沙特国王大学学报基于人工蜂群和AdaBoost算法Mehrnaz Mazinia,Babak Shirazib, Mr. Mahdaviba伊朗巴布尔马赞达兰科技大学信息技术系b伊朗巴布尔马赞达兰科技大学工业工程系阿提奇莱因福奥文章历史记录:2017年11月14日收到2018年3月9日修订2018年3月18日接受在线发售2018年保留字:基于异常网络的入侵检测系统特征选择人工蜂群AdaBoostA B S T R A C T入侵检测系统(IDS)被认为是安全网络的主要组成部分。这些安全系统的问题之一是虚警报告的入侵网络和入侵检测的准确性,发生由于大量的网络数据。提出了一种基于人工蜂群(ABC)和AdaBoost算法的异常网络入侵检测系统(A-NIDS)的混合方法,以获得高检测率和低误报率。使用ABC算法进行特征选择,使用AdaBoost算法对特征进行评价和分类。在NSL-KDD和ISCXIDS 2012数据集上的仿真结果表明,该方法与其他基于相同数据集的入侵检测方法相比,具有显著的差异性它在不同的基于攻击的场景中表现出不同的更好的性能。与传统方法相比,该方法的准确性和检出率都有较大的提高©2018作者制作和主办:Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍由于网络攻击事件的增加,计算机网络中的网络活动的安全性受到高度重视。这些网络使用各种安全系统(如IDS)来应对攻击。IDS通常与防火墙一起使用,并作为防火墙的补充。该安全系统已被用于观察和分析严重违反或威胁计算机和网络中的计算机安全策略的事件(Gauthama Raman等人, 2017年)。一般来说,IDS的目的是检测攻击和安全漏洞,并将其通知管理员。1.1. 问题陈述IDS应该能够通过监视、检测和响应系统内未经授权的活动来识别所有异常模式和然而,由于其巨大的,*通讯作者。电子邮件地址:shirazi_b@icloud.com(B. Shirazi)。沙特国王大学负责同行审查制作和主办:Elsevier不平衡的数据集,IDS遇到总的数据处理问题(Singh等人,2015年)。因此,已经提出了可以处理这个问题的不同技术。1.2. 贡献鉴于开发一种新的方法来处理所示的问题的重要性,本文提出了新的方法的发展。这一目的可以通过回答以下研究问题来实现RQ 1)在开发新方法时考虑了IDS分类的哪些方面?RQ2)开发新方法的最佳算法是什么?RQ3)方法评估中的主要选择标准是什么?如表1所示,在收集信息方面,信息分为两大类,例如基于网络和基于主机。在基于网络的入侵检测系统中,网络中的所有数据包此检测系统只能监控网络特定部分的流量,并且独立于已安装的操作系统。基于主机的IDS部署在本地机器或系统上,以收集有关机器主机活动的信息。此外,在检测方法方面,它被归类为一般的https://doi.org/10.1016/j.jksuci.2018.03.0111319-1578/©2018作者。制作和主办:Elsevier B.V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页:www.sciencedirect.com542M. Mazini等人/Journal of King Saud University表1IDS分类。IDS分类信息源N-IDSH-IDS误用检测异常检测被动应对积极响应信息源检测方法对入侵的■■■■■■■方法(误用检测和异常检测)(Guo等人,2016年)。在误用检测方法中,预先构建的入侵模式作为规则保存在数据库中,每个模式代表一种特定类型的攻击。因此,检测试图找到与数据库中保持的模式相似的模式,并且能够检测到已知的入侵。 在这种情况下,网络中无法检测到新的攻击(因为数据库中不存在模式)(Kim等人,2014年)。结果表明,该方法对于检测数据库中存在的攻击模式具有较高的准确率和较低的虚警率在异常检测方法中,基于网络的正常行为或特征做出决策。因此,生成网络正常行为的模型,并且显著违反该模型的每个流量事件或流被认为是入侵(Qassim等人,2016年)。这种类型的IDS分类能够检测到新的和未知的攻击,但由于它是困难的,为了区分正常和异常行为之间的界限,它具有较高的虚警率。因此,第一个研究问题集中在IDS分类的一个重要方面,称为异常检测方法。此外,第二个研究问题用于研究提出最佳选项的不同算法。本文的主要贡献是改进了入侵检测系统中的虚警和两个主要的评估标准,第三个研究问题的目的。此外,图1示 出 了 所 提 出 的 描 述 基 于 异 常 的 入 侵 检 测 系 统 的 分 类 法(Gyanchandani等人, 2012年)。为了开发基于异常网络的入侵检测系统,定义了一种新的方法。2)的情况。如图2所示,这种新方法包括以下主要步骤:不同攻击的选择和定义,混合计算机网络拓扑结构设计,基于异常的IDS技术选择,适当的算法选择和定义,以改善基于异常网络的IDS行为,● 适当的数据集选择。本文的结构如下:下一部分是文献综述。第3节定义了拟议的方法。第4节使用所提出的方法评估基于异常网络的入侵检测系统的性能。最后,第5节提出了结论。2. 文献综述入侵检测系统(IDS)是用来识别计算机或网络中的异常活动和不完整签名的已经提出了许多方法和框架,并且已经建立了许多系统来检测入侵(Sujitha和Kavitha,2015)。表2显示了IDS设计的概述。在Hasani等人(2014年)中,工作是基于最高检测率(DR)算法的增强,该算法是线性遗传规划(LGP),降低了误报警率(FAR),并结合了蜜蜂算法。最后,支持向量机(SVM)是解决入侵检测系统问题的最佳候选方案之一。在这项研究中,包含4000个随机记录的四个样本数据集从这个数据集中随机排除用于训练和测试目的。实验结果表明,与先前的相关研究相比,LGP_BA方法提高了准确性和效率,并且由LGP_BA提供的特征子类别给出了数据的优越表示(Hasani等人,2014年)。在Gupta和Shrivastava(2015)中,作者提出了一种结合SVM和蜂群的新方法来实现IDS的高质量性能。他们的算法使用标准基准KDD99数据集实现和评估。实验结果表明,具有蜂群的SVM实现了88.46%的平均准确率(Gupta和Shrivastava,2015)。在Kim等人(2014)中,提出了一种新的混合入侵检测方法,该方法将误用检测模型和异常检测模型分层集成在分解结构中。首先,基于C4.5决策树算法建立误用检测模型,Fig. 1. 提出了基于异常的入侵检测系统的分类方法。●●●●M. Mazini等人/Journal of King Saud University543图二. 研究阶段。表2入侵检测系统设计研究综述。作者(年份)使用算法方法结果Hasani等人(2014)LGP-BA,SVM LGP-BA算法用于特征选择和支持向量机被用来分类所获得的功能。Gupta和Shrivastava(2015)BC,SVM SVM用于分类正常攻击和BC,提高IDS的性能。Kim等人(2014)SVM,C4.5误用检测和异常的组合检测方法用于检测入侵。Guo等人(2016)k-NN,k-meansK-NN和K-means算法用于减少FPR和FNR。Hu等人(2008)AdaBoost一种入侵检测算法介绍基于AdaBoost算法。Mazraeh等人(2016)AdaBoost,j48,IG主要的学习算法,SVM,贝叶斯朴素,和J48,已被用于特征分类。Singh等人(2015)OS-ELM基于在线顺序的技术介绍了极限学习机(OS-ELM)Al-Yaseen etal. (2016)SVM,ELM,k-means一种多层次混合入侵检测模型使用K-means,SVM和ELM算法的组合。Sujitha和Kavitha(2015)分层MPSO多目标粒子群优化算法用于特征选择。Horng等人(2011)SVM,BIRCH基于SVM的入侵检测系统,提出了BIRCH算法提高准确性和效率。提高准确性。降低训练和测试过程的高时间复杂性。以低误报率有效检测网络异常。低计算复杂度和错误率。所提出的方法的效率的优越性。在准确性、假阳性率和检测时间方面优于其他已发表的技术。高效率的攻击检测和准确性是迄今为止最好的性能。该系统具有很强的鲁棒性和高效性,能够实时处理攻击并快速响应。比以前的方法更好地检测DoS和探测攻击使用该模型将正常训练数据分解成更小的子集。接下来,为分解的子集创建多个单类SVM模型。因此,每个异常检测模型不仅间接地使用已知的攻击信息,而且非常精确地建立正常行为的轮廓。通过对NSL-KDD数据集进行实验,对所提出的混合入侵检测方法进行了评估。实验结果表明,该方法在检测率方面优于传统的方法,无论是未知的和已知的攻击,同时保持低误报率。此外,所提出的方法显着降低了训练和测试过程的高时间复杂度。在实验上,异常检测模型的训练和测试时间分别仅为常规模型所需时间的50%和60%(Kim等人,2014年)。在Guo etal. (2016),作者提出了一种混合方法,高检测率和低假阳性率。该方法是由两个异常检测组件和误用检测组件组成的两级混合解决方案。在第一阶段,开发了一种计算复杂度低的异常检测方法,并用于构建检测组件。k近邻算法在构建阶段2的两个检测组件时变得至关重要。在这种混合方法中,所有的检测组件都协调良好。阶段1的检测部件参与构建阶段2的两个检测部件的过程,这两个检测部件减少了在KDD99数据集和京都大学基准数据集上的实验结果证实,所提出的混合方法可以以低误报率有效地检测网络异常(Guo等人,2016年)。Hu等人(2008)提出了一种基于AdaBoost算法的入侵检测算法。在该算法中,决策被用作弱分类器。决策规则提供了两个分类544M. Mazini等人/Journal of King Saud University和连续的特征。通过将用于连续特征的弱分类器和用于类别特征的弱分类器组合成强分类器,自然地处理这两种不同类型的特征之间的关系,而不需要在连续特征之间进行任何强制转换。该算法采用自适应的初始权值和简单的过拟合避免策略来提高算法的性能。实验结果表明,该算法具有较低的计算复杂度和错误率,与较高的计算复杂度的算法相比,作为测试的基准样本数据(Hu et al.,2008年)。在Mazraeh等人(2016)中,所提出的方法使用KDD-Cup 99的训练集。该方法使用三种主要的学习算法,SVM,朴素贝叶斯和J48决策树分别实现和评估。这些算法也被单独实现和评估。结果表明,使用J48学习算法和AdaBoost分类,通过降低IG方法的维数,所提出的方法具有97%的效率(Mazraeh等人,2016年)。在Singh et al. (2015),提出了一种基于在线顺序极端学习机(OS-ELM)的入侵检测技术。所提出的技术使用阿尔法分析,以减少时间的复杂性,而不相关的功能被丢弃,使用一个整体的过滤,相关性和一致性为基础的特征选择技术。使用beta剖析来减少训练数据集的大小,而不是采样。对于所提出的技术的性能评估,使用标准NSL-KDD 2009(网络安全分类-知识发现和数据挖掘)数据集。本文还讨论了所提出的技术的时间和空间复杂度。实验结果表明,该方法的正确率为98.66%,假阳性率为1.74%,检测时间为2.43 s用于二进制类NSL-KDD数据集。建议的IDS实现在2.65 s的检测时间内,多类NSL-KDD数据集的准确率为97.67%,假阳性率为1.74%。京都大学的基准数据集也被用来测试所提出的IDS。该技术的准确率为96.37%,假阳性率为5.76%。所提出的技术在准确性、假阳性率和检测时间方面优于其他已发表的技术。基于结果,可以得出结论,所提出的方法是检测网络入侵的有效方法(Singh等人,2015年)。在Al-Yaseen et al. (2016),该研究旨在设计一个模型,处理数据分析中的真实入侵检测问题,并将网络数据分类为正常和异常行为。提出了一种基于支持向量机和极限学习机的多层次混合入侵检测模型,以提高对已知和未知攻击的检测效率。本文还提出了一种改进的K-means算法,用于构建高质量的训练数据集,从而显著提高分类器的性能。利用改进的K-means算法构造新的小样本训练集该方法可以有效地减少分类器的训练时间,提高入侵检测系统的性能。流行的KDD杯1999年数据集被用来评估所提出的模型。与基于相同数据集的其他方法相比,所提出的模型在攻击检测方面表现出高效率,并且其准确率(95.75%)是迄今为止最好的性能(Al-Yaseenet al., 2016年)。在Sujitha和Kavitha(2015)中,建议的工作重点是准确性和效率。提高性能的一种方法是使用最少数量的特征来定义模型,以便可以用于准确区分正常行为和异常行为。因此,新系统使用优化的特征选择算法来产生减少的特征集,并且通过使用分层方法可以实现高的攻击检测精度。该系统采用的特征选择算法是一种多目标粒子群优化算法,能够有效地进行特征选择该方法能有效地检测异常攻击。该系统采用KDD'99入侵数据集和实时捕获数据集进行该系统是非常强大和高效的。它可以处理实时攻击,并快速检测和快速响应(Sujitha和Kavitha,2015)。一些研究专门针对拒绝服务(DoS)攻击检测,如表3所示。在Horng等人(2011)中,作者提出了一种基于SVM的入侵检测系统,它结合了层次聚类算法,一个简单的特征选择过程,和SVM技术。层次聚类算法提供了更少的,抽象的,和更高质量的训练实例,来自KDD杯1999年的训练集的SVM。它能够大大缩短训练时间,同时也提高了所得SVM的性能。通过简单的特征选择过程,从训练集中剔除不重要的特征,得到的支持向量机模型能够更准确地对网络流量数据进行分类。著名的KDD Cup 1999数据集被用来评估所提出的系统。与其他基于相同数据集的入侵检测系统相比,该系统在检测DoS和Probe攻击方面表现出更好的性能,并且在总体准确性方面表现出最佳性能(Horng et al.,2011年)。在Munivara等人(2017)中,作者提出了一种在应用层实时检测DDOS攻击的方法。他们设计了一套新的工具,用于教学和测试他们的模型,来自绝对时间间隔标准。他们的方法使用了布谷鸟、蝙蝠和鲨鱼算法。因此,Cuckoo的二进制聚类策略最小化了两种算法的成本开销,并提高了预测的准确性(Munivara等人, 2017年)。在表3综述了拒绝服务攻击检测的研究现状。作者(年份)方法结果Horng等人(2011)一个基于支持向量机的入侵检测系统与BIRCH算法是提出了Munivara等人(2017)使用杜鹃,蝙蝠和鲨鱼算法来检测真实的DDOS攻击时间在应用层级别。Alfantookh(2006)开发了一种称为拒绝服务智能检测(DoSID)的入侵检测系统Singaravelan等人(2017)提出了内部中断发现和防御系统(IIDDS)在系统调用(SC)级别使用数据挖掘和取证技术。Kaur等人(2017)测量了脉动分布拒绝服务攻击的自相似性质的网络流量。Venkatesan等人(2013)提出了一种基于cookie的会计模型,用于对客户端进行会计处理历史比以前的方法更好地检测DoS和探测攻击布谷鸟搜索策略减少了计算开销,提高了预测精度。该系统成功地识别了已知和未知的攻击,并导致误报率显著增加具有更好的响应时间、入侵准确性和报警准确性。拒绝服务攻击的脉冲长度在决定PDDoS攻击的强度方面起着关键作用与现有模式相比,效率更高M. Mazini等人/Journal of King Saud University545Alfantookh(2006);开发了一种称为拒绝服务智能检测(DoSID)的入侵检测系统。作者提出的模型是前馈神经网络及其相关的改进,如利用了灰色区域的概念进行离散化。神经网络由两层组成。使用的数据集是DARPA套件,它使用其18个特征来识别攻击。实验结果表明,前馈神经网络能够成功识别已知和未知攻击,且灰色区域的改进导致漏报率显著增加。在Singaravelan等人(2017)中,作者提出了一种使用数据挖掘和取证技术的系统调用(SC)级别的IIDDS。通过维护用户配置文件和基于系统调用模式,系统可以防止攻击和入侵者。与TF-IDF模型相比,所提出的模型具有更好的响应时间、准确性和警报准确性(Singaravelan等人,2017年)。在Kaur等人(2017)中,作者研究了H指数的变化是否会影响PDDOS攻击的破坏。使用NS2模拟器,通过流量、脉冲长度和加载速度的变化,生成各种场景下的网络流量。一个拥塞控制算法已被用来模拟PDDOS攻击。自相似性被用作使用赫斯特参数测量的流量的特征,以检测各种PDDOS攻击。自相似性校正是指不随尺度变化的对象的某些特征。 他们表明,在攻击事件中,自相似性水平增加,导致H参数增加。增加自相似性取决于PDDOS攻击脉冲的长度、持续时间和频率(Kaur等人,2017年)。鉴于对政府网站等关键基础设施的拒绝服务攻击是一个主要问题,作者在Venkatesan等人(2013)中提出了一种基于cookie的会计模型。此外,他们还分析了所有的会计模型,包括基于定性和定量结果的会计模型,以证明所提出的模型的有效性。结果表明,与现有模型相比,所提出的模型实现了更高的效率(Venkatesan等人,2013年)。许多研究已经进行了入侵检测和使用从多种机器学习算法,如分类和聚类,或将它们与不同的想法,随着一个特征选择方法。考虑到过去所做的研究,减少误报的问题,因为它不应该被考虑,这似乎是这方面的一个空白。因此,在这篇文章中,我们已经提出了新的方法来解决差距,并提供所提出的方法如下。3. 基于该方法的异常网络入侵检测系统鉴于前面的选择,我们引入了一种新的方法来改善基于异常网络的IDS行为。这种方法已经在混合计算机网络拓扑上实现(Rodas和Antonio,2015; Carabas等人,2016; Yao,2016),如图3所示。建议的方法将在以下小节中讨论。3.1. 所提出的方法该方法包括三个主要阶段:预处理,特征选择和分类。如图1所示,基于数据挖掘的检测是基于异常网络的入侵检测技术之一。这一类别的分类用于开发本文提出的方法。如前所述,检测是一项分类任务,包括用于检测攻击的预测模型。分类是数据挖掘领域的主要应用之一。的主要目标它是根据特征中的解释信息预测每个样本的类别标签(Ghanem和Jantan,2016)。不幸的是,不平衡的数据集是分类算法的重要问题(Moayedikia等人,2017年)。当数据集不平衡时,会导致数据挖掘算法的性能低下。因此,迫切需要一个合适的模型来克服这一问题。此外,还有大量的高复杂度和不相关或冗余状态的特征。这些状态可能会由于大的搜索空间而降低分类性能。在这种情况下,特征选择方法可以用来防止这些不相关的冗余,而不降低IDS的性能。通过检测与学习者分类器相关的特征,使分类变得容易,减少了运算时间,提高了分类性能和准确率。此外,IDS数据集的大小是巨大的,需要时间来分类。如果一个数据集有很多项和特征,则会消耗资源并占用大量内存来运行。因此,我们建议,图三. 混合计算机网络拓扑。546M. Mazini等人/Journal of King Saud Universityð¼ÞJJminMax-我ð ÞminMaxminIDS数据集通常包含大量的特征和样本,因此,特征选择是IDS数据集的一个特征选择是数据分类过程的一个步骤。被称为降维的特征选择是一种选择新的最优特征子集的方法,该特征子集表示在学习分类模型时具有最小误差的一组主要特征。(Sujitha和Kavitha,2015; Zorarpaco和Ozel,2016)。根据生成程序和评估函数这两个主要程序对特征选择算法进行评估(Ghanem和Jantan,2016)。第一步产生特征子集,第二步评估所产生的特征子集。可以使用以下方法之一来评估特征子集:过滤器方法或包装器方法。对于依赖于机器学习算法的评价函数,即使用分类器来评价所生成的特征的子集,这种方法被称为包装器特征选择。当特征的子集根据其信息内容或统计方法进行评估而不使用机器学习算法时,特征选择被称为过滤器方法(Zorarpaco和Ozel,2016)。由于过滤器方法具有较低的计算成本,它通常比包装器方法更快然而,包装方法往往比过滤方法性能更好,更准确,因为更多的特征选择比主特征集是无与伦比的。因此,归一化用于归一化特征,并且所有数字都限制在区间[0,1]内该方法通过ABC特征选择技术提高了检测的准确性,并加快了检测时间。这种方法的目的是找到最好的特征,用于IDS分类。在一个群体中,每种类型都有自己的任务(Shi等人,2016年)。根据该算法,食物源指示与问题相关的解决方案(例如,食物资源位置),并且食物源nec-tar量显示解决方案的质量(例如,适应度)。图4显示了ABC算法。ABC过程包括四个阶段:初始化阶段、雇员蜂阶段、侦察蜂阶段和侦察蜂阶段(Bansal等人, 2013年)。在ABC算法中,创建一在该算法中,首先,生成NF个解决方案(解决方案的数量)的群体,其中每个解决方案X i i 1; 2;. ;NF是D维向量。在这里,Xi表示蚁群中的食物来源。每个食物源(解决方案)只有一只工蜂。换句话说,雇员或蜜蜂的数量等于解决方案的数量(Zorarpaco和Ozel,2016)。每个解决方案是随机产生的根据方程。(1)(Ghanem和Jantan,2016)。然后,计算其适应度并保存最佳解。在本文中,由于我们使用包装器方法来选择特征,因此AdaBoost被用于评估适应度。(Zorarpaco和Ozel,2016)。 此外,IDS应有效地和准确检测网络攻击基于数据挖掘x j¼x jr和r0; 1 n n nx-x2018年12月28日,第8卷第1页,第2页,第3页,第4页。. ;D1入侵检测模型试图提高检测率。网络攻击数据中经常会出现数据集不平衡的问题Boosting算法是数据挖掘领域的一种Meta算法,用于减少不平衡和方差。虽然boosting并不在算法的框架中,但大多数算法都是基于boosting来设计的,反复训练弱学习器并将其添加到前一个集合中,最终实现强分类器。AdaBoost是Adaptive Boosting的缩写,是一种Boosting算法,也是最重要的多分类方法之一,因为它具有强大的理论基础,高精度的计算和简单性。其中D是问题参数的尺寸或数量,和xj分别是第j维的下限和上限。然后,每个雇员蜜蜂改变位置,随机选择一个食物源(另一个雇员蜜蜂)在其附近,并向它移动。(2)它改变了存在于其记忆中的位置(Ghanem和Jantan,2016)。如果新位置在其蜂蜜或适合性方面优于当前位置,则保持新位置并忘记先前位置,否则,保持先前位置并向试验添加一个单位。试验是连续蜜蜂数无改善。vi;j 1/4xi;ji;j. xi;j-xk;j2如前所述,ABC算法用于选择要素采用AdaBoost进行特征评估和分类。其中Xi;j 是前一个位置,£i;j是随机量,图4详细示出了所提出的方法框图。如图 4显示,因为数据集包括数值和非数值int val[1,+1]和xk。 一个来自xi的邻居。每个解的适应度特征或字符串,它们应该被同质化。因此,dataset首先,必须进行预处理。在这里,预处理包括两个适合度11如果fx i P0ð3Þ阶段:首先,将数据集的非数值特征转换为数值量;然后,数据归一化。由于NSL-KDD数据集特征由离散或连续的量组成,特征量位于不同的间隔;因此,这些特征1 jfx ij如果f≠xi≠0<其中f xi.第i个解的目标函数值探索过程完成后,所有员工蜜蜂将与Reploker共享更新解决方案的适应值见图4。 建议的方法框图。(M. Mazini等人/Journal of King Saud University547蜜蜂这些蜜蜂根据食物来源的概率来选择食物来源。选择任何解决方案的概率计算使用Eq。(4)(Ghanem和Jantan,2016):配合功能,并记录最佳解决方案。图5给出了ABC算法的伪代码。为了评估属性,它们被发送到Ada-Boost函数,由测试数据集进行检查。不同类型pi¼P我ð4ÞAdaBoost算法的改进。标准AdaBoost是NF拟合1/1其中fiti是由雇员蜜蜂计算的第i个解决方案的适合度值。然后,所选择的解决方案的邻域是随机发现的Eq。(4)使用Eq。(2),在它周围寻找更好的解,这样,位置xi; j的变差减小。因此,在搜索空间中搜索最优解是接近的。每次使用Eq. (2)、如果前一个食物源的位置并不比新的食物源好,则增加一个单元进行试验。最后,为了防止陷入局部最优,如果在几次连续重复之后的食物源的试验,其中该数量是预定的(限制)没有更新,则给定的食物源将被留下,并且与被改变的被放弃的源相关的雇员蜜蜂要侦察。然后,通过使用随机探索根据Eq. (1)并更换了废弃的源,以后废弃的源的试用值最后,从这个重复中计算出最佳食物来源,如果它比整个算法的最佳食物来源更好,它将取代。在所提出的方法中,可用的解决方案的数量随机选择了一些设计用于二进制分类问题,因此它不能用于多类问题。由于入侵检测数据集包含多类,AdaBoost.M2已被专门用于多类问题。该算法利用伪损失的概念来衡量弱假设的优劣。AdaBoost.M2的伪代码在算法1中示出。根据该图,具有5个叶子的决策树被用作基本学习器。首先,所有样本具有相等的权重,并且在每个T中改变样本的权重。弱学习器的目标是最小化步骤3中的伪损失。如果弱学习者可以不断产生以生成伪损失小于1/2的弱假设,它将得到加强。在方程式中,(5)和(6),AdaBoost函数分别通过这些属性创建网络用户的行为模型。该模型预测测试数据集属于哪种类型的正态分布或攻击类。½MDL]¼adaboostX;t5前1/4预测值:100MDL;XTest值:1006图五. 在所提出的方法中应用ABC算法的伪代码。我548M. Mazini等人/Journal of King Saud University.¼.¼.公司简介2 1/4fgP13. ht:et¼1Pm1Dt1-htxi;yiPqti; y h t x i ;yhtxi;yh t;ht:X×Y!半0;1]2吨/升1吨/升–;W我不不1/1W我不也不会有任何干扰其中X和t分别表示训练数据集和样本的标签,XTest是测试数据集。由公式(7)确定了模型与实际的误差量。这在最大搜索次数中重复。最后,确定影响IDS性能L¼loss ≤MDL;XTest;GroupTest≤700其中GroupTest是测试集标签。在第4节中,给出了所提出的方法选择的最佳特征。最基本也是最重要的一点是根据它们来设置参数进行检测操作这些因素有很大的影响-4. 拟议方法验证4.1. NSL-KDD和ISCXIDS 2012(Shiravi等人, 2012)数据集为了评估基于异常网络的入侵检测系统的有效性和性能,采用NSL-KDD(KDD 99 modified version)和ISCXIDS 2012数据集进行了仿真为了进行评估,作者使用设计的网络拓扑图将不同的基于攻击的场景定义到上述数据集中。3.第三章。由于有几个cri-IDS性能的标准,不同的标准,如检测率对操作时间和问题效率的DRTPTPTFN- 是的假阳性率FPRFPFPFTTN你好,和准确性ACTNTP. 我已经计算过了,FNapproach. 这些标准是根据四个主要标准计算的算法1:在所提出的方法中应用AdaBoost.M2算法的伪代码输入:m个示例的序列hx1;y1;. ;x m;ymi,带有标签yiY1;. ; k.弱学习算法DT T(迭代次数)初始化D1i1=mi1;。 . . ;m和真阳性(TP)、真阴性(TN)、假阳性(FP)和假阴性(FN)的标准如下:True Positive(TP):表示何时生成警报,并且存在入侵。假阴性(FN):表示未生成警报但存在入侵。1i;y 1/4Di=k-1;y- y i.● 误报(FP):指示何时生成警报,但对于t 1/4; 2;. ;Tdo没有入侵。不PtWtW t1. Wi¼yyWiy,qti;yi;y;8y,DMi● 真阴性(TN):指示何时未生成2I¼4. B ¼et我是4.2. 仿真结果不1-et5. 更新Wt1¼Wtb21htxi;yi-htxi;yi;yi;y t所提议的方法在不同情况6. 输出:h finxargmax yYPT log表4模拟参数设置。参数值T作为提升迭代的次数(AdaBoost算法)200LR作为学习率(AdaBoost算法)0.1NB作为蜜蜂的数量(ABC算法)50NF作为食物来源的数量(ABC算法)25Maxcycle作为搜索过程50(ABC算法)限制食物来源为30的最大循环次数在释放它之前(ABC算法)(如正常和攻击)使用NSL-KDD和ISCXIDS 2012已经提出如下:(这些仿真已经在MATLAB中使用仿真参数,如表4所示。此外,所提出的方法的训练和测试时间是2.35 s和32.55 s。此外,图6中示出了在捕获周期期间每秒的平均速度。该图是基于交通视觉分析(Zhang et al., 2013)使用Wireshark工具。 图 7))场景1):在这种情况下,攻击者可以使用不同的攻击来攻击网络,例如:- DOS(拒绝服务):攻击者使用计算或内存资源来处理有效请求。因此,它将见图6。 流量/秒。●●W2. DT(为它提供分布Dt标签加权函数qt●M. Mazini等人/Journal of King Saud University549图7.第一次会议。使用Wireshark工具进行流量可视化分析导致系统出现问题,无法发出有效的用户请求(Aljawarneh等人, 2017年)。- R2L(远程到本地):攻击者对系统进行未经授权的远程访问。此攻击使用有效的用户帐户。- U2R(User to Root):攻击者对根目录进行未经授权的远程访问此攻击也使用了有效的用户帐户- 探测:攻击者试图收集有关计算机网络的信息。表5示出了针对场景1使用NSL-KDD数据集的基于异常网络的IDS所提出的方法的操作结果。如表5所示,所提出的方法在攻击检测中取得了成功。值得注意的一点是,讨论的攻击的特征是非常相似的正常流量和识别这些攻击是困难的。表6也详细显示了方案1的拟议方法操作场景2):在这种情况下,攻击者可以使用不同的攻击方法攻击网络,例如:- 渗透:这种攻击场景首先收集有关目标的信息,包括网络IP范围、名称服务器等。这是通过使用网络管理工具查询资源记录来实现的(Shiravi等人,2012年)。- 暴力SSH:这种攻击在网络上很常见,因为它们倾向于使用弱用户名和密码组合闯入帐户。设计此场景的目的是通过对邮件服务器运行暴力攻击来获取SSH帐户(Shiravi等人, 2012年)。- 僵尸网络:僵尸网络将以前的行为合并到一个平台上,本质上简化并协助该平台的用户形成针对世界各地工作站或网络的复杂攻击 这样的行为包括扫描、分布式拒绝服务(DDoS)活动等(Shiravi等人, 2012年)。表7详细示出了基于异常网络的IDS提出的方法使用用于sce-nario 2的 ISCXIDS 2012数据集的操作结果。表5检测场景1攻击的建议方法结果(第1部分)。正常DOSR2lU2r探针DR%98.9999.9199.3799.8999.89FPR0.0150.0010.0340.0210.015AC%98.7199.8697.9098.8699.18●550M. Mazini等人/Journal of King Saud University表6检测场景1攻击的建议方法结果(第2部分)。业务类型样本总数真实检出样本误检样本正常13,44913,36287攻击92348501733总22,68321,863820表7检测场景2攻击的建议方法结果。业务类型样本总数真实检出样本误检样本普通9711 8798 913攻击7458 5432 2026总人数17,169 14,230 2932真实报警= 86%准确率= 83%误报= 14%检测率= 73%误报(阳性)≤5%错误率= 27%误报(阴性)=3%所提出的方法得到的结果与其他方法相一致。比较结果如表8所示。如表8所示,所提出的方法在所有三个重要标准方面都有显著的性能改进ABC算法已经能够选择最佳相关的功能,由于能够逃离最佳的局部区域,因此,与其他方法相比,表现出更好的性能。4.3. 敏感性分析表9和图图8示出了针对DR、AC和FPR标准在每个特征子集中使用所提出的方法的单独实现的结果根据表9,可以看出T参数的量必须至少调节在200。当T = 200时,它通过Max、DR和AC的增加而上升,但FPR降低。此外,当maxcycle= 10时,结果随着T的增加而改善。图8.第八条。 使用ABC特征选择算法对具有各种特征的DR和AC进行分析由于相关特征直接影响分类精度,因此蜜蜂周期的数量越多,选择更合适的特征进行分类的概率就越高;这就是为什么它对检测最优值有积极影响的原因。另一方面,由于Ada-Boost指定导致分类中的误差减少 , 因 此 在 其 重 复 次 数 被 调 节 在 高 水 平 的 情 况 下 , 即 使 具 有 低maxcycle,也将提供期望的结果。如果参数得到正确调节,它们的组合将发挥更大的性能。为了研究NF的效果,程序以maxcycle运行= 10,T = 200,第一次使用NF = 25,第二次使用NF = 50。结果,用25种溶液获得:DR = 98.81,AC = 93.67和FPR = 0.093,结果表明,NF增加的积极影响。图9描绘了四种不同性能下的分类误差图。可以看出,它具有低于0.006的误差,这是比其他性能最好的性能。值得注意的一点是,所提出的方法显示出高效率的攻击检测。如前所述,在所选数据集上的仿真结果证实,所提出的混合方法可以有效地检测网络异常,具有适当的时间和空间复杂度,而不是传说中的方法。表8将所提出的方法与其他方法进行比较。分类算法DR%FPRAC%特征选择方法K-NN+K-means(Guo等人,( 2016年)91.860.7893.29所有要素DT(Eesa等人, 2014年度)91.5003.37292.500猫SVM(Gauthama Raman等人, 201797.140.83N/AHGAdaBoost [本文]99.610.0198.90ABC表9ABC-AdaBoost敏感性分析特征数量DR%FPRAC%参数2599.610.01798.90T = 200,最大循环= 502399.550.02398.56T = 200,最大循环= 252298.810.09393.67T = 200,最大循环= 101999.490.03098.15T = 500,最大循环= 101697.670.11292.25T = 150,最大循环= 4510760.489.5T = 250,最大循环= 4525970.4790T = 150,最大循环= 452383.80.0491T = 200,最大循环= 45M. Mazini等人/Journal of King Saud University551图9.第九条。在不同的实验中测试分类错误表10时间和空间的复杂性。图10个。ABC算法的收敛特性方法时间复杂度空间复杂度AdaBoost(2008)(Hu等人,(2008年)O(n)O(n)SVM + BRICH
我的内容管理
展开
