CN117336195B - 一种基于雷达图法的入侵检测模型综合性能评估方法 - Google Patents
一种基于雷达图法的入侵检测模型综合性能评估方法 Download PDFInfo
- Publication number
- CN117336195B CN117336195B CN202311628020.9A CN202311628020A CN117336195B CN 117336195 B CN117336195 B CN 117336195B CN 202311628020 A CN202311628020 A CN 202311628020A CN 117336195 B CN117336195 B CN 117336195B
- Authority
- CN
- China
- Prior art keywords
- model
- training
- machine model
- intrusion detection
- extreme learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 80
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000011156 evaluation Methods 0.000 title claims abstract description 39
- 238000012549 training Methods 0.000 claims abstract description 118
- 238000012706 support-vector machine Methods 0.000 claims abstract description 61
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 28
- 238000003062 neural network model Methods 0.000 claims abstract description 28
- 230000006870 function Effects 0.000 claims description 27
- 239000000523 sample Substances 0.000 claims description 20
- 238000012360 testing method Methods 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 claims description 12
- 230000004913 activation Effects 0.000 claims description 9
- 238000011176 pooling Methods 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 2
- 238000013461 design Methods 0.000 abstract description 5
- 238000005259 measurement Methods 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/217—Validation; Performance evaluation; Active pattern learning techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2431—Multiple classes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computing Systems (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Software Systems (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Radar Systems Or Details Thereof (AREA)
Abstract
本发明公开了一种基于雷达图法的入侵检测模型综合性能评估方法,包括:一、训练数据集的获取;二、建立CNN神经网络模型并训练;三、建立支持向量机模型并训练;四、建立极限学习机模型并训练;五、基于雷达图对CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行综合性能评估;六、待测***网络流量数据进行实时检测,并将获取的待测***网络流量数据输入最优入侵检测模型中预测得到网络状态类型。本发明方法步骤简单、设计合理,基于雷达图法面积评价值和周长评价值获取最优入侵检测模型,并利用最优入侵检测模型对待测***网络流量数据预测,提高了预测的准确性。
Description
技术领域
本发明属于航天测控安全技术领域,具体涉及一种基于雷达图法的入侵检测模型综合性能评估方法。
背景技术
航天测控领域是一个高度复杂和关键的领域,它的安全性对于航天任务的成功和国家安全具有重要意义。随着网络攻击和异常行为的不断增加,航天测控领域面临着越来越多的安全威胁。网络入侵检测技术是一种有效的网络安全技术,可以对网络中的异常行为进行实时检测和阻止。
在航天测控领域中,入侵检测技术可以有效地保障***的安全性,防止网络攻击和异常行为对航天任务的影响。然而,单纯依靠入侵检测技术并不能完全保障***的安全性,因为入侵检测***也可能存在误报、漏报等问题。则需要综合性能评估方法来评估***入侵检测的性能,以确保其能够有效地保障***的安全性。
传统的***入侵检测性能评估方法采用的指标存在一定的单一片面性,无法全面评估***入侵检测的性能。
发明内容
本发明所要解决的技术问题在于针对上述现有技术中的不足,提供一种基于雷达图法的入侵检测模型综合性能评估方法,其方法步骤简单、设计合理,基于雷达图法面积评价值和周长评价值获取最优入侵检测模型,并利用最优入侵检测模型对待测***网络流量数据预测,提高了预测的准确性。
为解决上述技术问题,本发明采用的技术方案是:一种基于雷达图法的入侵检测模型综合性能评估方法,其特征在于,该方法包括以下步骤:
步骤一、训练数据集的获取:
步骤101、从NSL-KDD数据集中选择正常网络流量数据和异常网络流量数据,作为训练数据集和测试数据集;其中,训练数据集的个数为M,测试数据集的个数为N,M和N均为正整数,M大于N;所述异常网络流量数据中包括四种入侵异常类别,且四种入侵异常类别分别为Probe、DoS、U2R和R2L;
步骤102、将训练数据集中M个训练数据的网络状态类型分别进行标记;其中,网络状态类型分别为1、2、3、4、5;1即Normal,2即Probe,3即DoS,4即U2R,5即R2L;
步骤二、建立CNN神经网络模型并训练:
步骤201、建立CNN神经网络模型;
步骤202、将M个训练数据划分为多组,每组输入CNN神经网络模型中进行训练,得到训练好的CNN神经网络模型;
步骤三、建立支持向量机模型并训练:
步骤301、建立四个支持向量机模型;
步骤302、将M个训练数据依次经过四个支持向量机模型进行训练分类,得到训练好的四个支持向量机模型;
步骤四、建立极限学习机模型并训练:
步骤401、采用计算机建立极限学习机模型;其中,极限学习机模型输入层的节点数为41个,将每个训练数据的41个特征作为极限学习机模型的输入;极限学习机模型输出层的节点数为1个,将网络状态类型作为极限学习机模型的输出;
步骤402、将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型;
步骤五、基于雷达图对CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行综合性能评估:
步骤501、将CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型分别记作第1个入侵检测模型,第2个入侵检测模型和第3个入侵检测模型;
步骤502、采用计算机将测试数据集输入训练好的CNN神经网络模型,对测试数据集进行分类,并获取第1个入侵检测模型分类对应的精确率、对数损失、马修斯相关系数MCC、AUC、平均准确率;
步骤503、采用计算机将(MCC+1)/2,得到修正后马修斯相关系数,然后基于第1个入侵检测模型分类对应的精确率、对数损失、修正后马修斯相关系数、AUC、平均准确率得到第一个雷达图,并得到第一个雷达图对应的面积和周长;
步骤504、按照步骤502至步骤503的方法,得到第2个入侵检测模型的第二个雷达图对应的面积和周长;
步骤505、按照步骤502至步骤503的方法,得到第3个入侵检测模型的第二个雷达图对应的面积和周长;
步骤506、采用计算机将第个入侵检测模型的第/>个雷达图对应的面积记作/>,周长记作/>;其中,/>为正整数,且/>;
步骤507、采用计算机根据公式,得到第/>个入侵检测模型的面积评价值/>和周长评价值/>;根据公式/>,得到第/>个入侵检测模型的综合评价指标/>;
步骤508、选取综合评价指标最大值所对应的入侵检测模型为最优入侵检测模型;
步骤六、待测***网络流量数据进行实时检测,并将获取的待测***网络流量数据输入最优入侵检测模型中预测得到网络状态类型。
上述的一种基于雷达图法的入侵检测模型综合性能评估方法,其特征在于:步骤201中CNN神经网络模型包括输入层、卷积层、下采样层、全连接层和输出层;输入层为41×41,卷积层中卷积核的数量为8,卷积核的大小为5×5,滑动步长为1;下采样层中池化核为3×3,滑动步长为2;输出层为5个节点分别对五种网络状态类型;
步骤301中每个支持向量机模型中设置核函数为高斯核函数,误差项惩罚系数为[0.1,2],核函数系数为[0.01,10],最大迭代次数为200次~1000次;
步骤401中极限学习机模型隐含层的节点数为n,且n取值为50~100的自然数。
上述的一种基于雷达图法的入侵检测模型综合性能评估方法,其特征在于:步骤302中将M个训练数据依次经过四个支持向量机模型进行训练分类,得到训练好的四个支持向量机模型,具体过程如下:
步骤3021、四个支持向量机模型分别为第一支持向量机模型、第二支持向量机模型、第三支持向量机模型和第四支持向量机模型;
步骤3022、将任一个训练数据输入第一支持向量机模型训练分类为第一类为正常网络流量,第二类为入侵异常;
步骤3023、将第二类输入第二支持向量机模型训练分类为第三类为Probe,第四类不属于Probe;
步骤3024、将第四类输入第三支持向量机模型训练分类为第五类为DoS,第六类不属于DoS;
步骤3025、将第六类输入第四支持向量机模型训练分类为第七类为U2R,第八类为R2L;
步骤3026、多次重复步骤3022至步骤3025,完成M个训练数据的训练,完成一次迭代训练;
步骤3027、多次重复步骤3022至步骤3026,完成最大迭代次数训练,得到训练好的四个支持向量机模型。
上述的一种基于雷达图法的入侵检测模型综合性能评估方法,其特征在于:步骤402中将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型,具体过程如下:
步骤4021、采用计算机设置激活函数为Sigmiod函数、ReLU函数或者Tanh函数,对n取值为50~100的自然数时所对应的不同隐含层节点数的极限学习机模型进行训练;其中,第i个训练样本包括第i个训练数据的41个特征和第i个训练数据的网络状态类型;其中,1≤i≤M;
步骤4022、采用计算机将不同激活函数下第i个训练样本在第j个隐含层节点数时极限学习机模型的输出值和第i个训练数据的网络状态类型进行比较,如果输出值和第i个训练数据的网络状态类型相同,则标记极限学习机模型预测正确,否则,极限学习机模型预测错误;其中,j为正整数,50≤j≤100;
步骤4023、多次重复步骤4022判断,得到M训练样本在第j个隐含层节点数时,极限学习机模型预测错误的数量;其中,极限学习机模型预测错误的数量的初始值为零;
步骤4024、采用计算机根据极限学习机模型预测错误的数量与M之比,得到不同激活函数下第j个隐含层节点数所对应的极限学习机模型的误差;并将误差按照从小到大的顺序进行排序,则误差最小值所对应的极限学习机模型为训练好的极限学习机模型。
本发明与现有技术相比具有以下优点:
1、本发明方法步骤简单,设计合理,解决目前入侵检测模型综合性能评估的问题。
2、本发明建立CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行训练,得到三个训练好的入侵检测模型,便于后续评估最优入侵检测模型。
3、本发明基于雷达图对CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行综合性能评估,且通过面积评价值和周长评价值综合评估,避免单一指标评估的问题,提高了入侵检测模型的综合性能,进而对待测***网络流量数据预测,提高了预测的准确性。
综上所述,本发明方法步骤简单、设计合理,基于雷达图法面积评价值和周长评价值获取最优入侵检测模型,并利用最优入侵检测模型对待测***网络流量数据预测,提高了预测的准确性。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明的方法流程框图。
具体实施方式
如图1所示,本发明基于雷达图法的入侵检测模型综合性能评估方法,包括以下步骤:
步骤一、训练数据集的获取:
步骤101、从NSL-KDD数据集中选择正常网络流量数据和异常网络流量数据,作为训练数据集和测试数据集;其中,训练数据集的个数为M,测试数据集的个数为N,M和N均为正整数,M大于N;所述异常网络流量数据中包括四种入侵异常类别,且四种入侵异常类别分别为Probe、DoS、U2R和R2L;
步骤102、将训练数据集中M个训练数据的网络状态类型分别进行标记;其中,网络状态类型分别为1、2、3、4、5;1即Normal,2即Probe,3即DoS,4即U2R,5即R2L;
步骤二、建立CNN神经网络模型并训练:
步骤201、建立CNN神经网络模型;
步骤202、将M个训练数据划分为多组,每组输入CNN神经网络模型中进行训练,得到训练好的CNN神经网络模型;
步骤三、建立支持向量机模型并训练:
步骤301、建立四个支持向量机模型;
步骤302、将M个训练数据依次经过四个支持向量机模型进行训练分类,得到训练好的四个支持向量机模型;
步骤四、建立极限学习机模型并训练:
步骤401、采用计算机建立极限学习机模型;其中,极限学习机模型输入层的节点数为41个,将每个训练数据的41个特征作为极限学习机模型的输入;极限学习机模型输出层的节点数为1个,将网络状态类型作为极限学习机模型的输出;
步骤402、将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型;
步骤五、基于雷达图对CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行综合性能评估:
步骤501、将CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型分别记作第1个入侵检测模型,第2个入侵检测模型和第3个入侵检测模型;
步骤502、采用计算机将测试数据集输入训练好的CNN神经网络模型,对测试数据集进行分类,并获取第1个入侵检测模型分类对应的精确率、对数损失、马修斯相关系数MCC、AUC、平均准确率;
步骤503、采用计算机将(MCC+1)/2,得到修正后马修斯相关系数,然后基于第1个入侵检测模型分类对应的精确率、对数损失、修正后马修斯相关系数、AUC、平均准确率得到第一个雷达图,并得到第一个雷达图对应的面积和周长;
步骤504、按照步骤502至步骤503的方法,得到第2个入侵检测模型的第二个雷达图对应的面积和周长;
步骤505、按照步骤502至步骤503的方法,得到第3个入侵检测模型的第二个雷达图对应的面积和周长;
步骤506、采用计算机将第个入侵检测模型的第/>个雷达图对应的面积记作/>,周长记作/>;其中,/>为正整数,且/>;
步骤507、采用计算机根据公式,得到第/>个入侵检测模型的面积评价值/>和周长评价值/>;根据公式/>,得到第/>个入侵检测模型的综合评价指标/>;/>表示圆周率;
步骤508、选取综合评价指标最大值所对应的入侵检测模型为最优入侵检测模型;
步骤六、待测***网络流量数据进行实时检测,并将获取的待测***网络流量数据输入最优入侵检测模型中预测得到网络状态类型。
本实施例中,步骤201中CNN神经网络模型包括输入层、卷积层、下采样层、全连接层和输出层;输入层为41×41,卷积层中卷积核的数量为8,卷积核的大小为5×5,滑动步长为1;下采样层中池化核为3×3,滑动步长为2;输出层为5个节点分别对五种网络状态类型;
步骤301中每个支持向量机模型中设置核函数为高斯核函数,误差项惩罚系数为[0.1,2],核函数系数为[0.01,10],最大迭代次数为200次~1000次;
步骤401中极限学习机模型隐含层的节点数为n,且n取值为50~100的自然数。
本实施例中,步骤302中将M个训练数据依次经过四个支持向量机模型进行训练分类,得到训练好的四个支持向量机模型,具体过程如下:
步骤3021、四个支持向量机模型分别为第一支持向量机模型、第二支持向量机模型、第三支持向量机模型和第四支持向量机模型;
步骤3022、将任一个训练数据输入第一支持向量机模型训练分类为第一类为正常网络流量,第二类为入侵异常;
步骤3023、将第二类输入第二支持向量机模型训练分类为第三类为Probe,第四类不属于Probe;
步骤3024、将第四类输入第三支持向量机模型训练分类为第五类为DoS,第六类不属于DoS;
步骤3025、将第六类输入第四支持向量机模型训练分类为第七类为U2R,第八类为R2L;
步骤3026、多次重复步骤3022至步骤3025,完成M个训练数据的训练,完成一次迭代训练;
步骤3027、多次重复步骤3022至步骤3026,完成最大迭代次数训练,得到训练好的四个支持向量机模型。
本实施例中,步骤402中将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型,具体过程如下:
步骤4021、采用计算机设置激活函数为Sigmiod函数、ReLU函数或者Tanh函数,对n取值为50~100的自然数时所对应的不同隐含层节点数的极限学习机模型进行训练;其中,第i个训练样本包括第i个训练数据的41个特征和第i个训练数据的网络状态类型;其中,1≤i≤M;
步骤4022、采用计算机将不同激活函数下第i个训练样本在第j个隐含层节点数时极限学习机模型的输出值和第i个训练数据的网络状态类型进行比较,如果输出值和第i个训练数据的网络状态类型相同,则标记极限学习机模型预测正确,否则,极限学习机模型预测错误;其中,j为正整数,50≤j≤100;
步骤4023、多次重复步骤4022判断,得到M训练样本在第j个隐含层节点数时,极限学习机模型预测错误的数量;其中,极限学习机模型预测错误的数量的初始值为零;
步骤4024、采用计算机根据极限学习机模型预测错误的数量与M之比,得到不同激活函数下第j个隐含层节点数所对应的极限学习机模型的误差;并将误差按照从小到大的顺序进行排序,则误差最小值所对应的极限学习机模型为训练好的极限学习机模型。
本实施例中,每个训练数据的41个特征,M为4100个,则步骤202中M个训练数据划分为M/41即100组,每组为输入层的41×41。
本实施例中,N为1000,通过测试数据集对最优入侵检测模型进行验证,以满足入侵检测要求。
本实施例中,Normal表示正常网络流量数据;
Probe表示探测攻击,即通过扫描网络收集信息;
DoS表示拒绝服务,即dos攻击通过向目标服务器发送大量流量或信息致使目标无法被访问;
R2L表示远程入侵,即远程用户攻击利用安全漏洞,通过远程登陆计算机进行非法操作;
U2R表示获取权限,即通过非法手段获取root权;
本实施例中,卷积层中填充中p取零。
本实施例中,精确率、对数损失、马修斯相关系数、AUC、平均准确率的获取采用本领域常规方式。
综上所述,本发明方法步骤简单、设计合理,基于雷达图法面积评价值和周长评价值获取最优入侵检测模型,并利用最优入侵检测模型对待测***网络流量数据预测,提高了预测的准确性。
以上所述,仅是本发明的较佳实施例,并非对本发明作任何限制,凡是根据本发明技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化,均仍属于本发明技术方案的保护范围内。
Claims (3)
1.一种基于雷达图法的入侵检测模型综合性能评估方法,其特征在于,该方法包括以下步骤:
步骤一、训练数据集的获取:
步骤101、从NSL-KDD数据集中选择正常网络流量数据和异常网络流量数据,作为训练数据集和测试数据集;其中,训练数据集中训练数据的个数为M,测试数据集的个数为N,M和N均为正整数,M大于N;所述异常网络流量数据中包括四种入侵异常类别,且四种入侵异常类别分别为Probe、DoS、U2R和R2L;
步骤102、将训练数据集中M个训练数据的网络状态类型分别进行标记;其中,网络状态类型分别为1、2、3、4、5;1即Normal,2即Probe,3即DoS,4即U2R,5即R2L;
步骤二、建立CNN神经网络模型并训练:
步骤201、建立CNN神经网络模型;
步骤202、将M个训练数据划分为多组,每组输入CNN神经网络模型中进行训练,得到训练好的CNN神经网络模型;
步骤三、建立支持向量机模型并训练:
步骤301、建立四个支持向量机模型;
步骤302、将M个训练数据依次经过四个支持向量机模型进行训练分类,得到训练好的四个支持向量机模型;
步骤四、建立极限学习机模型并训练:
步骤401、采用计算机建立极限学习机模型;其中,极限学习机模型输入层的节点数为41个,将每个训练数据的41个特征作为极限学习机模型的输入;极限学习机模型输出层的节点数为1个,将网络状态类型作为极限学习机模型的输出;
步骤402、将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型;
步骤五、基于雷达图对CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型进行综合性能评估:
步骤501、将CNN神经网络模型、支持向量机模型和极限学习机模型三个入侵检测模型分别记作第1个入侵检测模型,第2个入侵检测模型和第3个入侵检测模型;
步骤502、采用计算机将测试数据集输入训练好的CNN神经网络模型,对测试数据集进行分类,并获取第1个入侵检测模型分类对应的精确率、对数损失、马修斯相关系数MCC、AUC、平均准确率;
步骤503、采用计算机将(MCC+1)/2,得到修正后马修斯相关系数,然后基于第1个入侵检测模型分类对应的精确率、对数损失、修正后马修斯相关系数、AUC、平均准确率得到第一个雷达图,并得到第一个雷达图对应的面积和周长;
步骤504、按照步骤502至步骤503的方法,得到第2个入侵检测模型的第二个雷达图对应的面积和周长;
步骤505、按照步骤502至步骤503的方法,得到第3个入侵检测模型的第二个雷达图对应的面积和周长;
步骤506、采用计算机将第个入侵检测模型的第/>个雷达图对应的面积记作/>,周长记作/>;其中,/>为正整数,且/>;
步骤507、采用计算机根据公式,得到第/>个入侵检测模型的面积评价值/>和周长评价值/>;根据公式/>,得到第/>个入侵检测模型的综合评价指标/>;
步骤508、选取综合评价指标最大值所对应的入侵检测模型为最优入侵检测模型;
步骤六、待测***网络流量数据进行实时检测,并将获取的待测***网络流量数据输入最优入侵检测模型中预测得到网络状态类型;
步骤302中将M个训练数据依次经过四个支持向量机模型进行训练分类,得到训练好的四个支持向量机模型,具体过程如下:
步骤3021、四个支持向量机模型分别为第一支持向量机模型、第二支持向量机模型、第三支持向量机模型和第四支持向量机模型;
步骤3022、将任一个训练数据输入第一支持向量机模型训练分类为第一类为正常网络流量,第二类为入侵异常;
步骤3023、将第二类输入第二支持向量机模型训练分类为第三类为Probe,第四类不属于Probe;
步骤3024、将第四类输入第三支持向量机模型训练分类为第五类为DoS,第六类不属于DoS;
步骤3025、将第六类输入第四支持向量机模型训练分类为第七类为U2R,第八类为R2L;
步骤3026、多次重复步骤3022至步骤3025,完成M个训练数据的训练,完成一次迭代训练;
步骤3027、多次重复步骤3022至步骤3026,完成最大迭代次数训练,得到训练好的四个支持向量机模型。
2.按照权利要求1所述的一种基于雷达图法的入侵检测模型综合性能评估方法,其特征在于:步骤201中CNN神经网络模型包括输入层、卷积层、下采样层、全连接层和输出层;输入层为41×41,卷积层中卷积核的数量为8,卷积核的大小为5×5,滑动步长为1;下采样层中池化核为3×3,滑动步长为2;输出层为5个节点分别对五种网络状态类型;
步骤301中每个支持向量机模型中设置核函数为高斯核函数,误差项惩罚系数为[0.1,2],核函数系数为[0.01,10],最大迭代次数为200次~1000次;
步骤401中极限学习机模型隐含层的节点数为n,且n取值为50~100的自然数。
3.按照权利要求1所述的一种基于雷达图法的入侵检测模型综合性能评估方法,其特征在于:步骤402中将M个训练数据对极限学习机模型进行训练,得到训练好的极限学习机模型,具体过程如下:
步骤4021、采用计算机设置激活函数为Sigmiod函数、ReLU函数或者Tanh函数,对n取值为50~100的自然数时所对应的不同隐含层节点数的极限学习机模型进行训练;其中,第i个训练样本包括第i个训练数据的41个特征和第i个训练数据的网络状态类型;其中,1≤i≤M;
步骤4022、采用计算机将不同激活函数下第i个训练样本在第j个隐含层节点数时极限学习机模型的输出值和第i个训练数据的网络状态类型进行比较,如果输出值和第i个训练数据的网络状态类型相同,则标记极限学习机模型预测正确,否则,极限学习机模型预测错误;其中,j为正整数,50≤j≤100;
步骤4023、多次重复步骤4022判断,得到M训练样本在第j个隐含层节点数时,极限学习机模型预测错误的数量;其中,极限学习机模型预测错误的数量的初始值为零;
步骤4024、采用计算机根据极限学习机模型预测错误的数量与M之比,得到不同激活函数下第j个隐含层节点数所对应的极限学习机模型的误差;并将误差按照从小到大的顺序进行排序,则误差最小值所对应的极限学习机模型为训练好的极限学习机模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311628020.9A CN117336195B (zh) | 2023-12-01 | 2023-12-01 | 一种基于雷达图法的入侵检测模型综合性能评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311628020.9A CN117336195B (zh) | 2023-12-01 | 2023-12-01 | 一种基于雷达图法的入侵检测模型综合性能评估方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117336195A CN117336195A (zh) | 2024-01-02 |
CN117336195B true CN117336195B (zh) | 2024-02-06 |
Family
ID=89279632
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311628020.9A Active CN117336195B (zh) | 2023-12-01 | 2023-12-01 | 一种基于雷达图法的入侵检测模型综合性能评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117336195B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107911346A (zh) * | 2017-10-31 | 2018-04-13 | 天津大学 | 一种基于极限学习机的入侵检测方法 |
CN116132104A (zh) * | 2022-12-07 | 2023-05-16 | 西京学院 | 基于改进cnn-lstm的入侵检测方法、***、设备及介质 |
CN116663414A (zh) * | 2023-06-01 | 2023-08-29 | 国网河北省电力有限公司保定供电分公司 | 一种用于电力变压器的故障诊断方法及*** |
CN116827459A (zh) * | 2023-08-30 | 2023-09-29 | 长春市佳白网络科技有限公司 | 一种无线通信网络设备性能测试方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10733530B2 (en) * | 2016-12-08 | 2020-08-04 | Resurgo, Llc | Machine learning model evaluation in cyber defense |
FR3082963A1 (fr) * | 2018-06-22 | 2019-12-27 | Amadeus S.A.S. | Systeme et procede d'evaluation et de deploiement de modeles d'apprentissage automatique non supervises ou semi-supervises |
-
2023
- 2023-12-01 CN CN202311628020.9A patent/CN117336195B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107911346A (zh) * | 2017-10-31 | 2018-04-13 | 天津大学 | 一种基于极限学习机的入侵检测方法 |
CN116132104A (zh) * | 2022-12-07 | 2023-05-16 | 西京学院 | 基于改进cnn-lstm的入侵检测方法、***、设备及介质 |
CN116663414A (zh) * | 2023-06-01 | 2023-08-29 | 国网河北省电力有限公司保定供电分公司 | 一种用于电力变压器的故障诊断方法及*** |
CN116827459A (zh) * | 2023-08-30 | 2023-09-29 | 长春市佳白网络科技有限公司 | 一种无线通信网络设备性能测试方法 |
Non-Patent Citations (2)
Title |
---|
基于GR-CNN算法的网络入侵检测模型设计与实现;池亚平;杨垠坦;李格菲;王志强;许萍;;计算机应用与软件(第12期);全文 * |
基于可视化图形特征的入侵检测方法;陈实;黄芝平;刘纯武;;计算机测量与控制(第08期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117336195A (zh) | 2024-01-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110826059B (zh) | 面向恶意软件图像格式检测模型的黑盒攻击的防御方法及其装置 | |
CN111428231B (zh) | 基于用户行为的安全处理方法、装置及设备 | |
CN107104978B (zh) | 一种基于深度学习的网络风险预警方法 | |
CN112910859B (zh) | 基于c5.0决策树和时序分析的物联网设备监测预警方法 | |
CN109379379A (zh) | 基于改进卷积神经网络的网络入侵检测方法 | |
CN107454105B (zh) | 一种基于ahp与灰色关联的多维网络安全评估方法 | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
CN110381079B (zh) | 结合gru和svdd进行网络日志异常检测方法 | |
CN113780443B (zh) | 一种面向威胁检测的网络安全态势评估方法 | |
CN112491796A (zh) | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 | |
CN109240274B (zh) | 一种基于高阶相关性的工业过程故障诊断方法 | |
CN111080108A (zh) | 数据驱动的武器装备作战效能评估指标筛选方法及*** | |
CN108470003A (zh) | 模糊测试方法、装置和*** | |
CN115643035A (zh) | 基于多源日志的网络安全态势评估方法 | |
Zou et al. | Nonparametric detection of geometric structures over networks | |
CN116318924A (zh) | 一种小样本入侵检测方法、***、介质、设备及终端 | |
CN113098862A (zh) | 一种基于混合采样与膨胀卷积相结合的入侵检测方法 | |
CN114531283B (zh) | 入侵检测模型的鲁棒性测定方法、***、存储介质及终端 | |
CN114547608A (zh) | 一种基于降噪自编码核密度估计的网络安全态势评估方法 | |
CN117336195B (zh) | 一种基于雷达图法的入侵检测模型综合性能评估方法 | |
CN116346475A (zh) | 一种隐匿高危行为操作异常评分方法和*** | |
CN108053093A (zh) | 一种基于平均影响值数据变换的k-近邻故障诊断方法 | |
CN111209567B (zh) | 提高检测模型鲁棒性的可知性判断方法及装置 | |
Mahyari | A hierarchical deep neural network for detecting lines of codes with vulnerabilities | |
CN117354056B (zh) | 基于卷积神经网络和集成学习算法的网络入侵检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |