当前位置: 首页 > >

基于机器学*的网络异常流量检测方法

发布时间:

76 doi: 10.16652/j.issn.1004?373x.2015.23.021 2015 年 12 月 1 日 第 38 卷第 23 期 现代电子技术 Modern Electronics Technique Dec. 2015 Vol. 38 No. 23 基于机器学*的网络异常流量检测方法 张晓艳 (云南经济管理学院,云南 昆明 摘 650106) 法的核心算法。由于传统的神经网络算法使用的梯度下降算法在实际应用时, 存在易陷入局部极小值, 训练效率低下等问 题, 因此研究的改进型 ANFIS 算法使用附加动量算法修正模型参数, 使系统能够越过误差曲面的局部最小值。最后使用 表明, 使用改进型 ANFIS 算法检测系统的训练效率以及检测准确率均优于使用 BP 神经网络算法建立的模型。 关键词:机器学*;ANFIS;BP 神经网络;网络异常流量检测 中图分类号:TN711?34;TP393 文献标识码:A KDD CUP99 数据库以及 LBNL 实验室测试的数据对改进型 ANFIS 算法和 BP 神经网络算法的检测方法进行性能测试。结果 要:研究一种基于机器学*的网络异常流量检测方法。使用改进型 ANFIS 算法作为建立的网络异常流量检测方 文章编号:1004?373X (2015) 23?0076?04 Research on network anomaly traffic detection method based on machine learning (Yunnan College of Business Management,Kunming 650106,China) ZHANG Xiaoyan algorithm is taken as the core algorithm. Since the gradient descent algorithm adopted by traditional neural network algorithm Abstract:A network anomaly traffic detection method based on machine learning is studied,in which the improved ANFIS has the defects of easy to fall into local minimum and low training efficiency in practical application,the additional momentum algorithm is adopted by the improved ANFIS algorithm to modify the model parameters, which makes the system can cross the local minimum of the error surface. The performance of the test methods for the improved ANFIS algorithm and BP neural network al? gorithm is tested by using KDD CUP99 database and the data tested by LBNL laboratory. The test results show that the training efficiency and test precision of the test system with the improved ANFIS algorithm are better than that of the model established by BP neural network. Keywords:machine learning;ANFIS;BP neural network;network anomaly traffic detection 0 引 言 1 1.1 网络异常流量检测系统 网络异常流量类型 异 常 网 络 流 量 类 型 主 要 有 Alpha Anomaly 异 常 流 随着互联网技术的飞速发展, 互联网环境也逐渐变 得复杂。网络中每时每刻充斥着大量的异常流量数据, 威胁着人们的计算机安全, 小到个人财产安全, 大到国 家安全。目前现实的复杂网络中的异常流量种类较多, 有 Alpha Anomaly 异 常 流 量 、 DDos 异 常 流 量 、 Port Scan 异常流量、 Network Scan 异 常 流 量 等 恶 意 行 为 , 也有来 自于如路由问题、 链路故障等网络软硬件故障。因此现 量、 DDos 异常流量、 Port Scan 异常流量、 Network Scan 异 常流量、 Worms 异 常 流 量 以 及 Flash Crowd 异 常 流 量 等。可用于检测异常流量的主要流特征有目的端口总 数、 目的 IP 总数、 源端口总数、 源 IP 总数、 字节数以及分 测异常流量的流特征如下: 数据传输行为, 可用于检测 Alpha Anomaly 异常流量的 流特征有字节数和分组数。 (1) Alpha Anomaly 异常流量指高速点对点非正常 组数等 [2]。各个异常网络流量类型的具体含义和用于检 在对网络异常流量检测的难度也不断加大, 而研究新型 网络异常流量方法, 应对层出不穷的网络异常流量类 型, 提高检测识别效率和检测准确率, 已然成为现在的 热点问题之一 。 收稿日期: 2015?07?28 [1] 服务攻击行为, 可用于检测 DDos 异常流量的流特征有 分组数、 源 IP 地址、 流计数以及目的 IP 地址。 (2) DDos 异常流量指对目标地址的分布式的拒绝



友情链接: