【技术实现步骤摘要】
一种基于ELM和深度森林的混合模型异常流量检测系统及方法
[0001]本专利技术涉及网络安全检测
,具体但不限于涉及一种基于ELM和深度森林的混合模型异常流量检测系统及方法。
技术介绍
[0002]根据互联网安全威胁报告(简称ISTR),现阶段互联网环境有一些加密劫持犯罪分子通过加密劫持脚本,导致一些设备由于CPU占用率高而无法使用,网络攻击频繁发生,防不甚防,此外随着物联网系统普及,许多无线传感器这种资源受限终端组成的物联网系统因为大规模的使用和长期环境开放,越来越多的成为恶意第三方的攻击目标,有着越来越多的、快速的、低功耗的异常流量检测需求。
[0003]现有的入侵检测通常借助传统机器学习和深度学习算法,将异常检测作为二值分类问题,用正常数据和异常数据建立有监督、半监督或无监督的学习模型,取得了不错的效果,特别是在视觉任务中取得成功的深度学习算法,近年来被国内外相关研究机构大量尝试并应用在异常流量领域。
[0004]深度学习采用训练多个单层非线性网络发现并且刻画问题内部复杂的结构特征,故而能够表达数据的本质特征,具备很强的泛化能力,并且在异常流量检测方向得出的准确性越来越高。但是它也需要越来越大的计算开销,同时具有太多超参数,学习性能严重依赖于仔细的参数调优,训练干扰因素太多,需要大量的训练数据,收敛速度较慢,耗时较长,很难应用于只有小规模训练数据的任务。
[0005]针对上述问题,深度森林有比深度神经网络更少的超参数,对超参数设置也有很强的鲁棒性优势。深度森林是基于不可微模块建立的...
【技术保护点】
【技术特征摘要】
1.一种基于ELM和深度森林的混合模型异常流量检测方法,其特征在于,包括:步骤1:对无线传感器的资源限制节点中的底层成员节点收集的实时流量数据进行数据清洗、特征提取和数据降维;步骤2:在无线传感器网络中的不同节点部署极限学习机ELM模型和深度森林模型,进行混合异常流量检测,并输出异常流量检测结果;步骤3:无线传感器中的管理节点根据准确率、AUC作为评估指标对更新的数据集进行深度森林模型重训练,其中,AUC为ROC曲线下的面积。2.根据权利要求1所述的基于ELM和深度森林的混合模型异常流量检测方法,其特征在于,步骤1具体包括:S1
‑
1:剔除实时流量数据中存在的非数值和无穷大数值等脏数据;S1
‑
2:对捕捉到的完整网络信息,参照BOT
‑
IOT数据集选择其中对异常流量检测影响较大的30维数据,以30维特征为基础新增14维新特征,主要为每个源/目标IP总包数量等统计数据;S1
‑
3:对处理后的数据进行归一化、标准化操作,形成共计54维特征的预处理后流量数据。3.根据权利要求1所述的基于ELM和深度森林的混合模型异常流量检测方法,其特征在于,步骤2具体包括:步骤2
‑
1:通过无线传感器中的管理节点向成员节点部署ELM模型;步骤2
‑
2:通过无线传感器中的管理节点向汇聚节点部署深度森林模型;步骤2
‑
3:在成员节点中对降维后的实时流量数据进行ELM快速检测,并根据检测结果对该流量数据添加数据特征,若检测结果是正常流量,则其数据特征标记为正常值并通过,若检测结果是异常流量,则其数据特征标记为异常值;步骤2
‑
4:在汇聚节点中删除异常流量的数据特征标记,再采用深度森林模型对前述异常流量进行二次检测,并根据二次检测结果对该流量数据添加数据特征作为其最终的特征值,并将数据汇总融合到管理节点中。4.根据权利要求3所述的基于ELM和深度森林的混合模型异常流量检测方法,其特征在于,步骤2
‑
1中部署的ELM模型的预训练过程包括:步骤2
‑1‑
1:输入训练样本X
train
,样本大小为[row0,col0],将步骤1中预处理后的BOT
‑
IOT数据集根据8:2比例分为训练集和测试集,X
train
为训练集,row0为训练样本的数量,col0为训练样本的特征维数;隐藏层单元个数为n,n为正整数;步骤2
‑1‑
2:初始化ELM模型的权重w和偏差b,w取值范围为[col0,n],b取值范围为[row0,n];步骤2
‑1‑
3:根据公式h=g(w
·
X
train
+b)计算ELM模型的非线性映射,其中,g(x)为激活函数,h为ELM模型的非线性映射,X
train
为训练样本,通过求h的逆矩阵H得到隐藏层的输出,H大小为[n,row0];步骤2
‑1‑
4:对数据集中的数据标签进行独热编码,并计算得到β=H
·
T,其中数据标签表示该条数据是否为异常流量,T为标签数据独热编码后的值,β表示输出权重,大小为[n,2];步骤2
‑1‑
5:对输入的实时流量数据X
test
计算h1=g(w
·
X
test
+b),h1为测试的实时流量数
据在ELM模型的非线性...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。