一种基于遗传算法和ANFIS相结合的网络入侵异常检测方法,对原始数据进行特征编码、标准化、PCA降维处理,并采用遗传算法自动选取ANFIS模糊推理过程中的模糊规则,大大降低了模型的检测时间,提高了检测效率。该方法能够有效地检测到异常数据,且具有较低的假阳率,极大地降低了误报情况的出现,具有较高的实用价值。
A Network Intrusion Anomaly Detection Method Based on Genetic Algorithms and ANFIS
【技术实现步骤摘要】
一种基于遗传算法和ANFIS相结合的网络入侵异常检测方法
本专利技术涉及网络安全
,具体一种基于遗传算法和ANFIS相结合的网络入侵异常检测方法。
技术介绍
随着网络技术的发展,互联网已逐渐深入各行各业,信息作为企业的核心竞争力,为企业创造经济效益的同时,信息的安全问题也日显突出。新的攻击手段层出不穷,现代黑客开始从以系统为主的攻击转向以网络为主的攻击,如网络监听、端口扫描、拒绝服务、利用匿名用户访问攻击、以及通过隐秘通道绕过防火墙的攻击方法等。目前入侵监测系统的监测技术还不够智能,现有的入侵检测系统产品多数情况下都是被动地检测已知的安全入侵方式,对于未知的入侵方式的效果微乎其微,即使具备了一定的所谓异常模式判断的入侵检测系统,对于新的攻击模式的实际应用效果依然不太明显。
技术实现思路
针对现有技术的上述不足,本专利技术的目的在于提供一种运算速度快、准确率高的结合遗传算法和自适应神经模糊推理系统(ANFIS)的网络入侵异常检测方法,通过对数据进行特征编码、标准化操作,同时采用PCA降维以及遗传算法自动选取模糊规则,有效地降低计算时间,提高ANFIS的分类效果。为实现上述目的,本专利技术采用以下技术方案:一种基于遗传算法和ANFIS相结合的网络入侵异常检测方法,包括步骤:S1:特征编码处理:对标签型特征变量进行labelencoding编码,选取与标签编码不同数量级的数值来编码缺失值;S2:对特征编码后的数据集进行z-score标准化处理;S3:将标准化后的数据集进行PCA降维处理;S4:在降维后的数据集中选定训练集和测试集,从所述训练集中抽取部分样本,作为实例样本,初始化隶属度函数及各所述实例样本在每个维度上的隶属度函数的数目,结合各所述实例样本在ANFIS模型的输出构建适应度函数,采用遗传算法依次迭代进行选择、交叉、变异操作,选取最优规则链;S5:将选取的最优规则链作为ANFIS模型推理过程中的模糊规则库,在降维后的训练集上对所述ANFIS模型进行训练,然后在降维后的测试集上进行验证,确定待测样本属于正常类型还是异常类型。优选的,所述数据集为UNSW-NB15网络入侵检测基准数据集。优选的,隶属度函数为高斯分布函数。优选的,步骤S4包括:S401:从经步骤S3降维后的数据集中选定训练集和测试集,在所述训练集中抽取部分样本,作为实例样本;S402:初始化隶属度函数及各所述实例样本在每个维度上的隶属度函数的数目,以每个所述实例样本在ANFIS模型的预测输出与期望输出之间的平均距离构建损失函数,如式(2)所示:其中,表示期望输出,表示预测输出,m表示实例样本的数量;适应度函数如式(3)所示:S403:初始化以下参数:规则链长度,种群大小,迭代次数,交叉概率,变异概率,每次选择操作的淘汰占比和存活占比;S404:根据公式(2)和公式(3)计算种群的适应度集合为fit={γ1,γ2,...γm},其中γi,i=1,2,...m表示每条规则链的适应度,使用公式对fit进行归一化处理,得到使集合中所有元素之和为1;S405:选取中具有最大适应度的规则链作为第一最优规则链;S406:如果迭代次数为零,则完成迭代,最优规则链为步骤S405选取的第一最优规则链,记为opt,否则,迭代次数减一,进入选择操作;S407:选择操作:按照集合中越大,其对应的规则链被选择为继续生存的概率越大的原则,根据设定的存活占比选择相应比例的个体继续存活;S408:交叉操作:按照集合中越大,其对应的规则链被抽取的概率越大的标准,按照不放回抽取的原则抽取一对规则链,依次循环,直到所有的规则链抽取完毕,针对每对规则链按照交叉概率进行随机单点交叉操作;若种群大小为奇数,最后一条规则链不进行交叉操作;S409:变异操作:针对每条规则链按照变异概率进行随机单点变异操作;S410:重复步骤S404-S409,依次迭代进行选择、交叉、变异操作,直到迭代次数为零,选择出中具有最大适应度的规则作为最优规则链,记为opt。本专利技术一种实施方式的有益效果:对原始数据进行特征编码、标准化、PCA降维处理,并采用遗传算法自动选取ANFIS模糊推理过程中的模糊规则,大大降低了模型的检测时间,提高了检测效率,结果表明,该方法能够有效地检测到异常数据,且具有较低的假阳率,极大地降低了误报情况的出现,具有较高的实用价值。附图说明图1是本专利技术一种实施方式的方法流程框架图;图2是本专利技术实施例针对不同主成分数选择方案进行ANFIS训练过程中的均方根误差变化曲线;图3是本专利技术实施例使用PCA将维度降为4维后的ANFIS测试结果图;图4是本专利技术实施例使用PCA将维度降为6维后的ANFIS测试结果图;图5是本专利技术实施例使用PCA将维度降为8维后的ANFIS测试结果图;图6是本专利技术实施例使用PCA将维度降为10维后的ANFIS测试结果图;图7是本专利技术实施例针对不同的参数设定进行ANFIS训练后在测试集上所表现的各项评价指标的状况图。具体实施方式下面通过附图及具体实施方式对本专利技术进行详细的说明。显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。在下文对本专利技术的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本专利技术。为了避免混淆本专利技术的实质,公知的方法、过程、流程、元件和电路并没有详细叙述。本专利技术的网络入侵异常检测方法结合遗传算法和ANFIS,解决检测实时性差、检测准确率不高和假阳率过高的问题。其一种实施方式为:采用同时包含正常类型和异常类型的具有现代网络流量特征的UNSW-NB15数据集,对训练集中的每个样本进行特征编码、标准化和PCA降维处理,并采用遗传算法实现自动选取模糊规则,然后利用自动选取的模糊规则作为ANFIS模型的模糊规则库进而通过训练集来训练模型,最后借助于训练好的模型在测试集上进行测试,实现未知样本分类,以确定其属于正常类型还是异常类型。更优选的实施方式,如图1所示,包括步骤:步骤1:针对UNSW-NB15网络入侵检测基准数据集中的标签型特征变量采用labelencoding进行编码,也就是将某一个特征变量的所有标签进行排序并用序号替代这些标签,同时,考虑到某些特征变量存在缺失值的问题,选取与该序号不同数量级的数值来编码缺失值。步骤2:对特征编码后的数据集进行z-score标准化处理,如公式(1)所示:其中,n表示编码后的样本数据的维度,X(i)表示特征i所对应的编码后的样本数据,表示特征i所对应的编码后的样本数据的均值,stdi表示特征i所对应的编码后的样本数据的标准差,Xi为对特征i标准化之后的数据值。步骤3:采用PCA数据降维方法对原始数据进行降维处理,设所要保留的主成分数为K,且所要采取的K个主成分的方差占比之和为主成分选择的阈值ε,选取ε范围内的主成分作为新的数据样本,则原始样本数据的维度由n降为K。步骤4:结合遗传算法的强移植性和ANFIS模型的特点,采用遗传算法依次迭代进行选择、交叉、变异操作,选取最优规则链作为ANFIS模型推理过程中的模糊规则库,实现ANFIS在进行模糊推理的过程中,既能保证模型的精度,又能以较少的模糊规则替代庞大的模糊规则库,以达到降低计算资源消耗的目的。假设基因为每条规则,本文档来自技高网...
【技术保护点】
1.一种基于遗传算法和ANFIS相结合的网络入侵异常检测方法,其特征在于,包括步骤:S1:特征编码处理:对标签型特征变量进行label encoding编码,选取与标签编码不同数量级的数值来编码缺失值;S2:对特征编码后的数据集进行z‑score标准化处理;S3:将标准化后的数据集进行PCA降维处理;S4:在降维后的数据集中选定训练集和测试集,从所述训练集中抽取部分样本,作为实例样本,初始化隶属度函数及各所述实例样本在每个维度上的隶属度函数的数目,结合各所述实例样本在ANFIS模型的输出构建适应度函数,采用遗传算法依次迭代进行选择、交叉、变异操作,选取最优规则链;S5:将选取的最优规则链作为ANFIS模型推理过程中的模糊规则库,在所述训练集上对所述ANFIS模型进行训练,然后在所述测试集上进行验证,确定待测样本属于正常类型还是异常类型。
【技术特征摘要】
1.一种基于遗传算法和ANFIS相结合的网络入侵异常检测方法,其特征在于,包括步骤:S1:特征编码处理:对标签型特征变量进行labelencoding编码,选取与标签编码不同数量级的数值来编码缺失值;S2:对特征编码后的数据集进行z-score标准化处理;S3:将标准化后的数据集进行PCA降维处理;S4:在降维后的数据集中选定训练集和测试集,从所述训练集中抽取部分样本,作为实例样本,初始化隶属度函数及各所述实例样本在每个维度上的隶属度函数的数目,结合各所述实例样本在ANFIS模型的输出构建适应度函数,采用遗传算法依次迭代进行选择、交叉、变异操作,选取最优规则链;S5:将选取的最优规则链作为ANFIS模型推理过程中的模糊规则库,在所述训练集上对所述ANFIS模型进行训练,然后在所述测试集上进行验证,确定待测样本属于正常类型还是异常类型。2.根据权利要求1所述的基于遗传算法和ANFIS相结合的网络入侵异常检测方法,其特征在于,所述数据集为UNSW-NB15网络入侵检测基准数据集。3.根据权利要求1所述的基于遗传算法和ANFIS相结合的网络入侵异常检测方法,其特征在于,隶属度函数为高斯分布函数。4.根据权利要求1-3任意一项所述的基于遗传算法和ANFIS相结合的网络入侵异常检测方法,其特征在于,步骤S4包括:S401:从经步骤S3降维后的数据集中选定训练集和测试集,在所述训练集中抽取部分样本,作为实例样本;S402:初始化隶属度函数及各所述实例样本在每个维度上的隶属度函数...
【专利技术属性】
技术研发人员:廖年冬,黄显申,宋砚琪,
申请(专利权)人:长沙理工大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。