本发明专利技术涉及一种基于极限学习机的入侵检测方法,包括:对网络流量数据集中的数据进行预处理:将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注并进行归一化与标准化处理;根据类别标签,将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种,将其中的Normal、U2R与R2L三类合并为Other类;采用DOS、Probe与Other这三类训练数据,训练第一层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;采用PReLU激活函数替代Sigmoid激活函数进行改进;进行检测分类。
【技术实现步骤摘要】
一种基于极限学习机的入侵检测方法
本专利技术属于网络安全
,涉及一种入侵检测算法。
技术介绍
随着互联网的飞速发展,网络的设计缺陷与安全漏洞带来了一系列的安全问题,必须采用主动防范的入侵检测技术以改善网络的安全状况。极限学习机(ELM)是一种针对单隐含层前向神经网络(SLFNs)的新算法。ELM算法的输入层与隐含层间的连接权重向量以及隐含层神经元的阈值是随机产生的,此二者在训练过程中无需调整。ELM算法只需要设定隐含层的神经元个数,同时ELM算法不需要迭代,训练速度非常快。与传统算法相比ELM具有学习速度快,泛化性能好等优点,因此适用于对入侵攻击的分类检测。同时,多层分类的入侵检测方法可以提高入侵检测系统的准确率。
技术实现思路
本专利技术的目的是提供一种可以提高准确率的网络入侵检测方法。激活函数选择的是否合适直接影响极限学习机ELM的学习效果。本专利通过改进ELM的激活函数,提高ELM算法在入侵检测中的分类效果,同时采用多级分类的模型,进一步提高入侵检测方法的准确率。本专利技术的技术方案如下:一种基于极限学习机的入侵检测方法,包括以下步骤:步骤(1):在进行模型训练之前,对网络流量数据集中的数据进行预处理:首先将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注;然后将训练集与测试集进行归一化与标准化处理,消除由于不同特征值度量单位的差异对实验结果产生的影响。步骤(2):根据类别标签,将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种,将其中的Normal、U2R与R2L三类合并为Other类;步骤(3):采用DOS、Probe与Other这三类训练数据,训练第一层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;步骤(4):采用Normal、U2R与R2L这三类训练数据,训练第二层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;步骤(5):采用测试网络流量数据与两层ELM检测模型,进行检测分类:采用第一层ELM模型检测出DOS类与Probe类流量数据,将剩下的测试数据送入第二层ELM模型中进行检测,检测出Normal、U2R与R2L三类流量数据,通过两层模型的分类检测,最终检测出Normal、DOS、Probe、U2R与R2L这五类;采用检测率与误报率作为评价指标,评价检测算法效果。本专利技术的有益效果如下:本专利采用PReLU激活函数改进ELM,同时采用两层模型对网络流量数据进行分类,提高了对网络攻击的检测率,降低了误报率。附图说明图1入侵检测二层模型结构图。具体实施方式传统的ELM算法采用的激活函数是S型非线性连续光滑单调的Sigmoid函数。ELM可选择一个任意区间无限可微的函数作为激活函数,所以激活函数的选择并不唯一。参数修正的线性修正单元(PReLU)引入了修正参数,提高了神经网络的准确率,而所增加的计算量可以忽略不计。PReLU引入了非常少量的额外参数,额外参数的数量等于信道总数,考虑权重总数时这是可以忽略的,所以PReLU函数不会造成过度拟合以及导致额外的风险。所以本专利将PReLU函数作为激活函数以优化ELM的学习效果,用于入侵检测之中。PReLU函数定义为:g(x)=max(0,x)+amin(0,x)(1)其中,g(x)为PReLU函数,x为数据特征,a为修正参数的系数。本专利采用多层模型的方式,构建两层ELM模型,如图1所示。由于DOS和Probe这两大类攻击在短时间内会向同一目的计算机发起大量的连接请求,其网络连接数据与Normal的网络连接数据差别很大,所以在第一层对DOS与Probe攻击进行分类。而在U2L与R2L这两大类攻击中黑客需要获得受害者计算机的非法访问权限,所以生成的网络连接记录将与正常用户的网络连接记录非常相似,同时这两类攻击的数量相对较少,因此在第二层对Normal、U2R与R2L进行分类。本专利提出的一种基于极限学习机的入侵检测方法具体步骤如下:步骤(1):在进行模型训练之前,对网络流量数据集中的数据进行预处理。对于数据的预处理可分为两部分:首先将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注。然后将训练集与测试集进行归一化与标准化处理,消除由于不同特征值度量单位的差异对实验结果产生的影响。步骤(2):在第一层模型中,将有标签的训练网络流量数据分为DOS、Probe与Other共三类,Other类中包括Normal、U2R与R2L。用DOS、Probe与Other这三类数据训练ELM模型,ELM模型采用PReLU激活函数进行改进。步骤(3):在第二层模型中,采用Normal、U2R与R2L的三类有标签的训练数据进行训练ELM模型,ELM模型采用PReLU激活函数进行改进。步骤(4):采用测试网络数据与两层检测模型,对网络流量攻击进行检测分类,最终检测出Normal、DOS、Probe、U2R与R2L这五类。采用检测率与误报率作为评价指标,评价检测算法效果。实施例如下:在数据预处理阶段,将字符型特征值protocoltype分别转化为数值1到4,service特征值转化为1-67,flag特征值转化为1-11。将第一层与第二层ELM模型采用PReLU激活函数,参数a设置为0.25,隐含层神经元个数设定为200。用作实验对比的算法的参数设置如下。BP的隐含层神经元个数设定为30,lr为0.1,epochs为100,goal为0.001。SVM采用广泛使用的LIBSVM软件包,SVM采用C-SVC类型,RBF核函数,gamma参数为0.11,惩罚因子C为256。ELM算法的激活函数为Sigmoid函数,隐含层神经元个数设定为200。为了验证算法的效果,将本专利所提方法与BP、SVM、以及基本的ELM算法进行比较。表1和表2列出了不同算法之间检测率和检测效果比较数据。通过不同算法的检测结果对比可知,本专利提出的检测方法对于不同攻击的检测率上都有所提升,尤其是对于U2R与R2L这两类攻击的检测效果提升幅度较大。表1不同算法检测率比较表2不同算法检测效果比较本文档来自技高网...
【技术保护点】
一种基于极限学习机的入侵检测方法,包括以下步骤:步骤(1):在进行模型训练之前,对网络流量数据集中的数据进行预处理:首先将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注;然后将训练集与测试集进行归一化与标准化处理,消除由于不同特征值度量单位的差异对实验结果产生的影响。步骤(2):根据类别标签,将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种,将其中的Normal、U2R与R2L三类合并为Other类;步骤(3):采用DOS、Probe与Other这三类训练数据,训练第一层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;步骤(4):采用Normal、U2R与R2L这三类训练数据,训练第二层ELM模型,该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进;步骤(5):采用测试网络流量数据与两层ELM检测模型,进行检测分类:采用第一层ELM模型检测出DOS类与Probe类流量数据,将剩下的测试数据送入第二层ELM模型中进行检测,检测出Normal、U2R与R2L三类流量数据,通过两层模型的分类检测,最终检测出Normal、DOS、Probe、U2R与R2L这五类;采用检测率与误报率作为评价指标,评价检测算法效果。...
【技术特征摘要】
1.一种基于极限学习机的入侵检测方法,包括以下步骤:步骤(1):在进行模型训练之前,对网络流量数据集中的数据进行预处理:首先将测试集与训练集中字符型特征值为数值型特征值,对训练数据进行类别标注;然后将训练集与测试集进行归一化与标准化处理,消除由于不同特征值度量单位的差异对实验结果产生的影响。步骤(2):根据类别标签,将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种,将其中的Normal、U2R与R2L三类合并为Other类;步骤(3):采用DOS、Probe与Other这三类训练数据,训练第一层ELM模型,该层ELM模型采用PRe...
【专利技术属性】
技术研发人员:王琳琳,刘敬浩,
申请(专利权)人:天津大学,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。