一種智能優(yōu)化規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)分類方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)入侵檢測(cè)技術(shù)領(lǐng)域,尤其涉及一種基于智能優(yōu)化規(guī)則的網(wǎng)絡(luò)入侵 檢測(cè)分類方法。
【背景技術(shù)】
[0002] 入侵檢測(cè)是對(duì)網(wǎng)絡(luò)入侵的檢測(cè)。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù) 據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中 是否存在違反安全策略的行為和被攻擊的跡象。
[0003] 常用的入侵檢測(cè)方法可分為特征檢測(cè)與異常檢測(cè)兩種。特征檢測(cè)的難點(diǎn)是無法檢 測(cè)出未知的入侵行為。異常檢測(cè)的難點(diǎn)是如何建立正常行為特征庫來避免把正常的行為當(dāng) 作入侵行為。
[0004] 近年來,研宄智能優(yōu)化技術(shù)在入侵檢測(cè)領(lǐng)域中的應(yīng)用逐漸成為一個(gè)熱門課題。其 中,基于無監(jiān)督學(xué)習(xí)的聚類算法雖然能發(fā)現(xiàn)未知的攻擊類型,但對(duì)已知攻擊類型存在檢測(cè) 率低,不能確定確切類型等問題。基于監(jiān)督學(xué)習(xí)的分類算法又由于訓(xùn)練樣本的選取等問題, 經(jīng)常出現(xiàn)"過擬合"的問題,導(dǎo)致檢測(cè)率降低。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明針對(duì)基于無監(jiān)督學(xué)習(xí)的入侵檢測(cè)聚類算法檢測(cè)率低,基于監(jiān)督學(xué)習(xí)的入侵 檢測(cè)算法的選取訓(xùn)練樣本困難等問題,提供一種智能優(yōu)化規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)分類方法。 通過在國(guó)際標(biāo)準(zhǔn)數(shù)據(jù)集(10%KDDCUP99實(shí)驗(yàn)數(shù)據(jù)集)上測(cè)試,對(duì)比其他入侵檢測(cè)算法的整 體檢測(cè)效果,該算法的整體檢測(cè)效果較優(yōu)于其它入侵檢測(cè)算法。
[0006] 本發(fā)明技術(shù)方案:
[0007] -種智能優(yōu)化規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)分類方法,所述方法包括以下步驟:
[0008] 第1步、對(duì)10% KDDCUP99數(shù)據(jù)集進(jìn)行預(yù)處理,將預(yù)處理后的數(shù)據(jù)集分為訓(xùn)練集和 測(cè)試集兩部分;
[0009] 第2步、將訓(xùn)練集中的訓(xùn)練數(shù)據(jù)輸入到量子粒子群算法指導(dǎo)聚類中心的選??;
[0010] 第3步、對(duì)每個(gè)聚類簇中的樣本構(gòu)造一個(gè)C-支持向量機(jī)分類器(C-SVM),獲得多個(gè) 候選C-支持向量機(jī)分類器(C-SVM);
[0011] 第4步、對(duì)于測(cè)試集的每條連接數(shù)據(jù),計(jì)算該條連接數(shù)據(jù)到各個(gè)聚類中心的距離, 選擇距離最近的聚類中心所對(duì)應(yīng)的C-支持向量機(jī)分類器(C-SVM)對(duì)該條連接數(shù)據(jù)進(jìn)行識(shí) 另IJ,輸出結(jié)果。
[0012] 第1步中所述數(shù)據(jù)預(yù)處理的方法包括以下步驟:
[0013] 第I. 1步、文本數(shù)值化:將符號(hào)類型數(shù)據(jù)變換為數(shù)值類型。在10%KDDCup99數(shù)據(jù) 集中,protocol(協(xié)議)、服務(wù)service、連接狀態(tài)flag三個(gè)屬性是符號(hào)型變量,為了滿足本 發(fā)明分類算法的數(shù)據(jù)要求,需要對(duì)這些符號(hào)類型數(shù)據(jù)進(jìn)行數(shù)值化,變換為數(shù)值類型數(shù)據(jù);
[0014] 第1. 2步、數(shù)值歸一化:利用平均值標(biāo)準(zhǔn)差法對(duì)10% KDDCup99數(shù)據(jù)集進(jìn)行數(shù)值歸 一化處理,避免造成"大數(shù)吞小數(shù)"的現(xiàn)象;
[0015] 第1.3步、將10%KDDCup99數(shù)據(jù)集隨機(jī)選取其中的80%為訓(xùn)練數(shù)據(jù)集,其余20% 作為測(cè)試集;
[0016]第2步所述的利用量子粒子群算法進(jìn)行聚類中心的選取過程包括以下步驟:
[0017]第2. 1步、初始化粒子位置得到每個(gè)粒子的坐標(biāo)Xi= (X n,Xi2,…,Xin)、速度Vi= (Vn,Vi2,…,VJ、個(gè)體極值Pi= (Pn,Pi2,…,PJ、全局極值Pg= (Pgl,Pg2,…,Pgn)。其 中n代表聚類數(shù)目,例如:XU代表第i個(gè)粒子所表示的第j個(gè)聚類中心的坐標(biāo)。并指定最 大迭代次數(shù)MaxIter= 50 ;
[0018] 第2. 2步、定義粒子的性能函數(shù):
【主權(quán)項(xiàng)】
1. 一種智能優(yōu)化規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)分類方法,其特征包括w下步驟: 第1步、對(duì)國(guó)際標(biāo)準(zhǔn)數(shù)據(jù)集(10% K孤化p99)進(jìn)行預(yù)處理,將預(yù)處理后的數(shù)據(jù)集分為訓(xùn) 練集和測(cè)試集兩部分; 第2步、將訓(xùn)練集中的訓(xùn)練數(shù)據(jù)輸入到量子粒子群算法指導(dǎo)聚類中屯、的選??; 第3步、對(duì)每個(gè)聚類簇中的樣本構(gòu)造一個(gè)C-支持向量機(jī)分類器(C-SVM),獲得多個(gè)候選 C-支持向量機(jī)分類器(C-SVM); 第4步、對(duì)于測(cè)試集的每條連接數(shù)據(jù),計(jì)算該條連接數(shù)據(jù)到各個(gè)聚類中屯、的距離,選擇 距離最近的聚類中屯、所對(duì)應(yīng)的C-支持向量機(jī)分類器(C-SVM)對(duì)該條連接數(shù)據(jù)進(jìn)行識(shí)別,輸 出結(jié)果。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵檢測(cè)分類方法,其特征在于:第1步中數(shù)據(jù)預(yù)處理 的方法是: 第1. 1步、文本數(shù)值化;將原始數(shù)據(jù)集進(jìn)行文本數(shù)值化處理,由10% K孤化p99數(shù)據(jù)集 中的每條記錄數(shù)據(jù)既有數(shù)值類型又有符號(hào)類型數(shù)據(jù);因此,在實(shí)驗(yàn)中需要將符號(hào)類型數(shù)據(jù) 替代為數(shù)值類型數(shù)據(jù); 第1. 2步、數(shù)值歸一化:利用平均值標(biāo)準(zhǔn)差法對(duì)10%邸D化p99數(shù)據(jù)集進(jìn)行數(shù)值歸一化 處理; 第1. 3步、隨機(jī)選取其中的80 %為訓(xùn)練集,其余20 %作為測(cè)試集。
3. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵檢測(cè)分類方法,其特征在于:第2步所述的利用量 子粒子群算法指導(dǎo)聚類中屯、的選取由W下步驟組成: 第2. 1步、.初始化粒子位置得到每個(gè)粒子的坐標(biāo)Xi=狂U,Xi2,…,XJ、速度Vi = (Vu,Vi2,…,VJ、個(gè)體極值 Pi= (P …Pi2,…,PJ、全局最優(yōu)位置 Pg= (Pgl,Pg2,…,Pgn); 其中n代表聚類數(shù)目,Xy代表第i個(gè)粒子所表示的第j個(gè)聚類中屯、的坐標(biāo);并且指定最大 迭代次數(shù)Maxiter = 50 ; 第2. 2步、根據(jù)性能巧撒:
計(jì)算每個(gè)粒子的性能,Ji代表聚類中屯、i的性能,其中C i為模糊組i的聚類中屯、,共有 k個(gè)聚類中屯、,dy為聚類中屯、i數(shù)據(jù)點(diǎn)j間的歐幾里德距離,dI I C i-xj I I,Uy表示隸屬 度矩陣U的元素值,每個(gè)隸屬度元素Uu表示數(shù)據(jù)點(diǎn)j隸屬于聚類中屯、i的程度;
第2. 3步、更新每個(gè)粒子的平均最優(yōu)位置mbset,更新方程為:
設(shè)適應(yīng)度函數(shù)的目標(biāo)函數(shù)為fOO =J扣,Ci,C2,…,Ck),那么每個(gè)粒子i的局部最優(yōu) 位置如公式所示
然后設(shè)粒子群中的粒子數(shù)為s,利用如下公式更新全局最優(yōu)位置Pg; Pg(t) G {P〇(t),Pi(t),???,Ps(t)}; f (Pg (t)) = max {f (P〇 (t)),f (Pi (t)),…,f (Ps (t))}; 在上述公式中e為收縮擴(kuò)張系數(shù),01與e 2分別代表e的初始值和最終值;Pi為第 i個(gè)粒子的個(gè)體極值pbset,Pg為全局最優(yōu),M為粒子的數(shù)目,Maxiter為最大的迭代次數(shù),t 是當(dāng)前的迭代次數(shù);一般取0 1= 1. 2, 0 2= 0. 7能取得較好的收斂性; 第2.4步、重新計(jì)算每個(gè)粒子的平均最優(yōu)位置油36*,隨機(jī)點(diǎn)腳11(1,新位置)(1(*+1);
第2. 5步、判斷是否滿足終止條件Maxiter = 50,如果滿足則輸出結(jié)果,否則返回第 2. 2步進(jìn)行計(jì)算。
4. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵檢測(cè)分類方法,其特征在于:第3步所述對(duì)C-支持 向量機(jī)分類器(C-SVM)構(gòu)造過程由W下步驟組成: 第3. 1步、選用C-支持向量機(jī)分類器(C-SVM)作為單個(gè)二分類器模型,令訓(xùn)練樣本的 類別標(biāo)簽yiG = …,m,m為訓(xùn)練樣本的數(shù)目,為求解兩類樣本的分類超平面 wx+b = 0,求解優(yōu)化問題;
5. t. Yi (wT<l) (Xi)+b) > 1-寫。C 0, i = 1,…,m ; 其中C為懲罰參數(shù),C i為松弛變量; 第3. 2步、利用拉格朗日乘子法和KTT條件,將W上的優(yōu)化問題轉(zhuǎn)成對(duì)偶問題
其中A i為拉格朗日乘子; 第3. 3步、利用序列最小優(yōu)化算法(SMO)求得A 1,i = 1,…,m,得
并占
其中k G {1,…,m}且入k聲0, m巧滿足條件的 k的數(shù)目; 第3. 4步、選擇高斯核函數(shù)k(Xi,Xj) = exp(-| Ixf-Xjl |2)/2。2,其中。為核寬度,并且 令k(Xi,Xj.) = (Hxi)T(HXj.);其中Mx)為將X從低維空間映射到高維空間的映射函數(shù); 構(gòu)造決策函數(shù):
根據(jù)量子粒子群的聚類結(jié)果,對(duì)每個(gè)聚類簇的數(shù)據(jù)構(gòu)造"一對(duì)一"模式的多分類模型。
5.根據(jù)權(quán)利要求1所示的一種基于智能規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)算法,其特征在于所述 的智能規(guī)則是:利用量子粒子群算法計(jì)算連接數(shù)據(jù)與各個(gè)聚類中屯、點(diǎn)的歐幾里得距離,選 擇距離最近的聚類中屯、所屬的多分類模型進(jìn)行識(shí)別,并求分類結(jié)果的眾數(shù)作為最終識(shí)別結(jié) 果。
【專利摘要】一種智能優(yōu)化規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)分類方法,該方法包含兩部分:量子粒子群算法和C-支持向量機(jī)分類器(C-SVM)兩部分。本發(fā)明首先利用量子粒子群算法對(duì)網(wǎng)絡(luò)歷史數(shù)據(jù)進(jìn)行聚類,根據(jù)不同的聚類計(jì)算出智能規(guī)則,然后采用C-支持向量機(jī)分類器(C-SVM)分別對(duì)其進(jìn)行分類,從而判斷出當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)是否受到攻擊以及何種攻擊。該方法將量子粒子群算法的全局搜索優(yōu)化能力強(qiáng)的特點(diǎn)進(jìn)行聚類,并結(jié)合C-支持向量機(jī)分類器(C-SVM),一定程度上解決了傳統(tǒng)入侵檢測(cè)方法耗時(shí)長(zhǎng),檢測(cè)率低等問題。在國(guó)際標(biāo)準(zhǔn)數(shù)據(jù)上的模擬測(cè)試結(jié)果表明,本發(fā)明提供的方法對(duì)于網(wǎng)絡(luò)入侵檢測(cè)的效果優(yōu)于其它三種入侵檢測(cè)方法。
【IPC分類】H04L29-06
【公開號(hào)】CN104601565
【申請(qǐng)?zhí)枴緾N201510006087
【發(fā)明人】黃瑋, 張宏坤, 王勁松, 廖吉平
【申請(qǐng)人】天津理工大學(xué)
【公開日】2015年5月6日
【申請(qǐng)日】2015年1月7日