一种智能优化规则的网络入侵检测分类方法,该方法包含两部分:量子粒子群算法和C-支持向量机分类器(C-SVM)两部分。本发明专利技术首先利用量子粒子群算法对网络历史数据进行聚类,根据不同的聚类计算出智能规则,然后采用C-支持向量机分类器(C-SVM)分别对其进行分类,从而判断出当前计算机网络是否受到攻击以及何种攻击。该方法将量子粒子群算法的全局搜索优化能力强的特点进行聚类,并结合C-支持向量机分类器(C-SVM),一定程度上解决了传统入侵检测方法耗时长,检测率低等问题。在国际标准数据上的模拟测试结果表明,本发明专利技术提供的方法对于网络入侵检测的效果优于其它三种入侵检测方法。
【技术实现步骤摘要】
一种智能优化规则的网络入侵检测分类方法
本专利技术涉及网络入侵检测
,尤其涉及一种基于智能优化规则的网络入侵检测分类方法。
技术介绍
入侵检测是对网络入侵的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。常用的入侵检测方法可分为特征检测与异常检测两种。特征检测的难点是无法检测出未知的入侵行为。异常检测的难点是如何建立正常行为特征库来避免把正常的行为当作入侵行为。近年来,研究智能优化技术在入侵检测领域中的应用逐渐成为一个热门课题。其中,基于无监督学习的聚类算法虽然能发现未知的攻击类型,但对已知攻击类型存在检测率低,不能确定确切类型等问题。基于监督学习的分类算法又由于训练样本的选取等问题,经常出现“过拟合”的问题,导致检测率降低。
技术实现思路
本专利技术针对基于无监督学习的入侵检测聚类算法检测率低,基于监督学习的入侵检测算法的选取训练样本困难等问题,提供一种智能优化规则的网络入侵检测分类方法。通过在国际标准数据集(10%KDDCup99实验数据集)上测试,对比其他入侵检测算法的整体检测效果,该算法的整体检测效果较优于其它入侵检测算法。本专利技术技术方案:一种智能优化规则的网络入侵检测分类方法,所述方法包括以下步骤:第1步、对10%KDDCup99数据集进行预处理,将预处理后的数据集分为训练集和测试集两部分;第2步、将训练集中的训练数据输入到量子粒子群算法指导聚类中心的选取;第3步、对每个聚类簇中的样本构造一个C-支持向量机分类器(C-SVM),获得多个候选C-支持向量机分类器(C-SVM);第4步、对于测试集的每条连接数据,计算该条连接数据到各个聚类中心的距离,选择距离最近的聚类中心所对应的C-支持向量机分类器(C-SVM)对该条连接数据进行识别,输出结果。第1步中所述数据预处理的方法包括以下步骤:第1.1步、文本数值化:将符号类型数据变换为数值类型。在10%KDDCup99数据集中,protocol(协议)、服务service、连接状态flag三个属性是符号型变量,为了满足本专利技术分类算法的数据要求,需要对这些符号类型数据进行数值化,变换为数值类型数据;第1.2步、数值归一化:利用平均值标准差法对10%KDDCup99数据集进行数值归一化处理,避免造成“大数吞小数”的现象;第1.3步、将10%KDDCup99数据集随机选取其中的80%为训练数据集,其余20%作为测试集;第2步所述的利用量子粒子群算法进行聚类中心的选取过程包括以下步骤:第2.1步、初始化粒子位置得到每个粒子的坐标Xi=(Xi1,Xi2,…,Xin)、速度Vi=(Vi1,Vi2,…,Vin)、个体极值Pi=(Pi1,Pi2,…,Pin)、全局极值Pg=(Pg1,Pg2,…,Pgn)。其中n代表聚类数目,例如:Xij代表第i个粒子所表示的第j个聚类中心的坐标。并指定最大迭代次数MaxIter=50;第2.2步、定义粒子的性能函数:计算每个粒子的性能,Ji代表聚类中心i的性能,其中ci为模糊组i的聚类中心,共有k个聚类中心,dij为聚类中心i数据点j间的欧几里德距离,dij=||ci-xj||,uij表示隶属矩阵U的元素值,每个隶属度元素uij表示数据点j隶属于聚类中心i的程度,为了与引入模糊划分相适应,隶属矩阵U允许有取值在0、1间的元素。并且,规定一个数据集的隶属度的和等于1;第2.3步、更新每个粒子的平均最优位置mbset,更新方程为:设适应度函数的目标函数f(X)=J(U,c1,c2,…,ck),那么每个粒子i的局部最优位置如公式所示:然后设粒子群中的粒子数为s,利用如下公式更新全局最优位置Pg;Pg(t)∈{P0(t),P1(t),…,Ps(t)};f(Pg(t))=max{f(P0(t)),f(P1(t)),…,f(Ps(t))};在上述公式中β为收缩扩张系数,β1与β2分别代表β的初始值和最终值。Pi为第i个粒子的个体极值pbset,Pg为全局最优,M为粒子的数目,Maxlter为最大的迭代次数,t是当前的迭代次数。一般取β1=1.2,β2=0.7能取得较好的收敛性;第2.4步、重新计算每个粒子的平均最优位置mbset,随机点rand,新位置Xi(t+1);第2.5步、判断是否满足终止条件即Maxlter=50,如果满足则输出结果,停止算法,否则返回第2.2步进行计算;第3步所述C-支持向量机分类器(C-SVM)构造过程包括以下步骤:第3.1步、选用C-支持向量机分类器(C-SVM)作为单个二分类器模型,令训练样本的类别标签yi∈{-1,1},i=1,…,m,m为训练样本的数目,为求解两类样本的分类超平面wx+b=0,求解优化问题:s.t.yi(wTφ(xi)+b)≥1-ξi(ξi≥0,i=1,…,m);其中C为惩罚参数,ξi为松弛变量;第3.2步、利用拉格朗日乘子法和KTT条件,将以上的优化问题转成对偶问题其中λi为拉格朗日乘子,φ(x)为将x从低维空间映射到高维空间的映射函数;第3.3步、利用序列最小优化算法(SMO)求得λi,i=1,…,m,得:其中k∈{1,…,m}且λk≠0,mk为满足条件k的数目;第3.4步、引入高斯核函数:其中σ为核宽度,令核宽度σ=0.25,k(xi,xj)=φ(xi)Tφ(xj),构造决策函数;根据量子粒子群算法的聚类结果,对每个聚类簇的数据构造“一对一”模式的多分类模型。按照智能规则找到每条连接数据所对应的分类器进行分类,并求分类结果的众数作为最终识别结果。所述的智能规则是:计算连接数据与各个聚类中心点的欧几里得距离,选择距离最近的聚类中心所属的多分类模型进行识别,并求分类结果的众数作为最终识别结果。本专利技术的优点和有益效果:本专利技术首先将10%KDDCup99数据集进行预处理后,导入量子粒子群算法(QPSO)寻求聚类中心最优解,建立智能规则,再对每个规则对应的聚类簇构造一个C-支持向量机分类器(C-SVM)进行分类。该专利技术能有效避免过拟合和维数灾难等问题,具有较强的鲁棒性和检测效果。附图说明图1是本专利技术智能优化规则的网络入侵检测分类算法流程图;图2.是10%KDDCup99数据集预处理流程图。具体实施方式下面结合附图对本专利技术的具体实施方式做进一步的详细说明。下面用量子粒子群算法(QPSO)、C-支持向量机分类器(C-SVM)对本专利技术的方法做具体说明。其中量子粒子群算法(QPSO)主要用于对连接数据进行聚类,C-支持向量机分类器(C-SVM)主要用于入侵检测数据的分类;图1对本专利技术提供的一种智能优化规则的网络入侵检测分类方法进行了详细步骤说明,本专利技术提供的方法包括以下步骤:第1步、将10%KDDCup99数据集进行预处理,然后将处理后的10%KDDCup99数据集分成训练集和测试集两部分;如图2所示,本专利技术中10%KDDCup99数据集预处理主要包括如下步骤:第1.1步、文本数值化:将符号类型数据变换为数值类型。在10%KDDCup99数据集中,protocol(协议)、service(服务)、flag(连接状态)三个属性是符号型变量,为了满足本专利技术分类算法的数据要求,需要对这本文档来自技高网...
【技术保护点】
一种智能优化规则的网络入侵检测分类方法,其特征包括以下步骤:第1步、对国际标准数据集(10%KDDCup99)进行预处理,将预处理后的数据集分为训练集和测试集两部分;第2步、将训练集中的训练数据输入到量子粒子群算法指导聚类中心的选取;第3步、对每个聚类簇中的样本构造一个C‑支持向量机分类器(C‑SVM),获得多个候选C‑支持向量机分类器(C‑SVM);第4步、对于测试集的每条连接数据,计算该条连接数据到各个聚类中心的距离,选择距离最近的聚类中心所对应的C‑支持向量机分类器(C‑SVM)对该条连接数据进行识别,输出结果。
【技术特征摘要】
1.一种智能优化规则的网络入侵检测分类方法,其特征在于,智能规则是:利用量子粒子群算法计算连接数据与各个聚类中心点的欧几里得距离,选择距离最近的聚类中心所属的多分类模型进行识别,并求分类结果的众数作为最终识别结果;所述方法包括以下步骤:第1步、对10%KDDCup99进行预处理,将预处理后的数据集分为训练集和测试集两部分;第2步、将训练集中的训练数据输入到量子粒子群算法指导聚类中心的选取;第3步、对每个聚类簇中的样本构造一个C-支持向量机分类器(C-SVM),获得多个候选C-支持向量机分类器(C-SVM);第4步、对于测试集的每条连接数据,计算该条连接数据到各个聚类中心的距离,选择距离最近的聚类中心所对应的C-支持向量机分类器(C-SVM)对该条连接数据进行识别,输出结果。2.根据权利要求1所述的网络入侵检测分类方法,其特征在于:第1步中数据预处理的方法是:第1.1步、文本数值化:将原始数据集进行文本数值化处理,由10%KDDCup99数据集中的每条记录数据既有数值类型又有符号类型数据;因此,在实验中需要将符号类型数据替代为数值类型数据;第1.2步、数值归一化:利用平均值标准差法对10%KDDCup99数据集进行数值归一化处理;第1.3步、随机选取其中的80%为训练集,其余20%作为测试集。3.根据权利要求1所述的网络入侵检测分类方法,其特征在于:第2步所述的将训练集中的训练数据输入到量子粒子群算法指导聚类中心的选取由以下步骤组成:第2.1步、.初始化粒子位置得到每个粒子的坐标Xi=(Xi1,Xi2,...,Xin)、速度Vi=(Vi1,Vi2,...,Vin)、个体极值Pi=(Pi1,Pi2,...,Pin)、全局最优位置Pg=(Pg1,Pg2,...,Pgn);其中n代表聚类数目,Xij代表第i个粒子所表示的第j个聚类中心的坐标;并且指定最大迭代次数MaxIter=50;第2.2步、根据性能函数:计算每个粒子的性能,Ji代表聚类中心i的性能,其中ci为模糊组i的聚类中心,共有k个聚类中心,dij为聚类中心...
【专利技术属性】
技术研发人员:黄玮,张宏坤,王劲松,廖吉平,
申请(专利权)人:天津理工大学,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。