一种基于群体智能算法和孤立森林的网络异常检测方法技术

本发明专利技术公开一种基于文化框架下的群体智能优化算法和孤立森林的网络异常检测方法，包括：将数据集随机划分为训练集与测试集，根据训练集构建面向网络故障检测的孤立森林模型；对人工鱼群算法和捕食者算法进行融合优化，生成一种新的文化框架下的群体智能优化算法；使用群体智能优化算法优化孤立森林模型，从中寻找检测能力好的隔离树参与集成；在测试集上进行网络异常检测的验证。为了弥补孤立森林算法的不足之处，对训练集中已产生的隔离树集合中，通过文化框架下的人工鱼群算法与捕食者算法进行寻找最优子集，使得孤立森林算法既提高网络异常识别精度，又减少隔离树的数量，进而提高运行速度。提高运行速度。提高运行速度。

【技术实现步骤摘要】
一种基于群体智能算法和孤立森林的网络异常检测方法


[0001]本专利技术涉及网络异常检测
，具体涉及一种基于群体智能算法和孤立森林的网络异常检测方法。

技术介绍

[0002]现有的网络故障诊断技术根据正常数据来构建模型，再将与模型不符合的数据划分为异常，具有计算复杂，性能差等不足之处。而孤立森林则是利用异常数据占比少且偏离群体的特点，将其与正常数据快速分割，所以算法本身具有较低的线性时间复杂度和内存需求低等优点。尽管孤立森林在异常检测算法中有一定的优越性，但仍存在一些需要改进的问题：孤立森林的高检测精度依赖大规模隔离树的集成，训练大量隔离树会造成算法效率的降低和更多的内存消耗；在孤立森林中每棵隔离树的检测能力不同，但是它们所具有的投票权重是一样的，所以一些检测能力不足的树可能会对最终检测结果产生负作用。
[0003]鉴于上述缺陷，本专利技术创作者经过长时间的研究和实践终于获得了本专利技术。

技术实现思路

[0004]本专利技术的目的是为了提高传统群体智能优化的收敛速度，弥补易陷入局部最优的不足之处，将人工鱼群与捕食者算法进行融合，提高传统孤立森林算法的检测精度，进而提高网络异常检测率，该专利技术提供一种文化框架下的群体智能算法和孤立森林的网络异常检测方法。
[0005]为实现上述目的，本专利技术提供了一种基于群体智能算法和孤立森林的网络异常检测方法，包括如下步骤：
[0006]S1：训练模型
[0007]将数据集随机划分为训练集与测试集，根据训练集构建面向网络故障检测的孤立森林模型；
[0008]S2：群体智能优化算法
[0009]基于文化算法对人工鱼群算法和捕食者算法进行融合优化，得到一种新的群体智能优化算法：
[0010]文化算法包括种群空间和信仰空间，将种群空间中的种群个体按照捕食者算法机制演化，将信仰空间中的种群个体按照人工鱼群算法机制演化；
[0011]种群空间与信仰空间之间通过接受函数与影响函数组成的通讯协议关联在一起；
[0012]种群空间贡献精英个体给信仰空间，所述精英个体是指种群空间中捕食者算法进化过程中产生的最优解；
[0013]信仰空间经演化后，将较优个体送入种群空间替换其中较差个体，所述较优个体为信仰空间中人工鱼群算法进化过程中产生的识别准确率高的个体，所述较差个体是种群空间中捕食者算法进化过程中产生的识别准确率较低的个体；
[0014]S3：模型优化
[0015]使用群体智能优化算法优化孤立森林模型，将异常识别率作为适应度函数：
[0016]群体智能优化算法从孤立森林模型中寻找准确率高的隔离树参与集成，剔除准确率低的隔离树；最后使用测试集对算法进行效果测试。
[0017]进一步的，所述S1具体包括如下步骤：
[0018]S11：先采集网络异常检测的数据集，将数据集划分为训练集与测试集；从训练集中随机选择n个样本数据点作为子采样集，并构造一棵隔离树，将子采样集放入隔离树的根节点；
[0019]随机选取子采样集中的一个特征w，然后随机选择一个切割值p，切割值p的取值范围在所选特征w的上下介值之间；
[0020]样本数据则被切割值p划分为左右两部分，若di(w)＞p，数据di(w)被划分在右子树，反之则被划分在左子树；
[0021]递归构造新的子节点，直到子节点中只有一个数据项无法继续切割，该隔离树已经达到初始定义好的限定高度；
[0022]S12：构建n棵上述的隔离树，形成孤立森林模型；
[0023]S13：选定测试集中的测试数据x，将其代入孤立森林模型中的每一棵隔离树；
[0024]x表示测试数据，计算其落在每棵隔离树的路径长度h(x)，并计算所有h(x)的平均值E(h(x))；
[0025]根据如下公式求得测试数据x的路径长度c(α)，其中H(i)＝Ln(i)+γ为谐波数，γ为欧拉常数，α为叶子节点数，c(α)为当α确定时h(x)的平均值；
[0026]根据如下公式计算测试数据x的异常分数s(x,α)，
[0027]根据异常分数s(x,α)的值的大小，区分异常点和正常点，将测试集中的异常数据和正常数据分割开。
[0028]进一步的，所述S2中的文化算法对捕食者算法与人工鱼群算法融合优化具体包括如下步骤：
[0029]通过接收操作选取当前种群空间中的较优个体来更新信仰空间，每运行AcceptStep代时，用种群空间中当前的全局最优值来替换信仰空间中的最差个体，AcceptStep的计算公式如下所示；
[0030][0031]其中：AcceptStep为接收操作次数，fix取整函数，MAXIt为种群预先设定的种群最大演化代数，It为种群演化当前代数，BaseNum和DevNum为自由设定常数；
[0032]当满足It％AcceptStep＝0时，用种群空间中当前的全局最优值来替换信仰空间中的最差个体；
[0033]通过影响操作将经演化后信仰空间中的较优个体送入种群空间替换种群空间中的较差个体，
[0034][0035]其中：AffecttStep为影响操作次数，fix取整函数，MAXIt为种群预先设定的种群最大演化代数，It为种群演化当前代数，BaseNum和DevNum为自由设定常数；当满足It％AffecttStep＝0时，用信仰空间中当前的全局最优值来替换种群空间中的最差个体。
[0036]进一步的，所述S2中的人工鱼群算法包括如下步骤：
[0037]S201：初始化设置，包括种群规模、每条人工鱼的初始位置、人工鱼的视野、步长、拥挤度因子、重复次数；
[0038]S202：公告板赋值：计算初始鱼群各个体的适应值，取最优人工鱼状态及其适应值赋予给公告牌；
[0039]S203：行为选择：对每个个体进行评价，对其要执行的行为进行选择，包括觅食、聚群、追尾和随机行为；
[0040]S204：执行人工鱼的行为，更新生成新鱼群；
[0041]S205：公告牌更新：评价所有个体，若某个体的适应值优于公告牌，则将公告牌更新为该适应值；
[0042]S206：当公告牌上的适应值达到算法全局最优解或者达到迭代次数上限时算法结束，否则执行步骤S203。
[0043]进一步的，所述S2中的捕食者算法包括如下步骤：
[0044]S211：初始化阶段，求猎食者在搜索范围内随机初始化位置x
i
；
[0045]S212：猎食者搜索阶段，求猎食者的下一次迭代位置x(t+1)。
[0046]进一步的，所述S211中的初始化位置x
i
通过如下公式计算，x
i
＝rand(1,d).*(ub
‑
lb)+lb,0<i≤N；其中x
i
是猎食者的初始位置，lb是问题变量的最小值，ub是问题变量的最大值，d是问题变量的数量，所述问题变量是指解空间本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于群体智能算法和孤立森林的网络异常检测方法，其特征在于，包括如下步骤：S1：训练模型将数据集随机划分为训练集与测试集，根据训练集构建面向网络故障检测的孤立森林模型；S2：群体智能优化算法基于文化算法对人工鱼群算法和捕食者算法进行融合优化，得到一种新的群体智能优化算法：文化算法包括种群空间和信仰空间，将种群空间中的种群个体按照捕食者算法机制演化，将信仰空间中的种群个体按照人工鱼群算法机制演化；种群空间与信仰空间之间通过接受函数与影响函数组成的通讯协议关联在一起；种群空间贡献精英个体给信仰空间，所述精英个体是指种群空间中捕食者算法进化过程中产生的最优解；信仰空间经演化后，将较优个体送入种群空间替换其中较差个体，所述较优个体为信仰空间中人工鱼群算法进化过程中产生的识别准确率高的个体，所述较差个体是种群空间中捕食者算法进化过程中产生的识别准确率较低的个体；S3：模型优化使用群体智能优化算法优化孤立森林模型，将异常识别率作为适应度函数：群体智能优化算法从孤立森林模型中寻找准确率高的隔离树参与集成，剔除准确率低的隔离树；最后在测试集上测试算法效果。2.如权利要求1所述的基于群体智能算法和孤立森林的网络异常检测方法，其特征在于，所述S1具体包括如下步骤：S11：先采集网络异常检测的数据集，将数据集划分为训练集与测试集；从训练集中随机选择n个样本数据点作为子采样集，并构造一棵隔离树，将子采样集放入隔离树的根节点；随机选取子采样集中的一个特征w，然后随机选择一个切割值p，切割值p的取值范围在所选特征w的上下介值之间；样本数据则被切割值p划分为左右两部分，若di(w)＞p，数据di(w)被划分在右子树，反之则被划分在左子树；递归构造新的子节点，直到子节点中只有一个数据项无法继续切割，该隔离树已经达到初始定义好的限定高度；S12：构建n棵上述的隔离树，形成孤立森林模型；S13：选定测试集中的测试数据x，将其代入孤立森林模型中的每一棵隔离树；x表示测试数据，计算其落在每棵隔离树的路径长度h(x)，并计算所有h(x)的平均值E(h(x))；根据如下公式求得测试数据x的路径长度c(α)，其中H(i)＝Ln(i)+γ为谐波数，γ为欧拉常数，α为叶子节点数，c(α)为当α确定时h(x)的平均
值；根据如下公式计算测试数据x的异常分数s(x，α)：根据异常分数s(x，α)的值的大小，区分异常点和正常点，将测试集中的异常数据和正常数据分割开。3.如权利要求1所述的基于群体智能算法和孤立森林的网络异常检测方法，其特征在于，所述S2中的文化算法对捕食者算法与人工鱼群算法融合优化具体包括如下步骤：通过接收操作选取当前种群空间中的较优个体来更新信仰空间，每运行AcceptStep代时，用种群空间中当前的全局最优值来替换信仰空间中的最差个体，AcceptStep的计算公式如下所示；其中：AcceptStep为接收操作次数，fix取整函数，MAXIt为种群预先设定的种群最大演化代数，It为种群演化当前代数，BaseNum和DevNum为自由设定常数；当满足It％AcceptStep＝0时，用种群空间中当前的全局最优值来替换信仰空间中的最差个体；通过影响操作将经演化后信仰空间中的较优个体送入种群空间替换种群空间中的较差个体，其中：AffecttStep为影响操作次数，fix取整函数，MAXIt为种群预先设定的种群最大演化代数，It为种群演化当前代数，BaseNum和DevNum为自由设定常数；当满足It％AffecttStep＝0时，用信仰空间中的全局最优值来替换种群空间中的最差个体。4.如权利要求3所述的基于群体智能算法和孤立森林的网络异常检测方法，其特征在于，所述人工鱼群算法包括如下步骤：S201：初始化设置，包括种群规模、每条人工鱼的初始位置、人工鱼的视野、步长、拥挤度因子、重复次数；S202：公告板赋值：计算初始鱼群各个体的适应值，取最优人工鱼状态及其适应值...

【专利技术属性】
技术研发人员：张琛，许广德，冯强中，周源，王颜颜，
申请(专利权)人：科大国创软件股份有限公司，
类型：发明
国别省市：