一种基于多级模糊神经网络的入侵检测方法,包括网络数据预处理,超盒的创建和调整,重叠区域的处理和分类结果展示。本发明专利技术以改进的模糊最小‑最大神经网络算法为基础,以国际标准数据集KDD CUP99网络连接数据集为例,实验选用2007年给出的多用于对比和验证算法的性能的corrected KDD CUP99数据集。在实验前先对实验数据进行预处理,根据预处理后的网络连接数据构建超盒并调整,对重叠区域进行处理,最后实现对测试网络连接数据的分类,从而判断出当前网络连接是否为攻击连接以及具体攻击类型。基于多级模糊神经网络的入侵检测方法大大提高了网络连接分类的速度和分类正确率,一定程度上改善了传统入侵检测系统分类慢,误报率高的缺陷。
An Intrusion Detection Method Based on Multilevel Fuzzy Neural Network
【技术实现步骤摘要】
一种基于多级模糊神经网络的入侵检测方法
本方法涉及网络入侵检测系统领域,尤其涉及到一种基于多级模糊神经网络的入侵检测方法。
技术介绍
随着互联网技术的飞速发展,计算机网络安全问题也时刻威胁着人们的日常生活和工作,备受人们关注。如何识别各种网络攻击,特别是不可预见的攻击,是一个不可避免的关键技术问题。网络入侵检测技术通过收集网络行为、安全日志、审计数据以及计算机系统中不同关键点的信息并进行分析,及时检测出异常行为并做出响应,从而保护网络系统的安全,是信息安全领域的一项重大研究成果。传统的入侵检测系统存在着大量的问题,例如,识别未知异常行为的能力差、误报率高、占用系统大量资源;学习能力不强,需要大量的人工介入分析攻击数据;不能防御现在广泛使用的脚本攻击等新兴技术。为了提高入侵检测技术在当今高带宽的网络环境中的检测效率,在入侵检测系统中引入深度学习的方法已成为入侵检测系统的重要发展方向。将深度学习技术中的多级模糊神经网络算法应用到入侵检测领域具有很强的理论基础,在技术上具有可行性。多级模糊神经网络通过创建调整超盒,并使用重叠盒处理超盒构成的重叠区域,使得边界区域分类结果精确度较高,具有较高的分类精确度,在提高入侵检测性能方面有较好的表现。
技术实现思路
本专利技术针对传统入侵检测系统的缺陷,提出了一种基于模糊神经网络的入侵检测方法,通过采用多级模糊神经网络算法来处理大量网络连接数据,提高入侵检测的实时性和正确率。通过在correctedKDDCUP99实验数据集上测试,对比其他入侵检测算法,该算法的整体检测效果较优。本专利技术技术方案:一种基于多级模糊神经网络的入侵检测方法,该方法包括以下步骤:第1步、对国际标准数据集correctedKDDCUP99进行数值化和归一化处理处理,并将预处理后的数据集分成训练集和测试集两部分数据;第2步、采用改进的模糊最小-最大神经网络算法对训练集中的网络连接数据进行训练,构建和调整超盒,并对重叠区域进行处理,从而形成多级模糊神经网络;所述改进的模糊最小-最大神经网络算法称为多级模糊神经网络算法;第3步、根据测试集中每条网络连接数据所在的区域和位置选择最佳子网,该子网所对应的类别即为相应的网络连接数据的最终分类结果;第4步、保存第3步中分类结果,并将上述分类结果展示出来。第1步中所述的数据集预处理方法包含以下步骤:将多级模糊神经网络算法应用到入侵检测方法中,主要是对采集到的数据进行处理,对网络连接数据的采集不在本专利技术的考虑范围之内。本专利技术中以国际标准网络连接数据集correctedKDDCUP99为例,以深度学习的思想为理论依据对入侵网络连接进行分类。第1.1步、对correctedKDDCUP99数据集中的网络连接数据进行筛选;由于该数据集中不同攻击类型的网络连接数量相差较大,按照不同类型的网络连接数量尽量接近的原则进行筛选,得到训练集和测试集;第1.2步、对字符型数据数值化、连续型特征离散化归一化;首先对数据集中的字符型数据数值化,将数据集中的五大类攻击类型分别用5个不同的数值替代;将连续特征离散化,然后再对所得数据进行归一化。第2步所述采用多级模糊神经网络算法构建多级模糊神经网络需要经过一下步骤:第2.1步、对未训练的网络连接数据,查找其是否包含于某已存在的同类超盒;对于一个未训练的网络连接数据,首先检查是否存在一个属于与它同类的超盒,并且该连接包含在此超盒中,即对于一条网络连接数据a,其每个属性ai符合Vji<ai<Wji,其中Vji、Wji分别表示该同类超盒属性i的最小点和最大点;若存在这样的超盒,那么不需要进一步处理,继续训练下一个网络连接数据,若不存在,则继续下一步骤;第2.2步、扩展超盒;判断离当前未训练的网络连接数据最近的同类超盒是否可以被扩展,超盒的最大大小受限于扩展参数θ的大小,即其中0≤θ≤1;通过实验验证,当θ取0.06时,该算法在预处理后的correctedKDDCUP99数据集中能够获得较高的分类准确度;如果没有找到这样的超盒,则创建一个新的超盒,其中超盒的最小点和最大点等于该网络连接数据的相应点;接着重复步骤2.1和2.2训练下一个未训练的网络连接数据,直至训练集中不存在未训练的网络连接数据;第2.3步、进行重叠处理;这一步是创建子网来处理在上一步中创建的超盒段中的重叠区域;在此步骤中,识别超盒段中的所有重叠区域,并为每个重叠区域创建一个新的重叠盒;重叠盒的最小点和最大点设置为重叠区域的最小点和最大点;此外,在对应于每一个重叠盒的下一级创建子网,子网结构与其父网络相似,并且由属于该重叠区域的模式进行训练,递归执行此操作,使节点的训练函数以深度优先的顺序被召回,只有根子网的训练函数被召回才能创建和训练所有子网,最后使用各种停止条件例如将数据集中的样本数为零、树的深度大于阈值l等条件来停止递归过程。第3步所述的确定最终网络连接类型需经过以下步骤:第3.1步、读取测试集数据,判断测试集中每条网络连接数据的41个属性特征和1个连接类型特征是否包含在某个超盒中;若包含,则检查该超盒下一级是否存在子超盒,若不存在子超盒,则将当前网络连接数据的类别置为该超盒的类别;若存在子超盒,则判断当前网络连接数据是否包含在该子超盒中,若不包含,则将当前网络连接数据的类别置为该子超盒其父超盒的类别,若包含则继续查找其子超盒,循环上述操作,直至满足停止条件;若未发现任何同类超盒包含该网络连接数据,则选择距离该网络连接数据最近的超盒,并将这个超盒的类别赋予该网络连接数据的类别;第3.2步、输出分类结果:将测试集中每个网络连接类型的分类结果输出。本专利技术具有以下优点:由于correctedKDDCUP99数据集中包含大量的网络连接数据,并且各个网络连接类型数据量相差悬殊不利于实验,故本专利技术首先从correctedKDDCUP99数据集中筛选出量的训练集和测试集,保证训练集和测试集中各个网络连接类型数量分布均匀;然后对每条网络连接数据中字符型数据数值化、连续型特征离散化归一化:首先对数据集中的字符型数据数值化,将数据集中的五大类攻击类型分别用5个不同的数值替代;其次由于数据集中32个连续数据特征属性取值范围在[0,65535]之间,十分零散,对超盒构建和调整的结果有很大影响,甚至会出现“大数”吃“小数”的现象,因此将连续特征离散化,然后再对所得数据进行归一化。本专利技术使用多级模糊神经网络算法根据每个网络连接数据创建和调整超盒,并对形成的重叠区域进行处理,从而构建出多级模糊神经网络,最后通过多级模糊神经网络中的分类方法对测试集的每个网络连接数据进行分类,获得分类结果,并将其展示出来。该专利技术采用基于多级模糊神经网络算法,不同于经典的模糊最小-最大神经网络算法使用收缩的方法处理超盒之间的重叠区域,有效提高了边界区域的分类正确率,也大大降低了时间复杂度,是本方法具有较强的稳定性。附图说明图1是本专利技术基于多级模糊神经网络的入侵检测方法的流程图。具体实施方式下面结合附图对本专利技术的具体实施方式作进一步的详细说明。将多级模糊神经网络算法应用到入侵检测方法中,主要是对采集到的数据进行处理,对网络连接数据的采集不在本专利技术的考虑范围之内。本专利技术中以国际标准网络连接数据集correctedKDDCUP99本文档来自技高网...
【技术保护点】
1.一种基于多级模糊神经网络的入侵检测方法,包括以下步骤:第1步、对国际标准数据集corrected KDD CUP99进行数值化和归一化处理,并将预处理后的数据集分成训练集和测试集两部分数据;第2步、采用改进的模糊最小‑最大神经网络算法对训练集中的网络连接数据进行训练,构建和调整超盒,并对重叠区域进行处理,从而形成多级模糊神经网络;所述改进的模糊最小‑最大神经网络算法称为多级模糊神经网络算法;第3步、根据测试集中每条网络连接数据所在的区域和位置选择最佳子网,该子网所对应的类别即为相应的网络连接数据的最终分类结果;第4步、保存第3步中分类结果,并将上述分类结果展示出来。
【技术特征摘要】
1.一种基于多级模糊神经网络的入侵检测方法,包括以下步骤:第1步、对国际标准数据集correctedKDDCUP99进行数值化和归一化处理,并将预处理后的数据集分成训练集和测试集两部分数据;第2步、采用改进的模糊最小-最大神经网络算法对训练集中的网络连接数据进行训练,构建和调整超盒,并对重叠区域进行处理,从而形成多级模糊神经网络;所述改进的模糊最小-最大神经网络算法称为多级模糊神经网络算法;第3步、根据测试集中每条网络连接数据所在的区域和位置选择最佳子网,该子网所对应的类别即为相应的网络连接数据的最终分类结果;第4步、保存第3步中分类结果,并将上述分类结果展示出来。2.根据权利要求1所述的基于多级模糊神经网络的入侵检测方法,其特征在于:第1步中数据集预处理的方法是:第1.1步、对correctedKDDCUP99数据集中的网络连接数据进行筛选;由于该数据集中不同攻击类型的网络连接数量相差较大,故按照不同类型的网络连接数量尽量接近的原则进行筛选,得到训练集和测试集;第1.2步、对字符型数据数值化、连续型特征离散化归一化;首先对数据集中的字符型数据数值化,将数据集中的五大类攻击类型分别用5个不同的数值替代;将连续特征离散化,然后对所得数据进行归一化。3.根据权利要求1所述的基于多级模糊神经网络的入侵检测方法,其特征在于:构建多级模糊神经网络的方法是:第2.1步、对未训练的网络连接数据,查找其是否包含于某已存在的同类超盒;对于一个未训练的网络连接数据,首先检查是否存在一个属于与它同类的超盒,并且该连接包含在此超盒中,即对于一条网络连接数据a,其每个属性ai符合Vji<ai<Wji,其中Vji、Wji分别表示该同类超盒属性i的最小点和最大点;若存在这样的超盒,那么不需要进一步处理,继续训练下一个网络连接数据,若不存在,则继续下一步骤;第2.2步、扩展超盒;判断离当前未训练的网络连接数据最...
【专利技术属性】
技术研发人员:王劲松,薛玲丽,黄玮,杨传印,
申请(专利权)人:天津理工大学,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。