本发明专利技术公开了一种余弦时变PSO‑SVM的入侵检测方法,属于网络信息安全技术领域。本发明专利技术方法先将包括正常样本和攻击样本的NSL‑KDD数据集和ADFA入侵检测数据集中的所有数据进行数值化处理,然后进行余弦时变PSO优化,再应用余弦时变PSO‑SVM进行误用检测。本发明专利技术与现有部分时变粒子群优化SVM模型相比,根据余弦函数非线性,改进时变粒子群算法在检测过程中的学习能力,精简余弦时变加速系数表达式,改进惯性权重的取值策略,提高对当前最优目标区域搜索的精细程度和搜索效率,从而加快时变PSO‑SVM入侵检测模型的收敛速度,有效地提高时变PSO‑SVM入侵检测模型的检测率。
【技术实现步骤摘要】
一种余弦时变PSO-SVM的入侵检测方法
本专利技术涉及一种余弦时变PSO-SVM的入侵检测方法,属于网络信息安全
技术介绍
如今,计算机系统几乎存在于人类生活的各个方面。然而,现有的互联网受到网络安全和数据隐私问题的困扰,这也将成为工业物联网的重大挑战和障碍,入侵检测系统(IDS)监视网络环境的行为,并确定入侵和合法的活动。特别是,SCADA系统用于化工厂、输配电系统、配水网络和污水处理设施等关键基建设施,网络环境数据量大增,内容容易受到各种攻击。在上述系统中部署入侵检测系统是一项重要的防御措施。现有的入侵检测系统,从检测方法上看主要有误用检测、异常检测以及综合检测的方法。误用检测是对异常攻击行为进行分析总结,提取相应行为操作的特征,建立异常行为的数据知识库,通过将新的行为数据特征与已知攻击行为特征进行匹配,检测出新的异常攻击行为操作。该方法的优点是对已知类型攻击行为检测率较高,但对新型未知攻击则检测能力较弱。异常检测是利用系统通信行为数据,建立正常行为通信模式的入侵检测系统,实现异常攻击操作的有效检测。该方法优点是能够对新型未知攻击进行检测,不足之处在于误报率高,需要进一步研究检测特征及算法设计。基于人工智能(AI)的误用检测系统近几十年来引起了研究人员的广泛关注。以PSO-SVM为基础的入侵检测模型,虽然已经是入侵检测中的经典模型,且得到了广泛的应用,但时变PSO算法在参数寻优时,惯性权重和加速系数只能是以常数或线形时变的速度进行搜索,这种情况可能使得粒子在局部和全局寻优方向上失去平衡,导致PSO算法陷入局部最优的境地或搜索能力缓慢。所以,更需要一种更好地平衡时变加速系数在全局和局部的搜索能力,同时也提高对当前最优目标区域搜索的精细程度和搜索效率,从而提高时变PSO-SVM入侵检测模型的检测精度,为网络入侵检测提供较为精确地检测结果。
技术实现思路
本专利技术的目的是在于改进一种余弦时变PSO算法结合SVM的误用入侵检测方法。为了达到上述目的,本专利技术所述的基于余弦时变PSO-SVM的入侵检测方法,按照如下步骤实施:步骤一:数据预处理:将包括正常样本和攻击样本的NSL-KDD数据集和ADFA入侵检测数据集中的所有数据进行数值化处理。为了减少不同特征之间的相互影响,使得每一个特征的重要性不受数值的影响,还可以将数值归一化处理,采用Min-Max标准化法,得到一个N维的向量组。步骤二:余弦时变PSO优化:将步骤一中数值化和归一化处理后1的数据传递给SVM异常检测模型作为SVM惩罚参数C和高斯径向基参数γ,将SVM异常检测模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值,并据此进行粒子群迭代更新,得到最优的SVM惩罚参数C和高斯径向基参数γ;PSO算法基础模型如下:Vid(t+1)=wVid(t)+c1r1(Pid,best(t)-Xid(t))+c2r2(Pgd,best(t)-Xid(t))(1)Xid(t+1)=Xid(t+1)+Vid(t+1)(2)式(1)、(2)中i=1,2,...,N,N表示粒子群数量,Pi(t)和Vi(t)分别表示第t次迭代时的位置和速度适量,w表示惯性权重,r1和r2表示[0,1]区间内的随机数;关于c1和c2表示加速因子,为了更好地平衡时变加速系数在全局和局部的搜索能力,有效控制粒子全局搜索和快速收敛到全局最优解,提出一种余弦时变加速因子:式(3)、(4)中,t表示当前迭代次数,T表示总迭代次数,b和A是设定值;关于惯性权重w,为使粒子的惯性权重根据粒子的早熟收敛程度,进行非线性自适应地调整,加快其寻优能力,所述余弦时变惯性权重w是一种基于适应度值变化的自适应余弦时变惯性权重,其取值方式:首先定义三个平均适应度变量式(5)、(6)、(7)、(8)中是第t次迭代粒子的适应度值,表示最小适应度值,表示最大适应度值。使用上述改进的PSO算法优化SVM模型参数寻优。选取数据训练集,训练SVM入侵检测模型,继而对SVM入侵检测模型进行测试分类。计算粒子适应度值根据K折交叉验证意义下的检测精度作为适应度值进行评估各个粒子,搜寻最优粒子。根据粒子适应度值更新粒子的相关参数。根据粒子适应度值及上文中所提方法确定惯性权重w的值、更新加速系数、位置Xid(t+1)和速度Vid(t+1),判断是否满足要求,若是,则停止运行并输出最优参数;步骤三:余弦时变PSO-SVM误用检测:利用最优的SVM惩罚参数C和高斯径向基参数γ,建立PSO-SVM流程模型进行异常检测,并且返回交叉验证意义下的分类正确率。具体的,SVM通过使用核函数将NSL-KDD数据和ADFA数据集中的特征向量映射到高维空间中,寻找最优超平面划分训练种类。Subjecttoyi(ωTφ(xi)+b)≥1-ξi,ξi≥0(10)式(9)、(10)中w表示分类器得到的最优超平面的权值向量,xi是训练样本,b表示偏置向量,ξi表示松弛变量,惩罚参数C用于提高SVM的泛化能力,使用原始对偶关系,最优决策函数如下:式中αi是拉格朗日乘子,yi表示训练样本标签,K(x,xsv)=φ(xi)Tφ(xj)是核函数,sv表示支持向量的个数,本专利技术选用RBF核函数利用决策函数对数据集进行分类,步骤三中Xi=(XiC,Xiγ)表示该粒子位置有惩罚参数C和核函数参数γ两个分量组成,并设置两个参数的取值区间,C取值范围[2-5,25],γ取值范围[2-4,24],通过使用10折交叉验证,从所选数据构建了训练数据集和测试数据集。6、优点和积极效果本专利技术与现有的技术相比具有以下优点:1.与现有部分时变粒子群优化SVM模型相比,根据余弦函数非线性,改进时变粒子群算法在检测过程中的学习能力,更好地平衡时变加速系数在全局和局部的搜索能力,有效地提高时变PSO-SVM入侵检测模型的检测率。2.与时变加速系数相对而言,所提余弦时变加速系数表达式更加简洁,并没有多个参数设置。3.改进惯性权重的取值策略,提高对当前最优目标区域搜索的精细程度和搜索效率,从而加快时变PSO-SVM入侵检测模型的收敛速度。附图说明图1是时变加速系数和余弦时变加速系数关系图。图2是余弦时变惯性权重函数。图3是余弦时变PSO-SVM实现流程。图4是NSL-KDD数据集适应度值。图5是ADFA-LD数据集适应度值。具体实施方式实施例1步骤一数据预处理中的数值化和归一化处理。在NSL-KDD数据集中包含TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征。其中,异常攻击有DOS、R2L、U2R、PROBING四大类39种攻击类型。Normal标注为0、PROBING标注为1、DOS标注为2、U2R标注为3;对于其中的协议类型,1为icmp、2为tcp、3为udp、4为others。对于ADFA数据集中分为Normal(Training和Validation)和Attack,将Normal标注为1,Attack标注为2。同时,为了减少不同特征之间的相互影响,使得每一个特征的重要性不受数值的影响,将数值归一化处理,采用Min-Max标准化法,使其属于[0,1]之间,公式如下:式中x'是归一化后的值,xmin是特征中的最小值,xma本文档来自技高网...
【技术保护点】
1.一种误用入侵检测方法,其特征在于,是基于余弦时变PSO算法结合SVM的误用入侵检测方法,所述方法包括以下步骤:步骤一:数据预处理:将包括正常样本和攻击样本的NSL‑KDD数据集和ADFA入侵检测数据集中的所有数据进行数值化处理;步骤二:余弦时变PSO优化:将初始化的粒子传递给SVM异常检测模型作为SVM惩罚参数C和高斯径向基参数γ,将SVM异常检测模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值,并据此进行粒子群迭代更新,得到最优的SVM惩罚参数C和高斯径向基参数γ;步骤三:余弦时变PSO‑SVM误用检测:利用最优的SVM惩罚参数C和高斯径向基参数γ,建立PSO‑SVM流程模型进行异常检测,并且返回交叉验证意义下的分类正确率。
【技术特征摘要】
1.一种误用入侵检测方法,其特征在于,是基于余弦时变PSO算法结合SVM的误用入侵检测方法,所述方法包括以下步骤:步骤一:数据预处理:将包括正常样本和攻击样本的NSL-KDD数据集和ADFA入侵检测数据集中的所有数据进行数值化处理;步骤二:余弦时变PSO优化:将初始化的粒子传递给SVM异常检测模型作为SVM惩罚参数C和高斯径向基参数γ,将SVM异常检测模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值,并据此进行粒子群迭代更新,得到最优的SVM惩罚参数C和高斯径向基参数γ;步骤三:余弦时变PSO-SVM误用检测:利用最优的SVM惩罚参数C和高斯径向基参数γ,建立PSO-SVM流程模型进行异常检测,并且返回交叉验证意义下的分类正确率。2.根据权利要求1所述的一种误用入侵检测方法,其特征在于,步骤一,采用Min-Max标准化法进行数值归一化处理。3.根据权利要求1或2所述的一种误用入侵检测方法,其特征在于,步骤二:PSO算法基础模型如下:Vid(t+1)=wVid(t)+c1r1(Pid,best(t)-Xid(t))+c2r2(Pgd,best(t)-Xid(t))(1)Xid(t+1)=Xid(t+1)+Vid(t+1)(2);式(1)、式(2)中,i=1,2,...,N,N表示粒子群数量,Pi(t)和Vi(t)分别表示第t次迭代时的位置和速度适量,c1和c2表示加速因子,w表示惯性权重,r1和r2表示[0,1]区间内的随机数;加速因子c1、c2如式(3)、式(4):式(3)、式(4)中,t表示当前迭代次数,T表示总迭代次数,b和A是设定值;式(1)中,余弦时变惯性权重w的...
【专利技术属性】
技术研发人员:杨红浩,周治平,
申请(专利权)人:江南大学,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。