[发明专利]一种基于极限学习机的入侵检测方法

说明书

本发明涉及一种基于极限学习机的入侵检测方法，包括：对网络流量数据集中的数据进行预处理：将测试集与训练集中字符型特征值为数值型特征值，对训练数据进行类别标注并进行归一化与标准化处理；根据类别标签，将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种，将其中的Normal、U2R与R2L三类合并为Other类；采用DOS、Probe与Other这三类训练数据，训练第一层ELM模型，该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进；采用PReLU激活函数替代Sigmoid激活函数进行改进；进行检测分类。

技术领域

本发明属于网络安全技术领域，涉及一种入侵检测算法。

背景技术

随着互联网的飞速发展，网络的设计缺陷与安全漏洞带来了一系列的安全问题，必须采用主动防范的入侵检测技术以改善网络的安全状况。极限学习机(ELM)是一种针对单隐含层前向神经网络(SLFNs)的新算法。ELM算法的输入层与隐含层间的连接权重向量以及隐含层神经元的阈值是随机产生的，此二者在训练过程中无需调整。ELM算法只需要设定隐含层的神经元个数，同时ELM算法不需要迭代，训练速度非常快。与传统算法相比ELM具有学习速度快，泛化性能好等优点，因此适用于对入侵攻击的分类检测。同时，多层分类的入侵检测方法可以提高入侵检测系统的准确率。

发明内容

本发明的目的是提供一种可以提高准确率的网络入侵检测方法。激活函数选择的是否合适直接影响极限学习机ELM的学习效果。本专利通过改进ELM的激活函数，提高ELM算法在入侵检测中的分类效果，同时采用多级分类的模型，进一步提高入侵检测方法的准确率。本发明的技术方案如下：

一种基于极限学习机的入侵检测方法，包括以下步骤：

步骤(1)：在进行模型训练之前，对网络流量数据集中的数据进行预处理：首先将测试集与训练集中字符型特征值为数值型特征值，对训练数据进行类别标注；然后将训练集与测试集进行归一化与标准化处理，消除由于不同特征值度量单位的差异对实验结果产生的影响。

步骤(2)：根据类别标签，将网络流量训练数据分为Normal、DOS、Probe、U2R与R2L五种，将其中的Normal、U2R与R2L三类合并为Other类；

步骤(3)：采用DOS、Probe与Other这三类训练数据，训练第一层ELM模型，该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进；

步骤(4)：采用Normal、U2R与R2L这三类训练数据，训练第二层ELM模型，该层ELM模型采用PReLU激活函数替代Sigmoid激活函数进行改进；

步骤(5)：采用测试网络流量数据与两层ELM检测模型，进行检测分类：采用第一层ELM模型检测出DOS类与Probe类流量数据，将剩下的测试数据送入第二层ELM模型中进行检测，检测出Normal、U2R与R2L三类流量数据，通过两层模型的分类检测，最终检测出Normal、DOS、Probe、U2R与R2L这五类；采用检测率与误报率作为评价指标，评价检测算法效果。

本发明的有益效果如下：本专利采用PReLU激活函数改进ELM，同时采用两层模型对网络流量数据进行分类，提高了对网络攻击的检测率，降低了误报率。

附图说明

图1入侵检测二层模型结构图。

具体实施方式