入侵warez

20200710计算机应用,JournalofComputerApplications2020,40(7):1996-2002ISSN10019081CODENJYIIDUhttp://www.
joca.
cn改进粗糙集属性约简结合Kmeans聚类的网络入侵检测方法王磊*(苏州大学信息化建设与管理中心,江苏苏州215006)(通信作者电子邮箱wanglei01005@163.
com)摘要:面对日益复杂的网络环境,传统入侵检测方法误报率高、检测效率低,且存在优化过程中准确性和可解释性相互矛盾等问题,因此提出一种结合改进粗糙集属性约简和K-means聚类的网络入侵检测(IRSAR-KCANID)方法.
首先基于模糊粗糙集属性约简对数据集进行预处理,优化异常的入侵检测特征;再利用改进K-means聚类算法估计入侵范围阈值,并对网络特征进行分类;然后根据用于特征优化的线性规范相关性,从所选择的最优特征探索特征关联影响尺度以形成特征关联影响量表,完成对异常网络入侵的检测.
实验结果表明,特征优化聚类后的最小化测量特征关联影响量表能在保证最大预测精度的前提下,最小化入侵检测过程的复杂度并缩短完成时间.
关键词:网络异常检测;改进粗糙集属性约简;改进K-means聚类;相关性分析;特征关联尺度中图分类号:TP391文献标志码:ANetworkintrusiondetectionmethodbasedonimprovedroughsetattributereductionandK-meansclusteringWANGLei*(CenterofInformationDevelopmentandManagement,SoochowUniversity,SuzhouJiangsu215006,China)Abstract:Underincreasinglycomplexnetworkenvironment,traditionalintrusiondetectionmethodshavehighfalsealarmrate,lowdetectionefficiencyandthecontradictionbetweenaccuracyandinterpretabilityintheoptimizationprocess.
Therefore,anImprovedRoughSetAttributeReductionandoptimizedK-meansClusteringApproachforNetworkIntrusionDetection(IRSAR-KCANID)wasproposed.
Firstly,thedatasetwaspreprocessedbasedontheattributereductionoffuzzyroughsetinordertooptimizetheanomalousintrusiondetectionfeatures.
Then,thethresholdofintrusionrangewasestimatedbyimprovedK-meansclusteringalgorithm,andthenetworkfeatureswereclassified.
Afterthat,accordingtothelinearcanonicalcorrelationusedforfeatureoptimization,thefeatureassociationimpactscalewasexploredfromtheselectedoptimalfeaturesinordertoformthetableoffeatureassociationimpactscale,andthedetectionofanomalousnetworkintrusionwascompleted.
Theexperimentalresultsshowthattheminimummeasuredfeatureassociationimpactscaletableafterfeatureoptimizationclusteringcanminimizethecomplexityofintrusiondetectionprocessandshortenthecompletiontimeonthepremiseofguaranteeingmaximumpredictionaccuracy.
Keywords:networkanomalydetection;improvedroughsetattributereduction;improvedK-meansclustering;correlationanalysis;featureassociationscale0引言网络安全问题一直是全社会关注的焦点,随着网络环境的日益复杂,包括防火墙、安全路由及数据加密等静态网络安全保护方法已很难满足人们对于网络安全性能的需求.
入侵检测系统(IntrusionDetectionSystem,IDS)作为一种网络安全主动防御技术,能够对防火墙等传统安全保护体系起到辅助作用[1],通过监控流经某个节点的流量,实现对入侵行为的检测,并生成报警信号发送至系统管理员,典型的IDS通常包括事件采集、事件分析和事件响应三个核心环节,其检测方法主要可分为两种类型:误用IDS和异常IDS.
现有IDS均或多或少存在有效性低、适应性不强、误报率高以及可扩展性不高等问题.
其中:误用IDS根据已知攻击和系统弱点的参数识别入侵,然而它无法识别新的或不熟悉的攻击类型;异常IDS则基于正常行为的参数,并使用它们来识别任何与正常行为相差甚远的行为[2].
误用入侵检测的机制是训练现有的入侵模式,并将考虑用于检查的数据,与先前的模式相匹配,以识别入侵.
IDS一般挂接在所有所关注流量都必须流经的链路上,而所关注流量则是指来自高危网络区域的访问数据和需要进行统计、监视的网络报文数据.
即无论是误用IDS还是异常IDS,都离不开对数据的挖掘与处理.
利用数据挖掘技术开发的IDS通常具有检测网络入侵的优异性能和泛化能力,从而使其具有高效的入侵检测性能.
然而,实现和安装这种系统的过程是复杂的,系统的固有复杂性可以根据准确性、能力和可用性的参数,组织成单独的问题集[3].
与使用数据挖掘技术构建的IDS相关联的一个关键问题主要是基于异常检测的那些技术,与先前基于手工签名的检测技术相比,其误报率更高[4].
因此,对于这些技术来说,文章编号:1001-9081(2020)07-1996-07DOI:10.
11772/j.
issn.
1001-9081.
2019111915收稿日期:20191111;修回日期:20200410;录用日期:20200412.
基金项目:国家自然科学基金青年科学基金资助项目(61802272).
作者简介:王磊(1987—),男,江苏苏州人,研究员,硕士,主要研究方向:云计算、计算机网络安全防护.
www.
joca.
cn第7期王磊:改进粗糙集属性约简结合K-means聚类的网络入侵检测方法审计数据的处理和在线入侵的检测比较困难,并且需要大量的训练数据.
文献[5]提出了一种结合了统计技术和自组织映射来检测网络中异常的分类方法(StatisticalTechniquesandSelf-organizingMaps,STSM),其中主成分分析(PrincipalComponentAnalysis,PCA)和Fisher判别比用于特征选择和噪声消除,概率自组织映射用于将网络事务分类为正常或异常.
文献[6]提出了一种结合数据挖掘方法的混合技术(HybridTechniquethatcombinesDataMiningApproaches,HT-DMA).
该方法中,K-means聚类算法用于减少与每个数据点相关联属性的数量,再将支持向量机(SupportVectorMachine,SVM)的径向基函数(RadialBasisFunction,RBF)用于异常网络入侵检测.
文献[7]提出了基于距离和的SVM混合学习(DistanceSum-basedSVM,DSSVM)方法,用于建模有效的IDS.
在DSSVM中,获得基于每个数据样本与数据集中的聚类中心特征维度之间的相关性的距离和,并将SVM用作分类器.
然而现有方法需要大量的训练数据,并且与系统的学习过程相关的复杂性很高.
因此提出一种基于改进粗糙集属性约简和K-means聚类的网络入侵检测方法(ImprovedRoughSetAttributeReductionandoptimizedK-meansClusteringApproachforNetworkIntrusionDetection,IRSAR-KCANID).
所提方法首先基于改进模糊粗糙集属性约简对数据集进行预处理,优化异常的入侵检测特征,然后利用改进K-means聚类算法进行入侵检测特征分析和入侵范围估计阈值估计,并对网络特征进行分类;再根据用于特征优化的线性规范相关性,从所选择的最优特征探索关联影响尺度,形成特征关联影响量(FeatureAssociationImpactScale,FAIS)表,完成对异常网络入侵的快速准确检测.
主要创新体现在以下几个方面:1)现有方法在入侵检测数据训练方面耗时较多,提出的方法利用改进模糊粗糙集属性约简对数据集进行了预处理,优化异常的入侵检测特征,避免了对大量数据的训练,缩短了入侵检测时间;2)现有大多数入侵检测方法仅仅是发现攻击行为,没有对攻击进行有效的分类,提出的方法在数据预处理的基础上,利用改进K-means聚类算法进行入侵检测特征分析和入侵范围估计阈值估计,并对网络特征进行分类.
3)在聚类结果的基础上,根据用于特征优化的线性规范相关性,从所选择的最优特征探索关联影响尺度形成关联影响量表,从而完成对异常网络入侵的检测.
特征相关性实验结果表明,特征优化聚类后的最小化测量特征关联影响量表能在保证最大预测精度的前提下,最小化入侵检测过程的复杂度并缩短完成时间.
1基于改进粗糙集属性约简的数据集预处理由于原始数据往往包含隐含信息[8-9],本文利用改进粗糙集属性约简(ImprovedRoughSetAttributeReduction,IRSAR)将这些隐含信息提取出来,在保留原始特征的同时更好地表现数据特征.
将网络连接记录表示为四元组FS=(U,At,V,f),其中:U为整个网络数据集;At是一个非空的有限属性集,t表示属性集数量;V=∪a∈AtVa表示属性a域集合;f=U*At表示信息函数.
由于传统的粗糙集理论只能处理离散属性集,无法很好地处理包含大量连续值的网络连接数据[10-11],因此引入模糊理论,利用模糊粗糙集的信息增益率对网络连接数据特征进行自动选取.
将引入模糊理论的网络连接记录表示为FIS=(U,C∪D,V,f),设BC,a∈C-B,C为条件属性集,B为约简的属性集,D为决策属性集,属性a的信息增益率为:GainRatlo(a,B,D)=I(B∪{}a;D)-I(B;D)H(a)(1)其中,GainRatlo表示增益率,GainRatlo(a,B,D)可用于衡量属性a的重要程度,可以通过每次选择增益率最大的特征进行属性选取,最终获得的属性集即为约简的本征属性集.
IRSAR的数据集预处理主要步骤如下,其中输入为数据集X、条件属性集C、决策属性集D,输出为约简的属性集B:1)清空B集合,计算GainRatlo(a,B,D),并筛选其最大值;2)如果maxGainRatlo(a,B,D)>0,则B←B∪{a},返回1);3)集合B为属性约简后的属性集合.
模糊等价关系是模糊粗糙集的核心,假如给定非空有限数据集X,X上的模糊等价关系R可以用关系矩阵Mr表示为:Mr=éêêêêêêêêùúúúúúúúúr11r12…r1nr21r22…r2nrn1rn2…rnn(2)其中rij∈[0,1]是xi与xj的关联值;xi和xj分别表示不同数据在同一属性上的值,xi,xj∈X,模糊等价关系需要满足自反、对称和传递性,能够实现信息增益率对网络连接数据特征属性集进行自动筛选,以获得约简的本征属性集,从而有效提高入侵检测算法的稳定性.
相较于经典粗糙集理论只能处理离散属性集的短板,改进粗糙集属性能够获得保留原始特征辨别能力的属性子集,能够很好地处理包含大量连续值的网络连接数据.
2特征分析与影响尺度阈值估计方法2.
1K-means聚类及其改进K-means聚类算法采用评价指标来度量距离的相似性[12-13],其主要思想体现为以下三点:1)在样本数据中,样本数量为k,且为任意设设定,设定的样本代表一个簇的初始中心或者均值;2)数据样本与每个聚类中心之间的距离通常用欧氏距离公式计算,每个数据样本根据计算结果被分配到最近的类;3)调整聚类中心并对得到的新类进行再次计算,聚类准则函数收敛的条件是聚类中心不再变化,即可终止对样本数据的聚类调整,从而结束算法.
改进K-means算法则针对初值选取敏感问题,算法中簇心的初始位置在算法开始时通过临时指定,再通过样本数据各维度的最大值和最小值计算,结合多次迭代来选取最佳的簇心,期间采用随机梯度下降的方法来取代批量梯度下降以防止K-means算法陷入局部最优.
假定h(θ)为所需要拟合的函数,J(θ)为损失函数,其函数形式分别表示为:h(θ)=∑j=0mθjXj(3)J(θ)=12m∑i=1m(Yi-hθ(Yt))2(4)1997www.
joca.
cn第40卷计算机应用其中:m表示训练集的数量,θ表示多次迭代计算所需要求取的值,X和Y为数据集,i表示迭代计数,t为损失因子,参数个数表示为j.
当求解出θ时最终要拟合的函数h(θ)的值也相应求得.
损失函数也可以改写为:J(θ)=12m∑i=1m(yi-hθ(xt))2=1m∑i=1mcost(θ,(xt,yi))(5)其中cost(θ,(xt,yi))可表示为:cost(θ,(xt,yi))=12(yi-hθ(xi))2(6)此处损失函数所对应的辨识训练集中每个样本数据的隶属度,对于每个样本数据的损失函数,通过对θ求偏导可以求出相应的梯度,其中θ可以根据以下公式更新:θj=θj+(yi-hθ(xi))xij(7)在计算过程中θ可以通过迭代计算不断更新,但如果学习效率设置过高则可能导致振荡现象.
因此可以引进学习率α进行改进,若假设f(α)=h(xk+αdk),其中当前样本点设置为xk,搜索方向设置为dk,则可得随机梯度下降过程所寻找的f(α)最小值为:α=argminα>0f(α)=argminα>0(xk+αdk)(8)对学习率的函数导数的分析:若α=0,则有f(0)=h(xk+0*dk)Tdk=h(xk)Tdk(9)下降方向dk可以选负梯度方向dk=-h(xk),从而使f(0)>0.
假如找到的α足够大,并且使得f(α)>0,则一定存在某个α,使得f(α*)>0,其中α*即为改进设置的学习率.
改进K-means聚类算法工作步骤如下,输入k(簇数),输出标记好的k个簇集合.
1)手动设定k个临时簇心;2)在样本数据每个向量的维度以及各自维度最大值和最小值选取簇心;3)根据选取的样本数据Xi找出距离它最近的簇心,并把簇心向Xi方向移动;4)每次移动数据项时都乘以学习率α,其变化趋势随迭代次数增加而不断减小;5)返回步骤2);6)对簇心进行更新;7)直到簇心位置固定不变;8)根据数量以及标记判别该簇正常与否.
改进后的K-means算法对于初值选取要求有所降低,相较于原始算法簇心的初始位置可以在算法开始时临时指定,无需进行繁琐的初值整定;此外,改进算法在稳定性方面也有一定的提升,因为学习率α的设置改进,可以避免因学习效率设置过高而导致的振荡现象.
2.
2入侵检测特征分析与特征关联影响尺度阈值估计2.
2.
1入侵检测特征分析网络事务集包含的42个特征可以分为连续和分类的值,为了便于优化,需要将所有最初字母及连续数值转换为分类.
预处理的一组网络事务根据其标签进行分区,使得正常事务是一组,拒绝服务(DenialofService,DoS)攻击事务是另一组.
将字母数字值表示为数值,并将联系续值表示为分类值,其具体步骤如下:1)考虑具有字母数字值的每个要素,然后列出所有可能的唯一值,并使用从1开始的增量索引列出它们;2)用适当的索引替换值;3)考虑具有连续值的每个要素,然后将它们划分为一组具有最小值和最大值的范围,以便事件在所有这些范围内均匀分布.
考虑结果正常交易集(NormalTradeSet,NTS)中的每个特征值集合fiv(NTS)及其覆盖百分比为fiv={fi(v1,c1),fi(v2,c2),,fi(vj,cj)},v,c为特征量,然后,可以按照以下步骤中的描述执行每个攻击A的特征优化:1)考虑交易集ts(Ak)表示攻击类型Ak(假设为DoS攻击).
2)对于每个特征fi(Ak),将所有值视为集合fiv(Ak).
创建大小为|fiv(Ak)|的空集-fiv,并根据其覆盖百分比填充fiv中的值,使得|fiv(Akfiv||.
这里|fiv(Ak)|表示fi(Ak)的特征值集的大小.
3)求解网络测试系统的特征值-fiv,使得-fiv与fiv(Ak)大小兼容,并且还能表示fiv(NTS)中的值的覆盖率.
4)此过程应适用于攻击Ak的网络事务中设置的所有特征值.
5)找出fiv(Ak)和-fiv之间的典型相关性.
如果得到的典型相关性小于给定阈值或零,那么特征fi(Ak)可以被认为是评估入侵范围规模的最佳值.
根据上述步骤中说明的过程,可以识别特定攻击Ak的最佳特征.
2.
2.
2特征关联影响尺度阈值估计通过聚合A的每一行来找到特权权重(将形成表示特权权重v),再通过A和v之间的乘法找到枢轴权重:u=A*v(10)那么特征分类值fivj的尺度阈值fas可以通过如下公式计算:fas(fivj)=∑k=1||STVS{}u(tvsk):(fivj→tvsk)≠0∑k=1||STVSu(tvsk)(11)特征分类值fivj和fivj之间的fas可以表示为:fas(fivjfivj)=∑k=1||STVS{}u(tvsk)(fivj,fivj)tvsk∑k=1||STVSu(tvsk)(12)其中:tvsk表示k交易价值集,|STVS|表示事务值集的总数.
另外,每个交易价值集tvsi的特征关联影响量表fais和faist阈值可以分别表示为:fais(tvsi)=1-∑j=1||m{}fas(valj)valj∈V}):(valjtvsi)||tvsi(13)faist=∑i=1||STVSfais(tvsi)||STVS(14)其中:valj∈V表示特征差值.
每个交易价值faist的标准差需要进一步测量集合,以估计faist阈值的上下限和挑战黑洞(ChallengeCollapsar,CC)阈1998www.
joca.
cn第7期王磊:改进粗糙集属性约简结合K-means聚类的网络入侵检测方法值范围.
其中,cc阈值是faist的一个临界值;下限为cc平均值与cc标准差之间的差值,上限为cc平均值与cc标准差之和.
阈值设定的目的在于对以上三种范围进行阈值额定,与此对应的范围分别为不相关性、弱相似性和强相似性.
发现的正常记录总数为测试数据记录的总和,估算标准偏差表示如下:sdvfaist=()∑i=1||STVSfais(tvsi)-faist2(||STVS-1)(15)faist系列可以探索范围如下:faist范围的下限是:faistl=faist-sdvfaist(16)faist范围的上限是:faisth=faist+sdvfaist(17)当且仅当fais(nt)warezmaster、warezclient、spy、imap、ftp_write、multihop和guess_passwd.
4)探测攻击(Probingattack,PROBE).
探测攻击是一种攻击类型,攻击者会避开安防系统收集网络中计算机上的数据.
PROBE攻击类型有:nmap、satan、ipsweep和portsweep.
在NSL-KDD数据集中,考虑的协议是TCP、UDP和ICMP.
本实验基于IntelCorei5-5430MCPU@2.
70GB,4GBRAM计算机平台,并在Linux系统中采用C程序对数据集进行预处理操作,同时采用Java执行数据分类和入侵检测,采用粗糙集工具RSES(RoughSetExplorationSystem).
实验通过与文献[5]和文献[7]所提方法(即STSM和DSSVM)进行对比,从入侵检测精度以及检测完成时间等方面比较了所提入侵检测方法的可行性和先进性.
同时在原始KDD-99数据集实验基础上,增加了CICIDS2017通用数据集的对照实验,以验证所提方法的普适性.
其中,假设网络中发生的真实的攻击事件数量M,IDS漏报的事件数量为N,在基于原始KDD-99数据集的实验中,通过数据预处理得到的训练数据为54675条,测试记录24533条;基于CICIDS2017通用数据集的实验中,通过数据预处理得到的训练数据为53687条,测试记录23645条,实验数据分布类型和结果通过多次处理和测试得到.
衡量系统性能最为重要的因素有检测率(TruePositive,TP)、误报率(FalsePositive,FP)和漏报率(FalseNegative,FN).
异常网络入侵检测精度(Precision)是入侵检测方法的主要度量指标,分析得出了入侵检测的精确度度量方法:Precision=TP/(TP+FP)(27)其中:TP为正确识别为入侵事件与所有入侵的事件数的比值,FP为错误识别为入侵事件与所有非入侵的事件数的比值,FN为存在漏报的事件数与所有非入侵的事件数的比值.
实验将提出的方法与STSM和DSSVM在KDD-99数据集上进行了对比,其结果如图4所示.
从图4中可以看出,提出的方法在阈值下限和临界阈值附近对异常网络入侵的检测精度优于STSM和DSSVM方法,其检测精度均在97%以上,但在阈值上限处的精度则比另外两种方法稍差.
同时,在同样的实验条件下,将所提方法与STSM和DSSVM在CICIDS2017数据集上也进行对比,三者的阈值设定为各自在训练集重构误差的均值.
由图5可知,在阈值下限附近所提方法对入侵检测精度明显优于STSM和DSSVM方法,且在临界阈值条件下也保持了较好的精度优势,在阈值上限条件下,三种方法大体相同,均在99%以上.
在不同标记下的不同场景典型相关性实验中,对时间复杂度进行了实验分析,提出的方法实验结果如图6所示.
由图6可知,由于cc阈值存在变化,所需要的时间复杂度也是可缩放的.
当cc阈值较小时,所需要的完成时间较少,如cc阈值为0.
03时,仅需2.
209s便可完成入侵检测;随着cc阈值逐渐增大,所需要的完成时间逐渐延长,当cc阈值接近0.
047时,完成时间趋于稳定时间11.
6s左右.
此外,实验将所提方法与STSM与DSSVM在不同数据集中的不同属性数量下入侵检测时间复杂度方面的对比,其实验结果如表2所示.
如表2所示,在不同数据集的同一属性数量水平下,不同数据集对入侵检测完成时间几乎没有影响.
以KDD-99为例,STSM与DSSVM方法比所提的IRSAR-KCANID方法入侵检测时间更长.
当属性数量为90时,STSM与DSSVM方法时间分别为0.
115s和0.
095s,而提出的方法仅为0.
06s;当属性数量为250时,STSM与DSSVM方法时间分别为0.
945s和0.
935s,提出的方法为0.
324s,大约节省60%的网络入侵检测时间;在CICIDS2017数据集中,当属性数量为70时,STSM方法时间为0.
077s,DSSVM与所提方法的时间为0.
033s;当属性数量为230时,STSM与DSSVM方法时间分别为0.
943s和0.
893s,而所提方法所需时间仅为0.
535s,相比于较快的DSSVM方法能节省大约0.
0363s入侵检测时间.
由此可见,在不同的数据集中,入侵检测方法在属性数量越大时,所需要的入侵检测事例越多,所提方法相对于其他方法在不同数据图4KDD-99数据集上典型发散相关阈值下IRSAR-KCANID预测精度的性能分析Fig.
4PerformanceanalysisofIRSAR-KCANIDpredictionaccuracyundertypicaldivergencecorrelationthresholdonKDD-99dataset图5CICIDS2017数据集上典型发散相关阈值下IRSAR-KCANID预测精度的性能分析Fig.
5PerformanceanalysisofIRSAR-KCANIDpredictionaccuracyundertypicaldivergencecorrelationthresholdonCICIDS2017dataset图6在不同的典型相关阈值下IRSAR-KCANID的入侵检测完成时间Fig.
6IntrusiondetectioncompletiontimeofIRSAR-KCANIDunderdifferenttypicalcorrelationthresholds2001www.
joca.
cn第40卷计算机应用集中对于入侵检测所节约的时间成本越明显.
5结语本文提出的IRSAR-KCANID简化了特征分析过程,使用基准数据集进行实验,同时引入IRSAR对数据集进行预处理,采用改进K-means聚类方法对数据特征进行聚类分析.
实验结果表明,规范相关分析对于选择用于训练的网络事务的最优属性十分重要,提出的方法在特征相关聚类的基础上,结合关联影响尺度进行入侵检测,在保证最大化检测精度的前提下,最小化了过程复杂性和完成时间;但在cc阈值上限情况下,提出的方法检测精度比其他方法略差,因此提出的方法在适用性方面还有待进一步拓展.
参考文献(References)[1]张连成,魏强,唐秀存,等.
基于路径与端址跳变的SDN网络主动防御技术[J].
计算机研究与发展,2017,54(12):2761-2771.
(ZHANGLC,WEIQ,TANGXC,etal.
PathandportaddresshoppingbasedSDNproactivedefensetechnology[J].
JournalofComputerResearchandDevelopment,2017,54(12):2761-2771.
)[2]刘江,张红旗,杨英杰,等.
基于主机安全状态迁移模型的动态网络防御有效性评估[J].
电子与信息学报,2017,39(3):509-517.
(LIUJ,ZHANGHQ,YANGYJ,etal.
Effectivenessevaluationofdynamicnetworkdefensebasedonhostsecuritystatemigrationmodel[J].
JournalofElectronicsandInformationTechnology,2017,39(3):509-517.
)[3]HODOE,BELLEKENSX,HAMILTONA,etal.
ThreatanalysisofIoTnetworksusingartificialneuralnetworkintrusiondetectionsystem[C]//Proceedingsofthe2016InternationalSymposiumonNetworks,ComputersandCommunications.
Piscataway:IEEE,2016:1-6.
[4]MONDAEEVM,ANKERT,MEYOUHASY.
Methodandapparatusfordeeppacketinspectionfornetworkintrusiondetection:US20080031130[P].
2013-05-21.
[5]QUX,YANGL,GUOK,etal.
Asurveyonthedevelopmentofself-organizingmapsforunsupervisedintrusiondetection[J/OL].
MobileNetworksandApplications[2019-11-10].
https://link.
springer.
com/article/10.
1007%2Fs11036-019-01353-0.
[6]CHIENCF,HUANGYC,HUCH.
Ahybridapproachofdataminingandgeneticalgorithmsforrehabilitationscheduling[J].
InternationalJournalofManufacturingTechnologyandManagement,2009,16(1/2):76-100.
[7]KHALVATIL,KESHTGARYM,RIKHTEGARN.
Intrusiondetectionbasedonanovelhybridlearningapproach[J].
JournalofAIandDataMining,2018,6(1):157-162.
[8]WANGW,LIUJ,PITSILISG,etal.
Abstractingmassivedataforlightweightintrusiondetectionincomputernetworks[J].
InformationSciences,2018,433/434:417-430.
[9]SULTANAN,CHILAMKURTIN,PENGW,etal.
SurveyonSDNbasednetworkintrusiondetectionsystemusingmachinelearningapproaches[J].
Peer-to-PeerNetworkingandApplications,2019,12(2):493-501.
[10]李龙杰,于洋,白伸伸,等.
基于二次训练技术的入侵检测方法研究[J].
北京理工大学学报,2017,37(12):1246-1252.
(LILJ,YUY,BAISS,etal.
Intrusiondetectionmodelbasedondoubletrainingtechnique[J].
TransactionsofBeijingInstituteofTechnology,2017,37(12):1246-1252.
)[11]GAOX,SUNQ,XUH.
Multiple-ranksupervisedcanonicalcorrelationanalysisforfeatureextraction,fusionandrecognition[J].
ExpertSystemswithApplications,2017,84:171-185.
[12]刘雪娟,袁家斌,操凤萍.
云计算环境下面向数据分布的K-means聚类算法[J].
小型微型计算机系统,2017,38(4):712-715.
(LIUXJ,YUANJB,CAOFP.
DatadistributionK-meansclusteringforcloudcomputing[J].
JournalofChineseComputerSystems,2017,38(4):712-715.
)[13]XUT,CHANGHD,LIUG,etal.
HierarchicalK-meansmethodforclusteringlarge-scaleadvancedmeteringinfrastructuredata[J].
IEEETransactionsonPowerDelivery,2017,32(2):609-616.
[14]PARKS,KIMJ.
Astudyonriskindextoanalyzetheimpactofportscanandtodetectslowportscaninnetworkintrusiondetection[J].
AdvancedScienceLetters,2017,23(10):10329-10336.
[15]KORITSASS,HAGILIASSISN,CUZZILLOC.
Theoutcomesandimpactscale-revised:thepsychometricpropertiesofascaleassessingtheimpactofserviceprovision[J].
JournalofIntellectualDisabilityResearch,2017,61(5):450-460.
[16]张冰涛,王小鹏,王履程,等.
基于图论的MANET入侵检测方法[J].
电子与信息学报,2018,40(6):1446-1452.
(ZHANGBT,WANGXP,WANGLC,etal.
IntrusiondetectionmethodforMANETbasedongraphtheory[J].
JournalofElectronicsandInformationTechnology,2018,40(6):1446-1452.
)[17]KHROMYKHSV,TSYGANKOVAA,BURMAKINAGN,etal.
Mantle-crustinteractioninpetrogenesisofthegabbro-graniteassociationinthePreobrazhenkaintrusion,EasternKazakhstan[J].
Petrology,2018,26(4):368-388.
[18]叶子维,郭渊博,王宸东,等.
攻击图技术应用研究综述[J].
通信学报,2017,38(11):121-132.
(YEZW,GUOYB,WANGCD,etal.
Surveyonapplicationofattackgraphtechnology[J].
JournalonCommunications,2017,38(11):121-132.
)[19]SHIW,LUC,YEY,etal.
Assessmentoftheimpactofsea-levelriseonsteady-stateseawaterintrusioninalayeredcoastalaquifer[J].
JournalofHydrology,2018,563:851-862.
ThisworkispartiallysupportedbytheYouthProgramofNationalNaturalScienceFoundationofChina(61802272).
WANGLei,bornin1987,M.
S.
,researchfellow.
Hisresearchinterestsincludecloudcomputing,computernetworksecurityprotection.
表2不同属性数量下入侵检测完成时间对比单位:sTab.
2Comparisonofintrusiondetectioncompletiontimecomplexitywithdifferentattributenumbersunit:s属性数量7090110130150170190210230250STSMKDD-990.
0750.
1150.
2230.
3120.
4960.
5890.
7990.
8240.
9420.
945CICIDS20170.
0770.
1250.
2220.
3220.
4860.
5990.
7890.
8330.
9430.
943DSSVMKDD-990.
0350.
0950.
1240.
2720.
3980.
5880.
7790.
7640.
8920.
935CICIDS20170.
0330.
0940.
1250.
2710.
3900.
5900.
7780.
7740.
8930.
933IRSAR-KCANIDKDD-990.
0320.
0630.
2010.
3020.
3650.
3870.
4210.
4320.
5350.
324CICIDS20170.
0330.
0600.
2110.
3120.
3640.
3860.
4230.
4350.
5350.
3292002www.
joca.
cn