CN112765148A - 一种基于改进svm多分类的网络入侵检测方法 - Google Patents
一种基于改进svm多分类的网络入侵检测方法 Download PDFInfo
- Publication number
- CN112765148A CN112765148A CN202110143858.3A CN202110143858A CN112765148A CN 112765148 A CN112765148 A CN 112765148A CN 202110143858 A CN202110143858 A CN 202110143858A CN 112765148 A CN112765148 A CN 112765148A
- Authority
- CN
- China
- Prior art keywords
- data
- classification
- neural network
- value
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 23
- 238000013528 artificial neural network Methods 0.000 claims abstract description 22
- 238000000034 method Methods 0.000 claims abstract description 19
- 238000004140 cleaning Methods 0.000 claims abstract description 4
- 238000012706 support-vector machine Methods 0.000 claims description 27
- 238000010606 normalization Methods 0.000 claims description 15
- 210000002569 neuron Anatomy 0.000 claims description 8
- 238000007781 pre-processing Methods 0.000 claims description 6
- 230000000644 propagated effect Effects 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 6
- 238000004364 calculation method Methods 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Biomedical Technology (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于改进SVM多分类的网络入侵检测方法,包括数据的获取和预处理,预处理主要是将数据经过清洗、标准化、归一化之后,得到适合应用的数据;数据的分类,并载入SVM分类器,将数据分为两组载入分类器,一组直接输出,一组则进入另一个步骤;BP决策,将SVM分类器中的一种结果载入进BP神经网络,利用神经网络来进一步确定数据的类型,得出分类结果。以往SVM分类器面对多分类问题决策复杂,步骤繁多,而直接应用BP神经网络实现分类则会出现大量冗余的计算过程。本发明简化了在多分类问题上,决策的步骤,节省了计算资源,可以更好的将分类结果呈现出来。
Description
技术领域
本发明涉及一种基于改进SVM多分类的网络入侵检测方法,属于网络入侵检测技术领域。
背景技术
随着网络技术的发展和新型网络的应用,面对日益复杂的网络环境和网络攻击方式,传统的网络安全技术已难以满足目前人们对于网络安全和信息安全的需求,因此,网络入侵检测成为当前研究的一个热点。
近年来,机器学习应用于网络入侵检测领域的研究已经受到越来越多的关注。与传统入侵检测方法不同的是,它是通过对入侵检测问题重新剖解分析,将其转变为对模式识别和分类问题的研究,采用机器学习算法构建分类器,对网络中的正常行为和异常行为进行分类,有效地提高了检测率、降低了误报率。而支持向量机(SVM)是机器学习中较为常见的用于问题分类的方法,但其存在的问题是对于二元问题有着良好的分类效果,对于多元问题采取的策略也是将多元转换为多组二元问题来解决的,类似于二叉树的策略。这种做法简单易理解,但对于更为复杂的多元问题,且每类问题的关联性相似度较强的,则不易被有效检测出来。
发明内容
本发明为了解决现有技术中存在的问题,提供一种提高了多元分类的效率,简化了多元分类的拓扑结构,节省了计算资源的基于改进SVM多分类的网络入侵检测方法。
为了达到上述目的,本发明提出的技术方案为:一种基于改进SVM多分类的网络入侵检测方法,包括如下步骤:
步骤一、获取数据并对数据进行预处理;
步骤二、将预处理后的数据分为正常和攻击的二元数据类型,所述攻击数据包括若干分类类型,将数据经过SVM输出二元分类结果,若分类结果为正常类型,则直接输出;若分类结果为攻击类型,则将分类数据代入BP神经网络;
步骤三、构建三层BP神经网络,BP神经网络的输入层节点数a、隐含层节点数h、输出节点数c,其中,h=2a+1;将分类数据输入BP神经网络得到输出结果。
对上述技术方案的进一步设计为:数据的预处理包括数据清洗、数据标准化和归一化处理。
数据标准化采用Z-score方法对数值型特征进行标准化处理:
其中,r为标准化前的数值,z为标准化后的值,μ为数据平均值,s为标准差。
数据归一化是按下述规则将数据映射到区间[0,1],
其中,x为归一化后的值,zmax为标准化后的最大值,zmin为标准化后的最小值。
所述BP神经网络隐含层神经元之间设置有权重系数,分类数据输入BP神经网络后将权重系数与输入数据相乘得到预测值,将预测值f(xi)与对应的真实值f(xi)’按下式求得预测误差,
ei=|f(xi)-f(xi)'|
其中,ei为预测误差;
设置最小误差,若预测误差小于等于预设的最小误差值,则输出结果;若大于预设的最小误差值,则将这个误差值通过隐含层神经元向后传播,并调整权重系数,然后重复将分类数据输入BP神经网络求得预测误差的操作,直至预测误差小于等于预设的最小误差,输出最后的结果。
本发明的有益效果为:
(1)简化了原有SVM分类器在面对多分类问题时,拓扑结构复杂的问题,减少了计算资源。(2)相比于直接应用BP神经网络将多分类问题直接分离出来,本发明的优势在于SVM分类输出的一种结果,可以在最终的结果中实现快速输出,同时快速输出的结果在整个网络入侵检测过程中属于较为重要的一个环节,省略了大量冗余的计算过程,可以实现计算资源的整合与优化。
附图说明
图1是SVM多元分类的二叉树结构图;
图2是本发明改进的SVM多元分类的树型拓扑结构图;
图3是三层BP神经网络拓扑结构图;
图4是本发明的流程图。
具体实施方式
下面结合附图以及具体实施例对本发明进行详细说明。
实施例
本实施例的一种基于改进SVM多分类的网络入侵检测方法,流程图如图4所示,该方法包括以下步骤:
(1)数据的获取和预处理;
(11)数据的获取主要是通过网站用户的数据库得到的原始数据,数据的预处理包括数据清洗和数据标准化、归一化处理。在本实施例中主要是获取的古代数学网页的数据库信息,其记录了用户的登录和浏览等记录。
(12)数据清洗是在得到原始数据之后,对数据进行重新审查和校验,目的在于删除重复信息、纠正存在的错误,并保证数据一致性。将错误、缺失和冗余的数据剔除,得到一份具有一致性的数据。
(13)将原始数据经清洗后,为了消除指标间量纲的影响并且保证数据输入的稳定性,要对数据进行标准化和归一化处理。标准化采用Z-score方法对数值型特征进行标准化处理,通过计算公式(1):
其中,r为标准化前的数值,z为标准化后的值,μ为数据平均值,s为标准差。
将标准化的数据根据一定的规则,映射到区间[0,1],通过计算公式(2):
其中,x为归一化后的值,zmax为标准化后的最大值,zmin为标准化后的最小值。
表1所示为本实施例中数据标识类型及其含义说明
表1
(2)将数据分为正常(normal)和攻击(attack),两种数据类型,将二元分类经过SVM输出得出最终的分类结果。
(21)首先确定输入集合X={x1,x2,…,xn},集合X为数据归一化后形成集合,确定输出集合Y={1,-1},当Y=1时,表示正例,Y=-1时,表示负例。
(22)svm在求解最优分类结果的过程为:构建线性判别函数,
g(x)=ω1x1+ω2x2+L+ωnxn+b (3)
简化为:
g(x)=ωTx+b(4)
其中,g(x)表示输出值,xi表示输入值,ω、b为待定参数,ωT表示其转置。使得|g(x)|≥1,此时分类的间隔为2/||ω||。为了此时的值最大,则||ω||或||ω||2取最小值。其表达式为:
其中,||ω||表示二范数,其定义为:
(23)由于不能保证所有样本均线性可分,因此在目标函数中增加惩罚项来间接增大目标函数值。通过计算公式(6):
其中,ξi为松弛变量,ξi>0,C为惩罚因子,C>0。式②为约束条件,yi是输出值。通过上式来求解一个最优的超平面g(x)best=ωTx+b,此时分类间隔是最大的,得到最优分类结果。
(24)引入径向基函数核(RBF),经SVM二分类后得出分类结果。若分类结果为normal类型,则直接输出,若分类结果为attack类型,则将分类数据代入BP神经网络中,作进一步分类说明。
(3)如图3是三层BP神经网络的拓扑结构,建立三层BP神经网络的具体步骤如下:
(31)确定输入层节点数a、隐含层节点数h、输出节点数c,其中a,c由具体的***决定,h=2a+1。在本实施例中输入节点数a为4,输出节点数c为4,则隐含层节点数h为9。
(32)由输入数据通过隐含层神经元向前传播,每一个神经元之间附有初始权重,在经过一个神经元后,则将权重系数与输入数据相乘得到一个预测值f(xi),与其对应的真实值f(xi)’,通过公式(7):
ei=|f(xi)-f(xi)'| (7)
其中,ei为预测误差,通过式(7)计算得出实际和真实数据之间的误差。
(33)若预测误差小于等于预设的最小误差值,则将结果此刻输出,若大于预设的最小误差值,则将这个误差值通过隐含层神经元向后传播,并不断调整其权重。然后再次重复步骤(32)的操作,直至完成预测误差小于等预设的最小误差值,输出最后的结果。在本实施例中设置的最小误差值为10-5。
(4)完成整个网络入侵检测过程,分析网络入侵的结果,并通过完善网页的设计和完善网页的监管机制,实现更安全的网络环境。
图1所示为直接按照以往SVM面对多元分类问题,构建的二叉树模型。首先按数据标记类型0~4进行第一层SVM分类,分为0和1~4,其中还包括1和0,2~4、2和0~1,3~4、3和0~2,4,以及4和0~3这几种分类方式,图1所示仅为其中一种分类方式,以下几层SVM的分类同样只列举了其中一种方式进行排布。共构成4层的二叉树SVM分类模型。虽然这种分类方式简单易懂,但面对本实施例中5种方式的网络入侵检测,则会带来更多的计算量。
图2所示是本发明实施例方法对多元分类问题改进的树形拓扑结构图,其中共分为了2层树形拓扑结构,与图1对比之后,发现本发明的方法极大的简化了拓扑结构在第一层的SVM分类器中,若检测出来的结果为normal型,则可以将其结果直接输出,并不需要再次等到其他分类器的结果完成呈现出来。这极大的节约计算资源。
本发明的技术方案不局限于上述各实施例,凡采用等同替换方式得到的技术方案均落在本发明要求保护的范围内。
Claims (5)
1.一种基于改进SVM多分类的网络入侵检测方法,其特征在于,包括如下步骤:
步骤一、获取数据并对数据进行预处理;
步骤二、将预处理后的数据分为正常和攻击的二元数据类型,所述攻击数据包括若干分类类型,将数据经过SVM输出二元分类结果,若分类结果为正常类型,则直接输出;若分类结果为攻击类型,则将分类数据代入BP神经网络;
步骤三、构建三层BP神经网络,BP神经网络的输入层节点数a、隐含层节点数h、输出节点数c,其中,h=2a+1;将分类数据输入BP神经网络得到输出结果。
2.根据权利要求1所述基于改进SVM多分类的网络入侵检测方法,其特征在于:数据的预处理包括数据清洗、数据标准化和归一化处理。
3.根据权利要求2所述基于改进SVM多分类的网络入侵检测方法,其特征在于:数据标准化采用Z-score方法对数值型特征进行标准化处理:
其中,r为标准化前的数值,z为标准化后的值,μ为数据平均值,s为标准差。
4.根据权利要求3所述基于改进SVM多分类的网络入侵检测方法,其特征在于:数据归一化是按下述规则将数据映射到区间[0,1],
其中,x为归一化后的值,zmax为标准化后的最大值,zmin为标准化后的最小值。
5.根据权利要求1所述基于改进SVM多分类的网络入侵检测方法,其特征在于:所述BP神经网络隐含层神经元之间设置有权重系数,分类数据输入BP神经网络后将权重系数与输入数据相乘得到预测值,将预测值f(xi)与对应的真实值f(xi)’按下式求得预测误差,
ei=|f(xi)-f(xi)'|
其中,ei为预测误差;
设置最小误差,若预测误差小于等于预设的最小误差值,则输出结果;若大于预设的最小误差值,则将这个误差值通过隐含层神经元向后传播,并调整权重系数,然后重复将分类数据输入BP神经网络求得预测误差的操作,直至预测误差小于等于预设的最小误差,输出最后的结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110143858.3A CN112765148A (zh) | 2021-02-02 | 2021-02-02 | 一种基于改进svm多分类的网络入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110143858.3A CN112765148A (zh) | 2021-02-02 | 2021-02-02 | 一种基于改进svm多分类的网络入侵检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112765148A true CN112765148A (zh) | 2021-05-07 |
Family
ID=75704657
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110143858.3A Pending CN112765148A (zh) | 2021-02-02 | 2021-02-02 | 一种基于改进svm多分类的网络入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112765148A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114259162A (zh) * | 2021-12-10 | 2022-04-01 | 麒盛科技股份有限公司 | 一种可识别睡姿的气囊枕及其控制方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399672A (zh) * | 2008-10-17 | 2009-04-01 | 章毅 | 一种多神经网络融合的入侵检测方法 |
| CN103619021A (zh) * | 2013-12-10 | 2014-03-05 | 天津工业大学 | 一种基于神经网络的无线传感器网络入侵检测算法 |
-
2021
- 2021-02-02 CN CN202110143858.3A patent/CN112765148A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399672A (zh) * | 2008-10-17 | 2009-04-01 | 章毅 | 一种多神经网络融合的入侵检测方法 |
| CN103619021A (zh) * | 2013-12-10 | 2014-03-05 | 天津工业大学 | 一种基于神经网络的无线传感器网络入侵检测算法 |
Non-Patent Citations (1)
| Title |
|---|
| 王月康: "基于SVM的入侵检测算法研究及其在农产品电商中的应用" * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114259162A (zh) * | 2021-12-10 | 2022-04-01 | 麒盛科技股份有限公司 | 一种可识别睡姿的气囊枕及其控制方法 |
| CN114259162B (zh) * | 2021-12-10 | 2023-12-05 | 麒盛科技股份有限公司 | 一种可识别睡姿的气囊枕及其控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108764207B (zh) | 一种基于多任务卷积神经网络的人脸表情识别方法 | |
| CN105224872B (zh) | 一种基于神经网络聚类的用户异常行为检测方法 | |
| CN111832647A (zh) | 异常流量检测***及方法 | |
| Zhang et al. | Chromosome classification with convolutional neural network based deep learning | |
| CN112087442B (zh) | 基于注意力机制的时序相关网络入侵检测方法 | |
| CN112270345B (zh) | 基于自监督字典学习的聚类算法 | |
| CN112529638B (zh) | 基于用户分类和深度学习的服务需求动态预测方法及*** | |
| CN110851654A (zh) | 基于张量化数据降维的工业设备故障检测分类方法 | |
| CN115695025B (zh) | 网络安全态势预测模型的训练方法及装置 | |
| CN112164033A (zh) | 一种基于异常特征编辑的对抗网络纹理表面缺陷检测方法 | |
| CN111709523A (zh) | 一种基于内部集成的宽度学习方法 | |
| CN116738339A (zh) | 一种小样本电信号多分类深度学习识别检测方法 | |
| CN113642674A (zh) | 一种基于图卷积神经网络的多轮对话分类方法 | |
| CN114580934A (zh) | 基于无监督异常检测的食品检测数据风险的早预警方法 | |
| Li et al. | A spacecraft electrical characteristics multi-label classification method based on off-line FCM clustering and on-line WPSVM | |
| CN112765148A (zh) | 一种基于改进svm多分类的网络入侵检测方法 | |
| CN114912109B (zh) | 一种基于图嵌入的异常行为序列识别方法及*** | |
| CN116506210A (zh) | 基于流量特征融合的网络入侵检测方法及*** | |
| CN115169654A (zh) | 基于无监督聚类和支持向量机的短期电力负荷预测方法 | |
| CN114169433A (zh) | 一种基于联邦学习+图学习+cnn的工业故障预测方法 | |
| CN111882441A (zh) | 一种基于理财产品推荐场景的用户预测解释Treeshap方法 | |
| CN112015894A (zh) | 一种基于深度学习的文本单类分类方法及*** | |
| An et al. | Cross-Subject EEG Emotion Recognition Based on Interconnected Dynamic Domain Adaptation | |
| Wen et al. | IMKGA-SM: Interpretable Multimodal Knowledge Graph Answer Prediction via Sequence Modeling | |
| Xu-Dong et al. | Control Chart Recognition Method Based on Transfer Learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210507 |