安全态势分析结果。

3.根据权利要求2所述的基于核心算法、机器学习和云计算的网络安全检测系统，其特征在于：所述通过入侵检测模型对网络安全进行检测具体包括：

对计算机网络流量进行预处理，并从计算机网络流量中采集、获取原始数据的时间序列；

运用支持向量机分解原理，将带有差异时间序列的计算机网络流量分解成若干个分量；

将计算机网络流量分量进行归一化处理，并按照区间大小对分量进行相应的算法变动；

运用计算机网络设备中安装的自动化监测数据所采集到的样本数据，在嵌入维数之后进行训练，形成测试样本集，然后按照空间维数对输入计算机以及输出计算机的向量进行设置与支持；

针对按照监测数据频数高低进行突变几率的预测，并按照支持向量机线性核函数，对高频监测数据进行处理；使用支持向量机高斯核函数，对低频监测数据进行非线性处理；

训练安全态势预测模型性能，将支持向量机获取到的参数作为预测模型构建依据，然后进行集体学习与集体测试；

实施归一化措施处理计算机网络流量的分量，并使用反归一法对最终预测结果进行支持向量机转换的重构。

4.根据权利要求3所述的基于核心算法、机器学习和云计算的网络安全检测系统，其特征在于：所述对计算机网络流量进行预处理具体为：

其中，n为最优嵌入维，r为信息获取延时；meany(j)为输入向量Y第j列的算术平均值，stdy(j)为输入向量第列的标准方差，meanx为输入向量x的算术平均值；stdx为输入向量x的标准方差。

5.根据权利要求1所述的基于核心算法、机器学习和云计算的网络安全检测系统，其特征在于：所述万有引力搜索算法包括：

初始化各个参数和种群位置；

S1：计算适应度值；

S2：计算粒子的惯性质量、每个粒子的在每个方向的引力、加速度；

S3：更新每个粒子的位置及适应度值和全局最优值；

S4：达到终止条件后结束，输出最优解，否则就返回S3进入下一轮迭代。

6.根据权利要求1所述的基于核心算法、机器学习和云计算的网络安全检测系统，其特征在于：所述支持向量机具体为：

其中，K(x_i,x)＝Φ(x_i)Φ(x)，其中，Φ(x_i)Φ(x)为满足Mercer条件的核函数，a_i、

为二次规划中Lagrange乘子，含有l个训练样本的集合为：{(x_i,y_i),i＝1,2…,l},b为常数。

7.根据权利要求6所述的基于核心算法、机器学习和云计算的网络安全检测系统，其特征在于：所述核函数Φ(x_i)Φ(x)具体为：

K(x_i,x)＝exp(-g‖x-x_i‖²)

其中，g>0。

8.根据权利要求1所述的基于核心算法、机器学习和云计算的网络安全检测系统，其特征在于：所述通过改进的万有引力搜索算法对网络安全检测模块采用的支持向量机的惩罚因子和核函数参数进行优化具体为：

其中，y_i为第i个样本的实测值，

为第i个样本的模拟值。

9.根据权利要求1所述的基于核心算法、机器学习和云计算的网络安全检测系统，其特征在于：利用改进的万有引力搜索算法对网络安全检测模块采用的支持向量机的惩罚因子和核函数参数进行优化，并基于所述支持向量机建立入侵检测模型，设置所述万有引力搜索算法中粒子的适应度值越大，该粒子所在位置的解越优；在改进的万有引力搜索算法中，设在一个D维搜索空间中包含N个粒子，则种群中粒子i在t时刻的位置和速度为：

其中，i＝1,2,…,N，N为种群中的粒子数，X_i(t)和V_i(t)为种群中粒子i在t时刻的位置和速度，

和

是t时刻种群中粒子i在第1维度空间的位置和速度，

和

是t时刻种群中粒子i在第2维度空间的位置和速度，

和

是t时刻种群中粒子i在第D维度空间的位置和速度；

在改进的万有引力搜索算法中，设置粒子i通过下列步骤实现(t+1)时刻的更新：

步骤(1)：根据t时刻种群中其他粒子对粒子i的引力对种群中粒子进行预处理；

步骤(2)：令粒子i通过向种群中其他(N-1)个粒子进行学习，从而实现(t+1)时刻的更新；

采用下列方式根据t时刻种群中其他粒子对粒子i的引力对种群中的粒子进行预处理：

定义f_ij(t)为t时刻种群中粒子j对粒子i的引力数值，且f_ij(t)的值为：

其中，M_i(t)和M_j(t)分别表示种群中粒子i和粒子j在t时刻的质量，G(t)是t时刻的万有引力常数，ε是一个大于0的常数，用于保证分母不为0，R_ij(t)是t时刻种群中粒子i和粒子j之间的欧式距离；设K_i(t)为t时刻在种群中选取的用于指导粒子i进行(t+1)时刻更新的主要粒子集合，且

P_i(t)为t时刻在种群中选取的用于指导粒子i进行(t+1)时刻更新的普通粒子集合，且

其中，f_iu(t)表示t时刻种群中粒子u对粒子i的引力数值，f_il(t)为t时刻种群中粒子l对粒子i的引力数值，

为t时刻种群中其他(N-1)个粒子对粒子i的引力数值的均值，则

N表示种群中的粒子数；

采用迭代聚类的方式对主要粒子集合K_i(t)中的粒子进行分类：设C_i,r(t)为对集合K_i(t)中粒子进行第r次迭代聚类所得的类，则类C_i,r(t)中的粒子采用下列方式在集合K_i(t)中选取：

确定类C_i,r(t)的类度量阈值：在集合K_i(t)当前的未分类粒子中选取距离位置X_i(t)最近的粒子作为类C_i,r(t)的类度量粒子，令k′、o′表示集合K_i(t)中的未分类粒子，且

X_o′(t)为集合K_i(t)中的未分类粒子o′在t时刻的位置，X_i(t)为种群中粒子i在t时刻的位置，未分类粒子k′即为集合K_i(t)当前的未分类粒子中距离位置X_i(t)最近的粒子，将未分类粒子k′加入类C_i,r(t)中，并根据未分类粒子k′确定类C_i,r(t)的类度量阈值H_i,r,k′(t)，则H_i,r,k′(t)＝y_k′(t)*(1-θ_k′(t))，其中，y_k′(t)为t时刻未分类粒子k′在种群中的邻域系数值，且

θ_k′(t)为t时刻未分类粒子k′在种群中的邻域统一系数，且

X_k′(t)为集合K_i(t)中的未分类粒子k′在t时刻的位置，X_k′,o(t)为t时刻种群中距离位置X_k′(t)第o近的粒子的位置，y_k′,o(t)为t时刻种群中距离位置X_k′(t)第o近的粒子的邻域系数值，c为给定的正整数；

根据确定的类度量阈值H_i,r,k′(t)继续在集合K_i(t)当前的未分类粒子中选取粒子加入类C_i,r(t)中，具体为：

分别在集合K_i(t)当前的未分类粒子中和类C_i,r(t)当前的粒子中选取距离最近的两个粒子进行检测，具体的：设X_e′(t)为集合K_i(t)中的未分类粒子e′在t时刻的位置，X_s(t)为类C_i,r(t)中的粒子s在t时刻的位置，X_a′(t)为集合K_i(t)中的未分类粒子a′在t时刻的位置，X_b(t)为类C_i,r(t)中的粒子b在t时刻的位置，当未分类粒子e′和粒子s满足：

即未分类粒子e′和粒子s分别为集合K_i(t)当前的未分类粒子中和类C_i,r(t)当前的粒子中距离最近的两个粒子，则对未分类粒子e′和粒子s进行检测，检测方式为：

(1)当未分类粒子e′和粒子s满足：|X_e′(t)-X_s(t)|>H_i,r,k′(t)时，则停止在集合K_i(t)当前的未分类粒子中选取粒子加入类C_i,r(t)中，并对集合K_i(t)当前的未分类粒子进行下一次的迭代聚类；

(2)当未分类粒子e′和粒子s满足：|X_e′(t)-X_s(t)|≤H_i,r,k′(t)时，则将未分类粒子e′加入类C_i,r(t)中，当此时集合K_i(t)中的未分类粒子的个数为0时，则停止对集合K_i(t)中的未分类粒子进行迭代聚类，当此时集合K_i(t)中的未分类粒子的个数不为0时，则按照上述方式根据确定的类度量阈值H_i,r,k′(t)继续在集合K_i(t)当前的未分类粒子中选取粒子加入类C_i,r(t)中。

10.根据权利要求1所述的基于核心算法、机器学习和云计算的网络安全检测系统，其特征在于：所述从计算机网络流量中采集、获取原始数据的时间序列包括：

设计算机流量传输为每秒t字节，通过第一个原始数据的簇数在第n秒传输完成的时间作为时间序列的起始点，依次计算下一个时间序列；所述从计算机网络流量中采集、获取原始数据的时间序列具体为：

其中，

为第h个时间序列，d_n第n秒内传输的字节数，d_min为前面h-1个时间序列传输的最小字节数，T_h为第h个时间序列中传输的总簇数。

Images