论文研究-基于粗糙集的改进树突状细胞算法.pdf

所需积分/C币:10 2019-09-16 09:04:43 509KB .PDF

树突状细胞算法(DCA)在应用于入侵检测时,需要对网络监测数据进行约简,以降低系统负担,提高检测效率。提出一种结合粗糙集属性约简和DCA的异常入侵检测方法。采用粗糙集属性重要度对数据集进行属性约简,产生DCA输入信号,而后利用DCA算法进行入侵检测。通过KDD CUP99数据集对所提出的改进算法进行验证,结果表明,算法在保证检测率的前提下,显著降低了误报率。算法实现了入侵检测特征的自动提取,显著减少了所需检测的特征数目,加快了算法运行速度,具有良好的综合性能。
174 016,52(23 Computer Engineering and Applications计算机工程与应用 识系统中的约简概念。 时地发现、处理入侵事件。粗糙集通过对历史数据进行 定义Ⅰ给定知识系统κ=U,S)和知识库屮的·个分析,可得到数据集的约简,而后将约简及决策依据应 等价关系族PcS,R∈P,若MND(P)=ND(P-{R})成川于实际网络监测数据设计的RS-DCA方案如图1所示。 立,则称知识R为P中不必要的,否则称R为P中必要 补全 数据 的简特征提取DCA入侵 数据属性 的。如果对每一个R∈P,R都为P中必要的则称P[数据集「L岛散化 检测 为独立的 定义2(知识的约简)给定知识库K=(,S)和知识 训练 待检测了 数据集 数据 库上的一族等价关系PS,对任意的GP,若G满 图1RS-DCA基本流程 足以下两条 (1)G是独立的;(2)ND(G)=ND(P)。 RS-DCA的基本流程可概括为 则称G是P的一个约简,记为G∈RED(P),其中 (1)训练数据离散化;由于检测数据的复杂性,一些 RED(P)表示P的全体约简组的集合。 属性存在连续、多值的特性,因此在实际操作中需要将 定义3(知识的核)给定一个知识库K=(,S),以部分属性作离散化处理 及K上的一个等价关系族PS,VR∈P,如果R满足 (2)采用基于粗糙集属性重要度的属性约简算法对 IND(P-{R})≠MD(P),则称R为P中必要的,且P中所离散化后的训练数据集进行属性约简,约简后的属性集 有的必要的知识形成的集合称为P的核,记作CORE(P)。合对应到相应的信号。 已知IS可祧为决策表系统,则对决策表进行知识 (3)对需要网络监测数据相应特征属性进行数据离 约简的一般步骤可概括为补全决策表,则除其中重复散化和归化得到DCA输入信号并将抗原与信号送 对象、冗余条件属性;采川合适的算法求出其约简。 入DCA入侵检测器 首先,网络监测数据一般存在着随机性强,信息不 (4)将RS-DCA检测结果与数据集标对比,计算 完备的特点,因此需要对论域进行补全操作,如删除不检测率及误报率。 完备状态、插值补全等。同时,如果对象某一属性不是 RS-DCA算法步骤如下: 离散值,而是存在一定值域,则应当对该属性值进行离 步骤1对训练数据进行布尔离散化,利用属性重要 散化处理。常用的离散化方法有布尔推理、等频分布等"。度约简算法步骤进行属性约简。 而后,对知识系统进行属性约简。对复杂高维的知 步骤2初始化DC池,使其含有100个DC细胞,每 识系统的属性约简方法主要有:基于属性重要度的约简个细胞设置一个一定范围内的迁移阈值 算法、基于差别矩阼的约简算法、基于属性归纳的约简 步骤3取一条抗原数据,从DC池中随机抽取n个 算法等。其中,基属性重要度的约简算法的基本步骤DC,对该抗原采样 如下 步骤4选择约筍后的属性生成抗原信号,提取该抗 步1计算条件属性C相对于决策属性D的核原相关信号,根据输入信号浓度计算临时csm,semi CORE(C) mat,并累加全抽取的n个DC的csm、semi、matl。 步骤2令B= COREn(C),如果posA(D)=pos(D), 步骤5分别判断每个DC细胞的csm与它的迁移阈 转步骤5。 值的大小,若εsm<迁移國值,返回步骤3 步骤3vc;∈CB,计算属性重要度sig(c;,B)= 步骤6比较该DC绌胞此时的semi与mat大小,若 posBUic,(D)I-IPos a(D)). * cm -arg. may isig(c:, B), semi> mat semi>mat,该DC细胞转化为smDC;否则转化为mDC 步骤7判断是否存在抗原已完成被n个DC细胞 令B=BJ{cn}。 分析,若存在,计算该抗原的MCAV,若MCAV大于异常 步骤4如果 posT(D)≠a(D),转步蝶3,否则阈值,该抗原数据异常,否则为正常 转步骤 步驟8是否存在新抗原,存在则转到步驟3。 步骤5输出B∈RED(D),算法结束。 步骒9算法结東 最后,决策表可通过约简结果导出决策依据。 可以看出处理之后的数据不仅约简了监测数据的5仿真实验及结果分析 冗尔属性,还提供了相应的决策依据,这为后继的DCA 采用美国林肯实验室提供的 KDD CUP99数据集 原信号提呈打下了良好的基础 进行实验仿真,研究RS-DC∧算法的性能,并与传统 DCA算法进行对比。 KDD CUP9数据集是入侵检测 4RS-DCA入侵检测算法 领域的权威数据集,本文以数据集屮的 kddcup.data 面对多维、复杂的网络数据,入侵检测系统需要及10 percent作为数据来源,共494021条数据,每条数据 王舒洋,慕晓冬,张力:基于粗糙集的改进树突状细胞算法 2016,52(23)17 含有41个条件属性和1个类别决策属性,共分为五类:号作为DCA算法的输入信号,以及采用文献[7中以 normal(正常)、DoS〔(拒绝服务攻击)、 probing(扫描或漏PCA方法进行DCA数据预处理得到输入信号,将上述 涧攻击)、R2L(远程非授权访问)、U2(超权访问)。将两个实验的检测结果与RS-DCA的检测结对比如表3 数据集中的10%作为粗糙集属性约简的训练数据,整个所示。 数据集作为入侵检测的测试数据,并在数据集中加入时 表3DCA与 RS-DCA检测结果对比表 问戳进行采样数据 算法检测率%误报率运行时间s 利用基于粗糙集属性重要度的属性约简算法对训 DCA 93.69 8.25 824 练数据集进行属性约简,约简后得到最简属性集合,共 PCA-DCA 98.54 6.82 47 含8个属性,分别为:3,5,23,24,29,32,33,34。对应得 RS-DCA 98.45 4.38 586 到DCA相应的输入信号分别为 表3结果表明,采用粗糙集理论进行属性约提取 PAMP信号: src bytes, count, srv count DCΔ信号,可以在降低特征集容量的情况下,仍达到较 SS信号: service, dst host count 好的检测效果。相比于传统DCA算法,RS-DCA算法在 DS: same srv rate, dst host srv count, dst host 检测率、误报率以及算法执行速度方面都有更好的表 same srv rate 现。而与PCA-DCA相比,虽然RS-DCA的检测率略低 在而后的DCA入侵检测中,均只提呈监测数据中于 PCA-DCA,但误报率比 PCA-DCA下降了很多,总检 的相应属性。实验中设定DC池大小为100,每条数据测效率高于 PCA-DCA。 随机分配给10个DC细胞,DC的迁移阈值为400~500 内的随机数,异常阈值为0.25。实验中采用的DCA信 6结束语 号转换权值如表1所示 本文提出了一种基于粗糙集属性约简的改进树突 表1DCA信号转换权值表 状细胞算法。RS-DC∧通过改进DCA的数据预处理过 PAM 程,利用粗糙集属性重要度得到最简属性集合,以较少 csm 的属性保留较好的分类能力,实现DCA数据预处理过 mat 2 程中的属性约简和信号提呈。通过 KDD CUP99数据 集实验表明基于粗糙集的DCA改进算法,能够提高入 实验采用 orc U双核CPU,主频 侵检测的检测率,减少误报率,并缩短算法运行时间 220GHz,内存8GB,算法在Maab2014a上运行,得到 每个抗原的MCAV值如图2所示。 参考文献 [1 Gu F, Greensmith J, Aickelin UThe dendritic cell algo 0.9 rithm for intrusion detection[J. Computer Science: Cr hy and Security,2013,16(45):328-331 0 0 2]田玉玲面向异常检测的时间序列树突细胞算法[]西安电 0).4 子科技大学学报,2014,41(4):144-170 [3 Richard M R, Tan Guanzheng, Cheruiyot WNovel desig pts fo dritic cells processes[J]Journal of Central South Ur 100000200UU03U00004000005000U0 抗原序列号 ity,2013,20:2175-2185 图2RS-DCA检测的抗原MCAC图 [4]Pandey G, Cohain A, Miller J, et al. Decoding dendritic cell function through module and network analysis[J] 测试实验得到检测结果如表2所示。 Journal of Immunological Mcthods, 2013, 387(1): 71-80 表2 RS-DCA检测结果 5]唐成华,刘鹏程,汤屮生,等基于特征选择的模糊聚类异 类型检测数目条检测率/% 常入侵行为检测[J计算机研究与发展,2015,52(3):718-728. orIn 97278 [6]觉华筝,方贤进DCA自动数据预处理技术研究!计算机 39|458 工程与应用,2014,50(19):85-88 Probing 4107 84.39 7 Palmieri F, Fiore U, Castiglione A.A distributed approach R2I l126 53.82 to network anomaly detection based on independent com U2L 26.92 ponent analysis[J]. Concurrency and Computation: Prac 测试全集494021 98.45 tice and Experience, 2014, 26(5): 1113-1129 作为对比,利用测试数据集,选用文献[所选的信 (下转180页)

...展开详情
img
  • 至尊王者

    成功上传501个资源即可获取

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐