网络连接数据分类系统转让专利
申请号 : CN201711160891.7
文献号 : CN107809439B
文献日 : 2020-01-10
发明人 : 韩景倜 , 梁贺君 , 袁光辉
申请人 : 上海财经大学
摘要 :
本发明提供了一种提高网络连接数据的分类准确率的网络连接数据分类装置。本发明提供的网络连接数据分类装置,用于对W个不同的网络连接数据进行分类,包括:数据存储部存储有W个网络连接数据,每个网络连接数据含有d个特征属性值,分类设定部设定M个分类,空间设定部根据d个特征属性值设定一个d维求解空间,随机生成设定部生成N个粒子,距离计算部分别计算距离,数据分类部根据距离的大小将所有网络连接数据分成M类,判断设定部判断n次分类中距离和最小的粒子,位置和变化率调整部调整当前位置以及当前变化率,分类结束判断部判断是否结束分类,结果输出部将最终分类进行输出。
权利要求 :
1.一种网络连接数据分类系统,用于对W个不同的网络连接数据进行分类,其特征在于,包括:数据存储部、分类设定部、空间设定部、随机生成设定部、距离计算部、数据分类部、判断设定部、位置和变化率调整部、分类结束判断部、以及结果输出部,其中,所述数据存储部存储有W个所述网络连接数据,每个所述网络连接数据含有d个特征属性值;
所述分类设定部设定M个表示所述网络连接数据为正常类型或不同的攻击类型的分类;
所述空间设定部根据所述d个特征属性值设定一个d维求解空间;
所述随机生成设定部在所述d维求解空间中随机生成N个作为用于为W个所述网络连接数据进行M种分类而使用的代理观测量的粒子,并且对每一个所述粒子相应地设定M个d维的中心数据(Pdh1,Pdh2,···,PdhM)(h=1,···,N)作为所述粒子的当前位置、以及设定M个d维的变化率(vdh1,vdh2,···,vdhM)作为所述粒子的当前变化率,每个中心数据Pdhg(g=
1,···,M)包含与所述d个特征属性值相呼应的d个粒子位置属性值,每个当前变化率vdhg包含与所述d个粒子位置属性值相对应的d个中心粒子变化率;
所述距离计算部分别计算每个所述网络连接数据与每个所述粒子的M个中心数据Pdhg之间的距离;
所述数据分类部根据每个所述网络连接数据与每个所述粒子的M个中心数据Pdhg之间的所述距离的大小将所有所述网络连接数据分成M类,所述数据分类部对所述网络连接数据进行N次分类;
所述距离计算部计算每次分类中的所有所述网络连接数据到对应的中心数据Pdhg之间的距离和;
所述判断设定部判断N次分类中所述距离和最小的粒子,并设定该粒子为基准粒子;
所述位置和变化率调整部调整除所述基准粒子外的其他粒子的当前位置以及当前变化率;
所述距离计算部再次分别计算每个所述网络连接数据与每个所述粒子的M个中心数据Pdhg之间的距离;
所述数据分类部再次根据每个所述网络连接数据与每个所述粒子的M个中心数据Pdhg之间的所述距离的大小将所有所述网络连接数据分成M类,所述数据分类部再次对所述网络连接数据进行n次分类;
所述距离计算部再次计算每次分类所有所述网络连接数据到对应的中心数据Pdhg之间的距离和;
所述分类结束判断部判断所述位置和变化率调整部调整的次数是否大于到预定次数,并判断相邻两次调整的距离和差值是否小于预定阈值;
当两个判断中任意一个为是时,所述结果输出部将所述基准粒子作为分类中心,M个中心数据Pdhg所在的分类作为最终分类进行输出;
当判断均为否时,所述位置和变化率调整部再次调整除所述基准粒子外的粒子的当前位置以及当前变化率,N、M、W、d均为大于1的正整数,且W>M,N≥5M,所述位置和变化率调整部包括:
位置变化率调整单元,根据每个所述其他粒子的所述当前变化率调整每个所述其他粒子的当前位置,并根据所述基准粒子的当前变化率调整所述其他粒子的当前变化率;
第一交叉位置变化率生成单元,在所述位置变化率调整单元调整所述其他粒子的所述当前位置和所述当前变化率后,选取N个粒子中任意Z个粒子并将Z个粒子中任意两个粒子的当前位置以及当前变化率进行交叉运算生成第一交叉位置以及第一交叉变化率,其中
5%×N≤Z≤40%×N,Z为正整数;
父本选择单元,选择当前的所述基准粒子作为父本;
变化率位置叠加单元,选取进行交叉运算后的N个粒子中任意k个粒子,并将所述父本的当前位置以及当前变化率与被选取的所述粒子的当前位置以及当前变化率分别叠加;
第二交叉位置变化率生成单元,将叠加后的所有粒子不重复地两两配对,并再次执行交叉运算生成第二交叉位置以及第二交叉变化率;以及位置变化率变异单元,对每个生成的第二交叉位置以及第二交叉变化率的空间粒子进行变异运算重新生成作为变异位置的当前位置以及作为变异变化率的当前变化率,其中
5%×N≤k≤40%×N,k为正整数,
所述交叉运算的运算公式如下:
其中,iter代表当前生成位置和变化率的调整次数, 分别代表选择交叉运算前的两个粒子的当前位置和当前变化率, 分别代表选择交叉运算后的两个粒子的当前位置和当前变化率,p为运算参数;
所述变异运算的运算公式如下:
上式中iter代表当前生成位置和变化率的调整次数,ck是区间 上均L U
匀分布的随机数,x,x分别是可行区间的边界, 为当前位置, 为变异运算后的当前位置, 为当前位置, 为变异运算后的当前位置,fit代表适应度函数,γ为位置更新变化率系数。
2.根据权利要求1所述的网络连接数据分类系统,其特征在于:其中,d个所述特征属性值含有连接时间、连接的数据包、网络服务类型、连接标记以及连接时的记录参数。
3.根据权利要求1所述的网络连接数据分类系统,其特征在于,还包括:存储控制部,
其中,所述存储控制部控制所述数据存储部存储所述最终分类。
说明书 :
网络连接数据分类系统
技术领域
[0001] 本发明具体涉及一种网络连接数据分类系统。
背景技术
[0002] 随着近年来互联网的爆炸式普及,网络已经深入人们的生活、娱乐和工作中。但互联网的开放性和安全性是一把双刃剑,它在给人们带来便利的同时,互联网的无主管性、跨国性、不设防性使得网络安全问题越来越突出。网络入侵检测是网络安全系统的重要组成部分,其对未经授权的使用、滥用网络资源的行为进行监控和响应,具有保护信息完整性、机密性作用。
[0003] 通常来说,网络入侵检测方法包括异常入侵检测和误用入侵检测方法。误用入侵检测方法认为异常行为和正常行为之间的交集很大,其检测结果与检测知识库完备性密切相关,不能发现新入侵行为,检测结果没有实际意义,因此异常入侵检测方法是当前网络入侵检测主要研究方向。异常检测是以网络的正常运行状态为基础,构造模型及规则来描述网络在正常情况下的各种特征。将当前网络特征发生较大偏差时来判断网络是否有异常或攻击存在。
[0004] 数据挖掘是异常入侵检测系统中当前最主要的网络入侵检测工具。数据挖掘主要对互联网的网络纪录进行分析,从中挖掘隐含的、实现未知的潜在有用信息,并用这些信息去检测异常入侵和已知的入侵。
[0005] 为了保证数据挖掘的准确率并减小误警率,需要事先构建准确的网络连接数据的分类,但是在构建数据分类的过程中,往往容易陷入局部最优的问题,造成分类相当不准确。
发明内容
[0006] 本发明是为了解决上述问题而进行的,目的在于提供一种提高网络连接数据的分类准确率的网络连接数据分类系统。
[0007] 本发明提供了一种网络连接数据分类系统,用于对W个不同的网络连接数据进行分类,具有这样的特征,包括:数据存储部、分类设定部、空间设定部、随机生成设定部、距离计算部、数据分类部、判断设定部、位置和变化率调整部、分类结束判断部、以及结果输出部,其中,数据存储部存储有W个网络连接数据,每个网络连接数据含有d个特征属性值;分类设定部设定M个分类;空间设定部根据d个特征属性值设定一个d维求解空间;随机生成设定部在d维求解空间中随机生成N个粒子,并且对每一个粒子相应地设定M个d维的中心数据(Pdh1,Pdh2,···,PdhM)(h=1,···,N)作为粒子的当前位置、以及设定M个d维的变化率(vdh1,vdh2,···,vdhM)作为粒子的当前变化率,每个中心数据Pdhg(g=1,···,M)包含与d个特征属性值相呼应的d个粒子位置属性值,每个vdhg包含与d个粒子位置属性值相对应的d个中心粒子变化率;距离计算部分别计算每个网络连接数据与每个粒子的M个中心数据Pdhg之间的距离;数据分类部根据每个网络连接数据与每个粒子的M个中心数据Pdhg之间的距离的大小将所有网络连接数据分成M类,数据分类部对网络连接数据进行N次分类;距离计算部计算每次分类中的所有网络连接数据到对应的中心数据Pdhg之间的距离和;判断设定部判断N次分类中距离和最小的粒子,并设定该粒子为基准粒子;位置和变化率调整部调整除基准粒子外的其他粒子的当前位置以及当前变化率;距离计算部再次分别计算每个网络连接数据与每个粒子的M个中心数据Pdhg之间的距离;数据分类部再次根据每个网络连接数据与每个粒子的M个中心数据Pdhg之间的距离的大小将所有网络连接数据分成M类,数据分类部再次对网络连接数据进行n次分类,距离计算部再次计算每次所有网络连接数据到对应的中心数据Pdhg之间的距离和,分类结束判断部判断位置和变化率调整部调整的次数是否大于到预定次数,并判断相邻两次调整的距离和差值是否小于预定阈值,当两个判断中任意一个为是时,结果输出部将基准粒子作为分类中心,M个中心数据Pdhg所在的分类作为最终分类进行输出,当判断均为否时,位置和变化率调整部再次调整除基准粒子外的粒子的当前位置以及当前变化率,N、M、W、d均为大于1的正整数,且W>M,N≥5M。
[0008] 在本发明提供的网络连接数据分类系统中,还可以具有这样的特征:其中,d个特征属性值含有连接时间、连接的数据包、网络服务类型、连接标记以及连接时的记录参数。
[0009] 在本发明提供的网络连接数据分类系统中,还可以具有这样的特征,还包括:存储控制部,其中,存储控制部控制数据存储部存储最终分类。
[0010] 在本发明提供的网络连接数据分类系统中,还可以具有这样的特征:其中,位置和变化率调整部包括:位置变化率调整单元,根据每个其他粒子的当前变化率调整每个其他粒子的当前位置,并根据基准粒子的当前变化率调整其他粒子的当前变化率。
[0011] 在本发明提供的网络连接数据分类系统中,还可以具有这样的特征:其中,位置和变化率调整部还包括:第一交叉位置变化率生成单元,在位置变化率调整单元调整其他粒子的当前位置和当前变化率后,选取N个粒子中任意Z个粒子并将Z个粒子中任意两个粒子的当前位置以及当前变化率进行交叉运算生成第一交叉位置以及第一交叉变化率,5%×N≤Z≤40%×N,Z为正整数。
[0012] 在本发明提供的网络连接数据分类系统中,还可以具有这样的特征:其中,位置和变化率调整部还包括:父本选择单元,选择当前基准粒子作为父本;变化率位置叠加单元,选取进行交叉运算后的n个粒子中任意k个粒子,并将父本的当前位置以及当前变化率与被选取的粒子的当前位置以及当前变化率分别叠加;第二交叉位置变化率生成单元,将叠加后的所有粒子不重复地两两配对,并再次执行交叉运算生成第二交叉位置以及第二交叉变化率;以及变化率变异单元,对每个生成的第二交叉位置以及第二交叉变化率的空间粒子进行变异运算重新生成作为变异位置的当前位置以及作为变异变化率的当前变化率,5%×N≤k≤14%×N,k为正整数。
[0013] 在本发明提供的网络连接数据分类系统中,还可以具有这样的特征:其中,交叉运算的运算公式如下:
[0014]
[0015] 其中,iter代表当前生成位置和变化率的调整次数, 分别代表选择交叉运算前的两个粒子的当前位置和当前变化率, 分别代表选择交
叉运算后的两个粒子的当前位置和当前变化率,p为运算参数。
叉运算后的两个粒子的当前位置和当前变化率,p为运算参数。
[0016] 在本发明提供的网络连接数据分类系统中,还可以具有这样的特征:其中,变异运算的运算公式如下:
[0017]
[0018]
[0019] 上式中iter代表当前生成位置和变化率的调整次数,ck是区间上均匀分布的随机数,xL,xU分别是可行区间的边界, 为当前位置, 为变异运算后的当前位置, 为当前位置, 为变异运算后的当前位置,fit代表适应度函数,γ为位置更新变化率系数。
[0020] 在本发明提供的网络连接数据分类系统中,还可以具有这样的特征:其中,粒子是用于为W个网络连接数据进行M种分类而使用的代理观测量。
[0021] 发明的作用与效果
[0022] 根据本发明所涉及的网络连接数据分类系统,因为具有数据存储部、分类设定部、空间设定部、随机生成设定部、距离计算部、数据分类部、判断设定部、位置和变化率调整部、分类结束判断部、以及结果输出部,所以,本发明的网络连接数据分类系统可以准确地对网络连接数据进行分类,而且具有更高的检测率和更低的误报率,且具有较好的收敛性。不仅如此,本发明的网络连接数据分类系统还可以用于对运营数据的异常数据、证券交易数据的异常数据进行准确分类,并有效检测判断出异常数据。
附图说明
[0023] 图1是本发明的实施例中网络连接数据分类系统的框图;
[0024] 图2是本发明的实施例中网络连接数据分类系统的动作流程图;
[0025] 图3是本发明的实施例中位置和变化率调整部的动作流程图;以及
[0026] 图4是本发明的实施例中网络连接数据分类系统的分类效果图。
具体实施方式
[0027] 为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,以下实施例结合附图对本发明网络连接数据分类系统作具体阐述。
[0028] 图1是本发明的实施例中网络连接数据分类系统的框图。
[0029] 如图1所示,网络连接数据分类系统10具有数据存储部11、分类设定部12、空间设定部22、随机生成设定部13、距离计算部14、数据分类部15、判断设定部16、位置和变化率调整部17、分类结束判断部18、结果输出部19、存储控制部20以及控制部21。
[0030] 数据存储部11存储有一个网络流量测试数据集,在本实施例中,该网络流量测试数据集为KDD Cup 99数据集,KDD Cup 99数据集是由麻省理工学院Lincoln实验室仿真美国空军局域网环境而建立的网络流量测试数据集,且该数据集包含了7个星期网络流量,大约50万条网络连接数据,考虑到KDD Cup 99数据集比较庞大,所以将其分为训练集A1和测试集A2,其中训练集A1用来生成检测模型,主要是用来生成分类需要的分类中心向量;余下的数据作为进行验证的测试集A2,(即、W=25万)。这些网络连接数据中包括多种广泛的网络环境下的模拟入侵,包括22种攻击类型和1个正常类型,如下表1所示。
[0031] 表1网络连接数据标识类型
[0032]
[0033] 从上表可以看出网络连接数据集中的异常类型按攻击手段分为:DoS、R2L、U2R、Probe四类。其中每个连接实例包含42个属性且均标识为正常或特定的攻击类型。数据集的数据格式如下:
[0034] 0,udp,private,SF,105,146,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,2,2,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,254,1.00,0.01,0.00,0.00,0.00,0.00,0.00,
0.00,snmpgetattack
0.00,snmpgetattack
[0035] 在这条数据中,第一个属性是连接时间;第二个属性表明该连接是TCP还是UDP数据包;第三个属性表示服务类型,如http、ftp、smtp等;第四个属性表明连接标记,如SF、REJ、RSTR等;随后的37个为该连接的数值属性,即连接时的记录参数;最后一个属性是类标记属性,表明这条记录是正常连接还是入侵连接。在本实施例中,d为41,在41个固定的特征属性中,9个特征属性为离散(symbolic)型,其他均为连续(continuous)型。
[0036] 分类设定部12设定分类的数目,在本实施例中,数目为M个,M为大于1的正整数。
[0037] 空间设定部22根据d个特征属性值设定一个d维求解空间。
[0038] 随机生成设定部13在d维求解空间中随机生成N个粒子,并且对每一个粒子相应地设定M个d维的中心数据(Pdh1,Pdh2,···,PdhM)(h=1,···,N)作为粒子的当前位置、以及设定M个d维的变化率(vdh1,vdh2,···,vdhM)作为粒子的当前变化率,每个中心数据Pdhg(g=1,···,M)包含与d个特征属性值相呼应的d个粒子位置属性值,每个vdhg包含与d个粒子位置属性值相对应的d个中心粒子变化率。其中,N≥5M。粒子是用于为W个网络连接数据进行M种分类而使用的代理观测量。
[0039] 距离计算部14根据每个网络连接数据的前41个特征属性值分别计算每个网络连接数据与每个粒子的M个中心数据Pdhg之间的距离,并计算每次分类中的所有网络连接数据到对应的中心数据Pdhg之间的距离和。
[0040] 当某个特征能使不同类别的网络连接数据之间具有最大距离,而同类网络连接数据之间具有最小距离时,算法赋予该特征最高Fisher分值。当d=2时,粒子的当前位置以及当前变化率均符合
[0041] X={(x1,y1),(x2,y2),···,(xm,ym)},xi(i=1,2,···,D)∈Rd,
[0042] d为特征空间的维数,类标记为yi∈{+1,-1},W为网络连接数据数。如此Fisher分值定义为:
[0043] F=Sb/Sw
[0044] 其中Sb表示类间离散度和,描述两类网络连接数据间的距离;Sw为类内离散度和,描述同类网络连接数据间的离散度和。定义分别为正常网络连接数据、异常网络连接数据和所有网络连接数据的均值。由此可以得到分别为正常网络连接数据、异常网络连接数据的方差。对
于数据集中的41个属性可以得到第r个属性的Fisher分值表达式为
于数据集中的41个属性可以得到第r个属性的Fisher分值表达式为
[0045]
[0046] 同理,式中 分别为第i类网络连接数据和所有网络连接数据的第r个特征的均值; 为第i类网络连接数据第r个特征的方差。计算41个属性的Fisher分值可以得到其排序。
[0047] 数据分类部15根据每个网络连接数据与每个粒子的M个中心数据Pdhg之间的距离的大小将所有网络连接数据分成M类。数据分类部15根据N个粒子对网络连接数据进行N次分类。
[0048] 判断设定部16判断N次分类中距离和最小的粒子,并设定该粒子为基准粒子。
[0049] 位置和变化率调整部17调整除基准粒子外的其他粒子的当前位置以及当前变化率。
[0050] 位置和变化率调整部17包括:位置变化率调整单元171、第一交叉位置变化率生成单元172、父本选择单元173、变化率位置叠加单元174、第二交叉位置变化率生成单元175以及位置变化率变异单元176。
[0051] 位置变化率调整单元171根据每个其他粒子的当前变化率调整每个其他粒子的当前位置,并根据基准粒子的当前变化率调整其他粒子的当前变化率。
[0052] 网络连接数据的当前变化率、当前位置的调整方程表示为:
[0053]
[0054]
[0055] 在网络连接数据集中每个网络连接数据都是d维空间内的一个点。第i个网络连接数据可以表示为自身搜索到的历史最优值pi,pi=(pi1,pi2,...,piD),pg为所有网络连接数据搜索到的最优值,ci是网络连接数据跟踪自己历史最优值的权重系数,它表示网络连接数据自身的认识。c2是网络连接数据跟踪群体最优值的权重系数,它表示网络连接数据对整个群体知识的认识。ξ,η是[0,1]区间内均匀分布的随机数。γ是对位置更新变化率系数。
[0056] ω是保持当前变化率的系数,表示网络连接数据的先前变化率对当前变化率的影响程度。若ω较大,网络连接数据有能力扩展搜索空间,全局搜索能力强。若ω较小,网络连接数据主要在当前粒子的附近搜索,局部搜索能力较强。改变ω的取值可以调整算法全局和局部搜索能力。ω由式子:ω=ωmax-(ωmax-ωmin)/itermax×iter确定,其中itermax是调整次数的最大值,iter是当前调整次数。
[0057] 在位置变化率调整单元171调整其他粒子的当前位置和当前变化率后,第一交叉位置变化率生成单元172选取N个粒子中任意Z个粒子并将Z个粒子中任意两个不重复的粒子的当前位置以及当前变化率进行交叉运算生成第一交叉位置以及第一交叉变化率。Z的取值范围是5%×N≤Z≤40%×N,且Z为正整数。
[0058] 交叉运算的运算公式如下:
[0059]
[0060] 其中,iter代表当前生成位置和变化率的调整次数, 分别代表选择交叉运算前的两个粒子的当前位置和当前变化率, 分别代表选择交
叉运算后的两个粒子的当前位置和当前变化率,p为运算参数。
叉运算后的两个粒子的当前位置和当前变化率,p为运算参数。
[0061] 父本选择单元173选择当前基准粒子作为父本。
[0062] 变化率位置叠加单元174选取进行交叉运算后的n个粒子中任意k个粒子,并将父本的当前位置以及当前变化率与被选取的粒子的当前位置以及当前变化率分别叠加,k的取值范围为5%×n≤k≤14%×n,k为正整数。
[0063] 第二交叉位置变化率生成单元175将叠加后的所有粒子不重复地两两配对,并再次执行交叉运算生成第二交叉位置以及第二交叉变化率。
[0064] 位置变化率变异单元176对每个生成的第二交叉位置以及第二交叉变化率的空间粒子进行变异运算重新生成作为变异位置的当前位置以及作为变异变化率的当前变化率。
[0065] 变异运算的运算公式如下:
[0066]
[0067]
[0068] 上式中iter代表当前生成位置和变化率的调整次数,ck是区间上均匀分布的随机数, 为当前位置, 为变异运算后的当前位置, 为当前位置,
L U
为变异运算后的当前位置,x ,x分别是可行区间的边界,fit代表适应度函数,γ为位置更新变化率系数。
L U
为变异运算后的当前位置,x ,x分别是可行区间的边界,fit代表适应度函数,γ为位置更新变化率系数。
[0069] 距离计算部14再次分别计算每个网络连接数据与每个调整后的粒子的M个中心数据Pdhg之间的距离。
[0070] 分类结束判断部18判断位置和变化率调整部17调整的次数是否大于到预定次数,并判断相邻两次调整的距离和差值是否小于预定阈值。在本实施例中,预定次数为400次,预定阈值为万分之一。
[0071] 当两个判断中任意一个为是时,结果输出部19将基准粒子作为分类中心,m个中心数据Pdhg所在的分类作为最终分类进行输出。结果输出部19对不同的类别设定不同的编号。结果输出部19给定分类中心后分类的划分按照最邻近法则决定:
[0072] 若对于某一个网络连接数据Xi和分类编号j若满足:
[0073]
[0074] 则说明该网络连接数据取到所有分类的最佳匹配,Xi属于第j类。
[0075] 当两个判断均为否时,位置和变化率调整部17再次调整除基准粒子外的粒子的当前位置以及当前变化率。
[0076] 存储控制部20控制数据存储部11存储最终分类。
[0077] 控制部21包含用于控制数据存储部11、分类设定部12、空间设定部22、随机生成设定部13、距离计算部14、数据分类部15、判断设定部16、位置和变化率调整部17、分类结束判断部18、结果输出部19以及存储控制部20运行的计算机程序。
[0078] 图2是本发明的实施例中网络连接数据分类系统的动作流程图。
[0079] 如图2所示,本实施例的网络连接数据分类系统10的动作流程图包含以下步骤:
[0080] 步骤S1-1a,分类设定部12设定M个分类,然后进入步骤S1-1b。
[0081] 步骤S1-1b,空间设定部根据d个特征属性值设定一个d维求解空间,然后进入步骤S1-2。
[0082] 步骤S1-2,随机生成设定部13生成N个粒子,然后进入步骤S1-3。
[0083] 步骤S1-3,距离计算部14分别计算每个网络连接数据与每个粒子的M个中心数据Pdhg之间的距离,然后进入步骤S1-4。
[0084] 步骤S1-4,数据分类部15根据每个网络连接数据与每个粒子的M个中心数据Pdhg之间的距离的大小将所有网络连接数据分成M类,然后进入步骤S1-5。
[0085] 步骤S1-5,距离计算部14计算每次分类中的所有网络连接数据到对应的中心数据Pdhg之间的距离和,然后进入步骤S1-6。
[0086] 步骤S1-6,判断设定部16判断N次分类中距离和最小的粒子,并设定该粒子为基准粒子,然后进入步骤S1-7。
[0087] 步骤S1-7,位置和变化率调整部17调整除基准粒子外的其他粒子的当前位置以及当前变化率,然后进入步骤S1-8。
[0088] 步骤S1-8,距离计算部14再次分别计算每个网络连接数据与每个粒子的M个中心数据Pdhg之间的距离,然后进入步骤S1-9。
[0089] 步骤S1-9,数据分类部15再次根据每个网络连接数据与每个粒子的M个中心数据Pdhg之间的距离的大小将所有网络连接数据分成m类,然后进入步骤S1-10。
[0090] 步骤S1-10,距离计算部14再次计算每次分类中的所有网络连接数据到对应的中心数据Pdhg之间的距离和,然后进入步骤S1-11。
[0091] 步骤S1-11,分类结束判断部18判断位置和变化率调整部调整的次数是否大于预定次数,并判断相邻两次调整的距离和差值是否小于预定阈值,当判断均为否时,进入步骤S1-7;当两个判断中任意一个为是时,进入步骤S1-12。
[0092] 步骤S1-12,结果输出部19将基准粒子作为分类中心,m个中心数据Pdhg所在的分类作为最终分类进行输出,然后进入步骤S1-13。
[0093] 步骤S1-13,存储控制部20控制数据存储部存储最终分类,然后进入结束状态。
[0094] 图3是本发明的实施例中位置和变化率调整部的动作流程图。
[0095] 如图3所示,本实施例的位置和变化率调整部17的动作流程图包含以下步骤:
[0096] 步骤S7-1,位置变化率调整单元171根据每个其他粒子的当前变化率调整每个其他粒子的当前位置,并根据基准粒子的当前变化率调整其他粒子的当前变化率,然后进入步骤S7-2。
[0097] 步骤S7-2,第一交叉位置变化率生成单元172选取N个粒子中任意Z个粒子并将Z个粒子中任意两个不重复的粒子的当前位置以及当前变化率进行交叉运算生成第一交叉位置以及第一交叉变化率,然后进入步骤S7-3。
[0098] 步骤S7-3,父本选择单元173选择当前基准粒子作为父本,然后进入步骤S7-4。
[0099] 步骤S7-4,变化率位置叠加单元174选取进行交叉运算后的n个粒子中任意k个粒子,并将父本的当前位置以及当前变化率与被选取的粒子的当前位置以及当前变化率分别叠加,然后进入步骤S7-5。
[0100] 步骤S7-5,第二交叉位置变化率生成单元175将叠加后的所有粒子不重复地两两配对,并再次执行交叉运算生成第二交叉位置以及第二交叉变化率,然后进入步骤S7-6。
[0101] 步骤S7-6,位置变化率变异单元176对每个生成的第二交叉位置以及第二交叉变化率的空间粒子进行变异运算重新生成作为变异位置的当前位置以及作为变异变化率的当前变化率,然后进入结束状态。
[0102] 实验结果对比及分析
[0103] 实验的数据集选取了比较权威KDD Cup 99数据的“kddcup.data_10.percent”,该数据集共有491421条记录,正常的总和为97278条,其余的396473均为异常型。异常的分为四类:DoS、U2R、R2L和Probe。其中每种类型的具体标识种类在表1中列出。在“kddcup.data_10.percent”数据集中被识别出来的标识有22种攻击类型。为了评价分析结果,采用误报率FAR和检测率DR来衡量。
[0104] 其定义描述如下:
[0105] FAR=被误判为入侵的正常记录数/总测试记录中的正常记录数;
[0106] DR=检测出来的入侵记录数/总测试中的入侵记录数。
[0107] 分类算法能够应用在网络异常检测是基于以下两个基本的假设:
[0108] (1)正常数据的数量远远大于异常数据量;
[0109] (2)异常数据在某些属性的取值上明显偏离正常的取值范围。
[0110] 实验环境:本实验的软硬件环境为:CPU:主频3.0GHz,内存4GB,操作系统Windows7以及Matlab2014a。配置主要参数为:分类数目M=2;粒子种群规模N=15;最大调整次数max_iter=400;交叉、变异概率pc,pm=rand[0,1];c1,c2均为1。
[0111] 从测试集A2提取出4组作为测试样本。详细列出随机抽取的各个样本的集合如下表2所示。
[0112] 表2数据集选取和分类表
[0113]
[0114] 该数据集随机抽样满足上述分类算法应用在异常检测中的数据抽取要求,可以作为实验数据进行后续分析。由于该数据集中属性特征之间存在着很大差异性,而且它们可能是采用不同的单位来度量。为了消除由于度量标准的不同对分类的影响,必须对样本中的数据做标准归一化处理,即将原始数据从原来所处空间转换到一个标准化空间。对于一个n×k的矩阵,方法如下:
[0115]
[0116] 其中, 即为标准化后的实验数据值。通过计算每个特征值与平均值之问的标准偏差,可得到该特征值存正规化空间中的新值。
[0117] 试验开始需要先获取分类中心,选取训练集A1进行普通K均值分类,将该结果保存作为后续使用。
[0118] Fisher分值定义为:F=Sb/Sw,其中Sb表示类间离散度,描述两类样本间的距离;Sw为类内离散度,描述同类样本间的离散度。定义 分别为正常样本、异常样本和所有样本的均值。由此可以得到
分别为正常样本,异常样本的方差。对于数据集中的41个属性可以得到第r个属性的Fisher分值表达式为 式中 分别为第i类样本和所有样本
的第r个特征的均值; 为第i类样本第r个特征的方差。计算41个属性的Fisher分值可以得到其排序。在进行Fisher分排序时不用具体区分攻击方式,即将所有入侵类型都归为异常,这样形成了二值分类问题。按照Fisher判别法得到41个属性Fisher分排序为:
分别为正常样本,异常样本的方差。对于数据集中的41个属性可以得到第r个属性的Fisher分值表达式为 式中 分别为第i类样本和所有样本
的第r个特征的均值; 为第i类样本第r个特征的方差。计算41个属性的Fisher分值可以得到其排序。在进行Fisher分排序时不用具体区分攻击方式,即将所有入侵类型都归为异常,这样形成了二值分类问题。按照Fisher判别法得到41个属性Fisher分排序为:
[0119] (12,23,32,2,24,36,31,6,39,25,26,38,29,4,34,33,37,35,13,28,27,41,14,3,19,8,13,22,14,18,7,11,5,15,1,17,16,10,9,20,21)。
[0120] 为了验证该Fisher排序进行特征提取的作用,设计实验,将排序的结果抽取前10,20,13分别自成一组特征组,随机抽取10,20,13个特征分别自成一组特征组,将41个属性全部作为一组特征组,分别对这7个特征组输入测试集A2-混合类型测试,采用本实施例中的网络连接数据分类系统统计FAR,DR和运行时间如下表3所示。
[0121] 表3网络连接数据分类系统的特征提取列表
[0122]
[0123] 从上述表格中可以看出Fisher排序提取特征属性能够极大地减少运行时间。可以看出异常检测的误报率在Fisher排序后相对于随机抽取和完全属性组有改善,说明有些冗余特征属性会给异常检测带来干扰。
[0124] 在上述实验的基础上,本发明选取Fisher排序前15个特征作为该PSO算法的输入数据向量,并比较位置和变化率调整部17中仅采用位置变化率调整单元171的网络连接数据分类系统(第一分类)、仅采用位置变化率调整单元171和第一交叉位置变化率生成单元172(第二分类)的网络连接数据分类系统以及采用位置变化率调整单元171、第一交叉位置变化率生成单元172、父本选择单元173、变化率位置叠加单元174、第二交叉位置变化率生成单元175和位置变化率变异单元176(第三分类)的网络连接数据分类系统的性能。如下表
4给出3种算法的在测试集A2中的检测结果和运行时间。
4给出3种算法的在测试集A2中的检测结果和运行时间。
[0125] 表4三种算法检测效果对比表
[0126]
[0127] 从上表看出采用第一分类的装置异常检测效果明显低于第三分类的网络连接数据分类系统,而采用第二分类的装置要略优于采用第一分类的装置。当然,在时间消耗上采用第三分类的网络连接数据分类系统相对其他两种来说较多。
[0128] 图4是本发明的实施例中网络连接数据分类系统的分类效果图。
[0129] 如图4所示,本实施例的网络连接数据分类系统10在采用第三分类的分类过程中后期收敛,前期有略微波动。虽然第三分类在第261次后出现跳动,是由于本实施例在研究过程中加入了变异因子,其虽然引起了短期内的跳动,但为后代的持续优化提供了更好的基础,因此此处跳动属于增加变异因子的正常现象。而第一分类的收敛变化率最快,也很容易陷入局部最优值;第二分类的收敛过程较为平稳,但是最终的离散度和整体高于第三分类的网络连接数据分类系统。
[0130] 实施例的作用与效果
[0131] 根据本实施例所涉及的网络连接数据分类系统,因为具有数据存储部、分类设定部、空间设定部、随机生成设定部、距离计算部、数据分类部、判断设定部、位置和变化率调整部、分类结束判断部、以及结果输出部,所以,本实施例的网络连接数据分类系统可以准确地对网络连接数据进行分类,而且具有更高的检测率和更低的误报率,且具有较好的收敛性。不仅如此,本实施例的网络连接数据分类系统还可以用于对运营数据的异常数据、证券交易数据的异常数据进行准确分类,并有效检测判断出异常数据。
[0132] 上述实施方式为本发明的优选案例,并不用来限制本发明的保护范围。