CN117336195B - 一种基于雷达图法的入侵检测模型综合性能评估方法 - Google Patents

Abstract

本发明公开了一种基于雷达图法的入侵检测模型综合性能评估方法，包括：一、训练数据集的获取；二、建立CNN神经网络模型并训练；三、建立支持向量机模型并训练；四、建立极限学习机模型并训练；五、基于雷达图对CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行综合性能评估；六、待测系统网络流量数据进行实时检测，并将获取的待测系统网络流量数据输入最优入侵检测模型中预测得到网络状态类型。本发明方法步骤简单、设计合理，基于雷达图法面积评价值和周长评价值获取最优入侵检测模型，并利用最优入侵检测模型对待测系统网络流量数据预测，提高了预测的准确性。

Description

一种基于雷达图法的入侵检测模型综合性能评估方法

技术领域

本发明属于航天测控安全技术领域，具体涉及一种基于雷达图法的入侵检测模型综合性能评估方法。

背景技术

航天测控领域是一个高度复杂和关键的领域，它的安全性对于航天任务的成功和国家安全具有重要意义。随着网络攻击和异常行为的不断增加，航天测控领域面临着越来越多的安全威胁。网络入侵检测技术是一种有效的网络安全技术，可以对网络中的异常行为进行实时检测和阻止。

在航天测控领域中，入侵检测技术可以有效地保障系统的安全性，防止网络攻击和异常行为对航天任务的影响。然而，单纯依靠入侵检测技术并不能完全保障系统的安全性，因为入侵检测系统也可能存在误报、漏报等问题。则需要综合性能评估方法来评估系统入侵检测的性能，以确保其能够有效地保障系统的安全性。

传统的系统入侵检测性能评估方法采用的指标存在一定的单一片面性，无法全面评估系统入侵检测的性能。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种基于雷达图法的入侵检测模型综合性能评估方法，其方法步骤简单、设计合理，基于雷达图法面积评价值和周长评价值获取最优入侵检测模型，并利用最优入侵检测模型对待测系统网络流量数据预测，提高了预测的准确性。

为解决上述技术问题，本发明采用的技术方案是：一种基于雷达图法的入侵检测模型综合性能评估方法，其特征在于，该方法包括以下步骤：

步骤一、训练数据集的获取：

步骤101、从NSL-KDD数据集中选择正常网络流量数据和异常网络流量数据，作为训练数据集和测试数据集；其中，训练数据集的个数为M，测试数据集的个数为N，M和N均为正整数，M大于N；所述异常网络流量数据中包括四种入侵异常类别，且四种入侵异常类别分别为Probe、DoS、U2R和R2L；

步骤102、将训练数据集中M个训练数据的网络状态类型分别进行标记；其中，网络状态类型分别为1、2、3、4、5；1即Normal，2即Probe，3即DoS，4即U2R，5即R2L；

步骤二、建立CNN神经网络模型并训练：

步骤201、建立CNN神经网络模型；

步骤202、将M个训练数据划分为多组，每组输入CNN神经网络模型中进行训练，得到训练好的CNN神经网络模型；

步骤三、建立支持向量机模型并训练：

步骤301、建立四个支持向量机模型；

步骤302、将M个训练数据依次经过四个支持向量机模型进行训练分类，得到训练好的四个支持向量机模型；

步骤四、建立极限学习机模型并训练：

步骤401、采用计算机建立极限学习机模型；其中，极限学习机模型输入层的节点数为41个，将每个训练数据的41个特征作为极限学习机模型的输入；极限学习机模型输出层的节点数为1个，将网络状态类型作为极限学习机模型的输出；

步骤402、将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型；

步骤五、基于雷达图对CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行综合性能评估：

步骤501、将CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型分别记作第1个入侵检测模型，第2个入侵检测模型和第3个入侵检测模型；

步骤502、采用计算机将测试数据集输入训练好的CNN神经网络模型，对测试数据集进行分类，并获取第1个入侵检测模型分类对应的精确率、对数损失、马修斯相关系数MCC、AUC、平均准确率；

步骤503、采用计算机将（MCC+1）/2，得到修正后马修斯相关系数，然后基于第1个入侵检测模型分类对应的精确率、对数损失、修正后马修斯相关系数、AUC、平均准确率得到第一个雷达图，并得到第一个雷达图对应的面积和周长；

步骤504、按照步骤502至步骤503的方法，得到第2个入侵检测模型的第二个雷达图对应的面积和周长；

步骤505、按照步骤502至步骤503的方法，得到第3个入侵检测模型的第二个雷达图对应的面积和周长；

步骤506、采用计算机将第个入侵检测模型的第/>个雷达图对应的面积记作/>，周长记作/>；其中，/>为正整数，且/>；

步骤507、采用计算机根据公式，得到第/>个入侵检测模型的面积评价值/>和周长评价值/>；根据公式/>，得到第/>个入侵检测模型的综合评价指标/>；

步骤508、选取综合评价指标最大值所对应的入侵检测模型为最优入侵检测模型；

步骤六、待测系统网络流量数据进行实时检测，并将获取的待测系统网络流量数据输入最优入侵检测模型中预测得到网络状态类型。

上述的一种基于雷达图法的入侵检测模型综合性能评估方法，其特征在于：步骤201中CNN神经网络模型包括输入层、卷积层、下采样层、全连接层和输出层；输入层为41×41，卷积层中卷积核的数量为8，卷积核的大小为5×5，滑动步长为1；下采样层中池化核为3×3，滑动步长为2；输出层为5个节点分别对五种网络状态类型；

步骤301中每个支持向量机模型中设置核函数为高斯核函数，误差项惩罚系数为[0.1,2]，核函数系数为[0.01,10]，最大迭代次数为200次～1000次；

步骤401中极限学习机模型隐含层的节点数为n，且n取值为50～100的自然数。

上述的一种基于雷达图法的入侵检测模型综合性能评估方法，其特征在于：步骤302中将M个训练数据依次经过四个支持向量机模型进行训练分类，得到训练好的四个支持向量机模型，具体过程如下：

步骤3021、四个支持向量机模型分别为第一支持向量机模型、第二支持向量机模型、第三支持向量机模型和第四支持向量机模型；

步骤3022、将任一个训练数据输入第一支持向量机模型训练分类为第一类为正常网络流量，第二类为入侵异常；

步骤3023、将第二类输入第二支持向量机模型训练分类为第三类为Probe，第四类不属于Probe；

步骤3024、将第四类输入第三支持向量机模型训练分类为第五类为DoS，第六类不属于DoS；

步骤3025、将第六类输入第四支持向量机模型训练分类为第七类为U2R，第八类为R2L；

步骤3026、多次重复步骤3022至步骤3025，完成M个训练数据的训练，完成一次迭代训练；

步骤3027、多次重复步骤3022至步骤3026，完成最大迭代次数训练，得到训练好的四个支持向量机模型。

上述的一种基于雷达图法的入侵检测模型综合性能评估方法，其特征在于：步骤402中将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型,具体过程如下:

步骤4021、采用计算机设置激活函数为Sigmiod函数、ReLU函数或者Tanh函数，对n取值为50～100的自然数时所对应的不同隐含层节点数的极限学习机模型进行训练；其中，第i个训练样本包括第i个训练数据的41个特征和第i个训练数据的网络状态类型；其中，1≤i≤M；

步骤4022、采用计算机将不同激活函数下第i个训练样本在第j个隐含层节点数时极限学习机模型的输出值和第i个训练数据的网络状态类型进行比较，如果输出值和第i个训练数据的网络状态类型相同，则标记极限学习机模型预测正确，否则，极限学习机模型预测错误；其中，j为正整数，50≤j≤100；

步骤4023、多次重复步骤4022判断，得到M训练样本在第j个隐含层节点数时，极限学习机模型预测错误的数量；其中，极限学习机模型预测错误的数量的初始值为零；

步骤4024、采用计算机根据极限学习机模型预测错误的数量与M之比，得到不同激活函数下第j个隐含层节点数所对应的极限学习机模型的误差；并将误差按照从小到大的顺序进行排序，则误差最小值所对应的极限学习机模型为训练好的极限学习机模型。

本发明与现有技术相比具有以下优点：

1、本发明方法步骤简单，设计合理，解决目前入侵检测模型综合性能评估的问题。

2、本发明建立CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行训练，得到三个训练好的入侵检测模型，便于后续评估最优入侵检测模型。

3、本发明基于雷达图对CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行综合性能评估，且通过面积评价值和周长评价值综合评估，避免单一指标评估的问题，提高了入侵检测模型的综合性能，进而对待测系统网络流量数据预测，提高了预测的准确性。

综上所述，本发明方法步骤简单、设计合理，基于雷达图法面积评价值和周长评价值获取最优入侵检测模型，并利用最优入侵检测模型对待测系统网络流量数据预测，提高了预测的准确性。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为本发明的方法流程框图。

具体实施方式

如图1所示，本发明基于雷达图法的入侵检测模型综合性能评估方法，包括以下步骤：

步骤一、训练数据集的获取：

步骤101、从NSL-KDD数据集中选择正常网络流量数据和异常网络流量数据，作为训练数据集和测试数据集；其中，训练数据集的个数为M，测试数据集的个数为N，M和N均为正整数，M大于N；所述异常网络流量数据中包括四种入侵异常类别，且四种入侵异常类别分别为Probe、DoS、U2R和R2L；

步骤102、将训练数据集中M个训练数据的网络状态类型分别进行标记；其中，网络状态类型分别为1、2、3、4、5；1即Normal，2即Probe，3即DoS，4即U2R，5即R2L；

步骤二、建立CNN神经网络模型并训练：

步骤201、建立CNN神经网络模型；

步骤202、将M个训练数据划分为多组，每组输入CNN神经网络模型中进行训练，得到训练好的CNN神经网络模型；

步骤三、建立支持向量机模型并训练：

步骤301、建立四个支持向量机模型；

步骤302、将M个训练数据依次经过四个支持向量机模型进行训练分类，得到训练好的四个支持向量机模型；

步骤四、建立极限学习机模型并训练：

步骤401、采用计算机建立极限学习机模型；其中，极限学习机模型输入层的节点数为41个，将每个训练数据的41个特征作为极限学习机模型的输入；极限学习机模型输出层的节点数为1个，将网络状态类型作为极限学习机模型的输出；

步骤402、将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型；

步骤五、基于雷达图对CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行综合性能评估：

步骤501、将CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型分别记作第1个入侵检测模型，第2个入侵检测模型和第3个入侵检测模型；

步骤502、采用计算机将测试数据集输入训练好的CNN神经网络模型，对测试数据集进行分类，并获取第1个入侵检测模型分类对应的精确率、对数损失、马修斯相关系数MCC、AUC、平均准确率；

步骤503、采用计算机将（MCC+1）/2，得到修正后马修斯相关系数，然后基于第1个入侵检测模型分类对应的精确率、对数损失、修正后马修斯相关系数、AUC、平均准确率得到第一个雷达图，并得到第一个雷达图对应的面积和周长；

步骤504、按照步骤502至步骤503的方法，得到第2个入侵检测模型的第二个雷达图对应的面积和周长；

步骤505、按照步骤502至步骤503的方法，得到第3个入侵检测模型的第二个雷达图对应的面积和周长；

步骤506、采用计算机将第个入侵检测模型的第/>个雷达图对应的面积记作/>，周长记作/>；其中，/>为正整数，且/>；

步骤507、采用计算机根据公式，得到第/>个入侵检测模型的面积评价值/>和周长评价值/>；根据公式/>，得到第/>个入侵检测模型的综合评价指标/>；/>表示圆周率；

步骤508、选取综合评价指标最大值所对应的入侵检测模型为最优入侵检测模型；

步骤六、待测系统网络流量数据进行实时检测，并将获取的待测系统网络流量数据输入最优入侵检测模型中预测得到网络状态类型。

本实施例中，步骤201中CNN神经网络模型包括输入层、卷积层、下采样层、全连接层和输出层；输入层为41×41，卷积层中卷积核的数量为8，卷积核的大小为5×5，滑动步长为1；下采样层中池化核为3×3，滑动步长为2；输出层为5个节点分别对五种网络状态类型；

步骤301中每个支持向量机模型中设置核函数为高斯核函数，误差项惩罚系数为[0.1,2]，核函数系数为[0.01,10]，最大迭代次数为200次～1000次；

步骤401中极限学习机模型隐含层的节点数为n，且n取值为50～100的自然数。

本实施例中，步骤302中将M个训练数据依次经过四个支持向量机模型进行训练分类，得到训练好的四个支持向量机模型，具体过程如下：

步骤3021、四个支持向量机模型分别为第一支持向量机模型、第二支持向量机模型、第三支持向量机模型和第四支持向量机模型；

步骤3022、将任一个训练数据输入第一支持向量机模型训练分类为第一类为正常网络流量，第二类为入侵异常；

步骤3023、将第二类输入第二支持向量机模型训练分类为第三类为Probe，第四类不属于Probe；

步骤3024、将第四类输入第三支持向量机模型训练分类为第五类为DoS，第六类不属于DoS；

步骤3025、将第六类输入第四支持向量机模型训练分类为第七类为U2R，第八类为R2L；

步骤3026、多次重复步骤3022至步骤3025，完成M个训练数据的训练，完成一次迭代训练；

步骤3027、多次重复步骤3022至步骤3026，完成最大迭代次数训练，得到训练好的四个支持向量机模型。

本实施例中，步骤402中将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型，具体过程如下:

步骤4021、采用计算机设置激活函数为Sigmiod函数、ReLU函数或者Tanh函数，对n取值为50～100的自然数时所对应的不同隐含层节点数的极限学习机模型进行训练；其中，第i个训练样本包括第i个训练数据的41个特征和第i个训练数据的网络状态类型；其中，1≤i≤M；

步骤4022、采用计算机将不同激活函数下第i个训练样本在第j个隐含层节点数时极限学习机模型的输出值和第i个训练数据的网络状态类型进行比较，如果输出值和第i个训练数据的网络状态类型相同，则标记极限学习机模型预测正确，否则，极限学习机模型预测错误；其中，j为正整数，50≤j≤100；

步骤4023、多次重复步骤4022判断，得到M训练样本在第j个隐含层节点数时，极限学习机模型预测错误的数量；其中，极限学习机模型预测错误的数量的初始值为零；

步骤4024、采用计算机根据极限学习机模型预测错误的数量与M之比，得到不同激活函数下第j个隐含层节点数所对应的极限学习机模型的误差；并将误差按照从小到大的顺序进行排序，则误差最小值所对应的极限学习机模型为训练好的极限学习机模型。

本实施例中，每个训练数据的41个特征，M为4100个，则步骤202中M个训练数据划分为M/41即100组，每组为输入层的41×41。

本实施例中，N为1000，通过测试数据集对最优入侵检测模型进行验证，以满足入侵检测要求。

本实施例中，Normal表示正常网络流量数据；

Probe表示探测攻击，即通过扫描网络收集信息；

DoS表示拒绝服务，即dos攻击通过向目标服务器发送大量流量或信息致使目标无法被访问；

R2L表示远程入侵，即远程用户攻击利用安全漏洞，通过远程登陆计算机进行非法操作；

U2R表示获取权限，即通过非法手段获取root权；

本实施例中，卷积层中填充中p取零。

本实施例中，精确率、对数损失、马修斯相关系数、AUC、平均准确率的获取采用本领域常规方式。

综上所述，本发明方法步骤简单、设计合理，基于雷达图法面积评价值和周长评价值获取最优入侵检测模型，并利用最优入侵检测模型对待测系统网络流量数据预测，提高了预测的准确性。

以上所述，仅是本发明的较佳实施例，并非对本发明作任何限制，凡是根据本发明技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化，均仍属于本发明技术方案的保护范围内。

Claims (3)

1.一种基于雷达图法的入侵检测模型综合性能评估方法，其特征在于，该方法包括以下步骤：

步骤一、训练数据集的获取：

步骤101、从NSL-KDD数据集中选择正常网络流量数据和异常网络流量数据，作为训练数据集和测试数据集；其中，训练数据集中训练数据的个数为M，测试数据集的个数为N，M和N均为正整数，M大于N；所述异常网络流量数据中包括四种入侵异常类别，且四种入侵异常类别分别为Probe、DoS、U2R和R2L；

步骤102、将训练数据集中M个训练数据的网络状态类型分别进行标记；其中，网络状态类型分别为1、2、3、4、5；1即Normal，2即Probe，3即DoS，4即U2R，5即R2L；

步骤二、建立CNN神经网络模型并训练：

步骤201、建立CNN神经网络模型；

步骤202、将M个训练数据划分为多组，每组输入CNN神经网络模型中进行训练，得到训练好的CNN神经网络模型；

步骤三、建立支持向量机模型并训练：

步骤301、建立四个支持向量机模型；

步骤302、将M个训练数据依次经过四个支持向量机模型进行训练分类，得到训练好的四个支持向量机模型；

步骤四、建立极限学习机模型并训练：

步骤401、采用计算机建立极限学习机模型；其中，极限学习机模型输入层的节点数为41个，将每个训练数据的41个特征作为极限学习机模型的输入；极限学习机模型输出层的节点数为1个，将网络状态类型作为极限学习机模型的输出；

步骤402、将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型；

步骤五、基于雷达图对CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行综合性能评估：

步骤501、将CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型分别记作第1个入侵检测模型，第2个入侵检测模型和第3个入侵检测模型；

步骤502、采用计算机将测试数据集输入训练好的CNN神经网络模型，对测试数据集进行分类，并获取第1个入侵检测模型分类对应的精确率、对数损失、马修斯相关系数MCC、AUC、平均准确率；

步骤503、采用计算机将（MCC+1）/2，得到修正后马修斯相关系数，然后基于第1个入侵检测模型分类对应的精确率、对数损失、修正后马修斯相关系数、AUC、平均准确率得到第一个雷达图，并得到第一个雷达图对应的面积和周长；

步骤504、按照步骤502至步骤503的方法，得到第2个入侵检测模型的第二个雷达图对应的面积和周长；

步骤505、按照步骤502至步骤503的方法，得到第3个入侵检测模型的第二个雷达图对应的面积和周长；

步骤506、采用计算机将第个入侵检测模型的第/>个雷达图对应的面积记作/>，周长记作/>；其中，/>为正整数，且/>；

步骤507、采用计算机根据公式，得到第/>个入侵检测模型的面积评价值/>和周长评价值/>；根据公式/>，得到第/>个入侵检测模型的综合评价指标/>；

步骤508、选取综合评价指标最大值所对应的入侵检测模型为最优入侵检测模型；

步骤六、待测系统网络流量数据进行实时检测，并将获取的待测系统网络流量数据输入最优入侵检测模型中预测得到网络状态类型；

步骤302中将M个训练数据依次经过四个支持向量机模型进行训练分类，得到训练好的四个支持向量机模型，具体过程如下：

步骤3021、四个支持向量机模型分别为第一支持向量机模型、第二支持向量机模型、第三支持向量机模型和第四支持向量机模型；

步骤3022、将任一个训练数据输入第一支持向量机模型训练分类为第一类为正常网络流量，第二类为入侵异常；

步骤3023、将第二类输入第二支持向量机模型训练分类为第三类为Probe，第四类不属于Probe；

步骤3024、将第四类输入第三支持向量机模型训练分类为第五类为DoS，第六类不属于DoS；

步骤3025、将第六类输入第四支持向量机模型训练分类为第七类为U2R，第八类为R2L；

步骤3026、多次重复步骤3022至步骤3025，完成M个训练数据的训练，完成一次迭代训练；

步骤3027、多次重复步骤3022至步骤3026，完成最大迭代次数训练，得到训练好的四个支持向量机模型。

2.按照权利要求1所述的一种基于雷达图法的入侵检测模型综合性能评估方法，其特征在于：步骤201中CNN神经网络模型包括输入层、卷积层、下采样层、全连接层和输出层；输入层为41×41，卷积层中卷积核的数量为8，卷积核的大小为5×5，滑动步长为1；下采样层中池化核为3×3，滑动步长为2；输出层为5个节点分别对五种网络状态类型；

步骤301中每个支持向量机模型中设置核函数为高斯核函数，误差项惩罚系数为[0.1,2]，核函数系数为[0.01,10]，最大迭代次数为200次～1000次；

步骤401中极限学习机模型隐含层的节点数为n，且n取值为50～100的自然数。

3.按照权利要求1所述的一种基于雷达图法的入侵检测模型综合性能评估方法，其特征在于：步骤402中将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型,具体过程如下:

步骤4021、采用计算机设置激活函数为Sigmiod函数、ReLU函数或者Tanh函数，对n取值为50～100的自然数时所对应的不同隐含层节点数的极限学习机模型进行训练；其中，第i个训练样本包括第i个训练数据的41个特征和第i个训练数据的网络状态类型；其中，1≤i≤M；

步骤4022、采用计算机将不同激活函数下第i个训练样本在第j个隐含层节点数时极限学习机模型的输出值和第i个训练数据的网络状态类型进行比较，如果输出值和第i个训练数据的网络状态类型相同，则标记极限学习机模型预测正确，否则，极限学习机模型预测错误；其中，j为正整数，50≤j≤100；

步骤4023、多次重复步骤4022判断，得到M训练样本在第j个隐含层节点数时，极限学习机模型预测错误的数量；其中，极限学习机模型预测错误的数量的初始值为零；

步骤4024、采用计算机根据极限学习机模型预测错误的数量与M之比，得到不同激活函数下第j个隐含层节点数所对应的极限学习机模型的误差；并将误差按照从小到大的顺序进行排序，则误差最小值所对应的极限学习机模型为训练好的极限学习机模型。