基于極限學(xué)習(xí)機(jī)與改進(jìn)K-means算法的入侵檢測方法

王琳琳，劉敬浩，付曉梅

(1.天津大學(xué)電氣自動化與信息工程學(xué)院，天津 300072；2.天津大學(xué)海洋科學(xué)與技術(shù)學(xué)院，天津 300072)

1 引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)的設(shè)計(jì)缺陷與安全漏洞帶來了一系列的安全問題，必須采用主動防范的入侵檢測技術(shù)來改善網(wǎng)絡(luò)的安全狀況。1998年哥倫比亞大學(xué)的Lee等人[1]將數(shù)據(jù)挖掘技術(shù)引入到入侵檢測系統(tǒng)中，他們證明了可以使用數(shù)據(jù)挖掘技術(shù)發(fā)現(xiàn)用戶和程序的特征模式，通過相關(guān)特征訓(xùn)練分類器可以達(dá)到識別入侵的目的。

近年來，學(xué)者針對如何將數(shù)據(jù)挖掘技術(shù)應(yīng)用到入侵檢測之中做了大量的研究。文獻(xiàn)[2-4]分別討論了支持向量機(jī)SVM(Support Vector Machine)、BP神經(jīng)網(wǎng)絡(luò)以及樸素貝葉斯算法等數(shù)據(jù)挖掘算法在入侵檢測中的應(yīng)用。但是，這些傳統(tǒng)的算法存在一些問題，例如需要人工調(diào)整的參數(shù)較多、檢測精度不高、容易陷入局部極小值、需要耗費(fèi)大量的計(jì)算時(shí)間等。2006年Huang等人[5]提出了極限學(xué)習(xí)機(jī)ELM(Extreme Learning Machine)，ELM是一種針對單隱含層前向神經(jīng)網(wǎng)絡(luò)的新算法。ELM算法的輸入層與隱含層間的連接權(quán)重向量以及隱含層神經(jīng)元的閾值是隨機(jī)產(chǎn)生的，此二者在訓(xùn)練過程中無需調(diào)整。ELM算法只需要設(shè)定隱含層的神經(jīng)元個(gè)數(shù)，同時(shí)ELM算法不需要迭代，訓(xùn)練速度非常快。與傳統(tǒng)算法相比，ELM算法具有學(xué)習(xí)速度快、泛化性能好等優(yōu)點(diǎn)，因此適用于對入侵攻擊的分類檢測。但是，ELM算法對于激活函數(shù)的選擇具有依賴性，激活函數(shù)選擇的好壞直接影響著分類效果。文獻(xiàn)[6]提出了一種基于核函數(shù)的ELM入侵檢測分類方法，該方法采用徑向基RBF核函數(shù)(Radial Basis Function)來代替ELM隱含層的激勵(lì)函數(shù)。但是，由于部分攻擊連接與正常網(wǎng)絡(luò)連接的差異較小，進(jìn)而影響了ELM算法在入侵檢測中的效果。聚類分析作為一種常用的數(shù)據(jù)挖掘技術(shù)，其算法簡單、計(jì)算復(fù)雜度低，適用于入侵檢測系統(tǒng)。Portnoy等人[7]較早提出了基于聚類分析的入侵檢測技術(shù)，利用無標(biāo)簽的數(shù)據(jù)進(jìn)行訓(xùn)練，從而檢測出未知攻擊。K-means算法是經(jīng)典的聚類算法。文獻(xiàn)[8]將K-means算法應(yīng)用于入侵檢測之中。但是，傳統(tǒng)的K-means算法的聚類結(jié)果受初始簇中心點(diǎn)的影響嚴(yán)重，初始簇中心點(diǎn)選取不當(dāng)很容易造成聚類結(jié)果陷入局部最優(yōu)解或?qū)е洛e(cuò)誤的聚類結(jié)果，很多學(xué)者針對這個(gè)問題進(jìn)行了研究。文獻(xiàn)[9]提出了一種改進(jìn)的半監(jiān)督K-means算法，利用有標(biāo)簽的數(shù)據(jù)獲得初始聚類中心。文獻(xiàn)[10]采用加權(quán)局部方差結(jié)合最大最小法，優(yōu)化K-means初始聚類中心的選取。但是，經(jīng)過這些改進(jìn)后的K-means算法仍然局限于人工設(shè)置初始聚類簇?cái)?shù)目，而不是根據(jù)特征本身來確定聚類簇?cái)?shù)目，使得聚類結(jié)果不穩(wěn)定。多級分類的入侵檢測方法可以提高入侵檢測系統(tǒng)的準(zhǔn)確率。文獻(xiàn)[11]提出了基于多級神經(jīng)網(wǎng)絡(luò)分類的入侵檢測方法，根據(jù)攻擊類別分別訓(xùn)練神經(jīng)網(wǎng)絡(luò)，進(jìn)而對不同種類的攻擊進(jìn)行分類。在多級模型的基礎(chǔ)上結(jié)合多種數(shù)據(jù)挖掘方法，可以集成多種算法的優(yōu)點(diǎn)。文獻(xiàn)[12]提出了結(jié)合了貝葉斯聚類和決策樹算法的多級混合入侵檢測分類器。文獻(xiàn)[13]提出了結(jié)合改進(jìn)的CatSub算法、K-point算法等算法的多級混合入侵檢測方法。

為了解決傳統(tǒng)單一算法難以對不同攻擊進(jìn)行有效檢測的問題，基于算法級聯(lián)的思想，本文提出了一種結(jié)合ELM和改進(jìn)的K-means算法的混合式入侵檢測方法。仿真結(jié)果表明，本文所提出的入侵檢測方法可以提高對入侵攻擊的檢測效率，并可以降低誤報(bào)率。

2 基于PReLU激活函數(shù)的極限學(xué)習(xí)機(jī)算法

2.1 極限學(xué)習(xí)機(jī)理論

典型的單隱含層前向神經(jīng)網(wǎng)絡(luò)SLFNs(Single-hidden Layer Feedforward Neural networks)結(jié)構(gòu)如圖1所示，由輸入層、隱含層與輸出層三層組成。

Figure 1 Structure of single-hidden layer feedforward neural networks圖1 單隱含層前向神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

給定N個(gè)任意不同的樣本xi,ti，xi=[xi1,xi2,…,xin]T∈Rn，ti=[ti1,ti2,…,tim]T∈Rm，其具有k個(gè)隱含層神經(jīng)元的SLFNs輸出函數(shù)可表示為：

j=1,2,…,N

(1)

其中,g(x)為激活函數(shù)，wi=[wi1,wi2,…,win]T為輸入層與第i個(gè)隱含層神經(jīng)元間的連接權(quán)重向量，βi=[βi1,βi2,…,βim]T為第i個(gè)隱含層神經(jīng)元與輸出層間的連接權(quán)重向量，bi為第i個(gè)隱含層神經(jīng)元的閾值，oj為第j個(gè)輸入樣本對應(yīng)的輸出值。

給定k個(gè)隱含層神經(jīng)元和激活函數(shù)g(x)，則存在wi,βi,bi使得SLFNs能以零誤差逼近這N個(gè)任意不同的樣本xi,ti，即:

(2)

(3)

式(3)可表示為:

Hβ=T

(4)

其中,

Hw1,…,wk,b1,…,bk,x1,…,xN=

(5)

其中，H是該神經(jīng)網(wǎng)絡(luò)的隱含層輸出矩陣，H的第i列是第i個(gè)關(guān)于輸入x1,x2,…,xN的隱含層節(jié)點(diǎn)輸出。

極限學(xué)習(xí)機(jī)ELM算法是一種求解SLFNs的學(xué)習(xí)算法。由Huang等人[5]的證明可知，當(dāng)激活函數(shù)g(x)無限可微時(shí)，SLFNs的參數(shù)并不需要全部進(jìn)行調(diào)整，w=[w1,w2,…,wk]n×k和b=[b1,b2,…,bk]T可以隨機(jī)選擇，且在訓(xùn)練的過程中保持不變，而β可以通過求解以下方程組的最小二乘解獲得:

β-T‖

(6)

其解為:

(7)

其中，H+為隱含層輸出矩陣H的Moore-Penrose廣義逆。

2.2 基于PReLU激活函數(shù)的極限學(xué)習(xí)機(jī)算法

激活函數(shù)選擇得是否合適直接影響極限學(xué)習(xí)機(jī)ELM的學(xué)習(xí)效果。傳統(tǒng)的ELM算法采用的激活函數(shù)是S型非線性連續(xù)光滑單調(diào)的Sigmoid函數(shù)，其函數(shù)定義為:

(8)

由Huang等人的證明可知，ELM可選擇一個(gè)任意區(qū)間無限可微的函數(shù)作為激活函數(shù)，所以激活函數(shù)的選擇并不唯一。文獻(xiàn)[14]提出了一種修正線性單元ReLU(Rectified Linear Units)的新型激活函數(shù)，ReLU激活函數(shù)具有稀疏激活性，在深度卷積神經(jīng)網(wǎng)絡(luò)中的訓(xùn)練時(shí)間優(yōu)于傳統(tǒng)的Sigmoid函數(shù)[15]。ReLU激活函數(shù)的定義為:

g(x)=max(0,x)

(9)

文獻(xiàn)[16]在ReLU激活函數(shù)基礎(chǔ)上提出了參數(shù)修正的線性修正單元PReLU(Parametric Rectified Linear Unit)。PReLU作為ReLU函數(shù)的改進(jìn)函數(shù)，引入了修正參數(shù)，提高了神經(jīng)網(wǎng)絡(luò)的準(zhǔn)確率，而所增加的計(jì)算量可以忽略不計(jì)。PReLU引入了非常少量的額外參數(shù)，額外參數(shù)的數(shù)量等于信道總數(shù)，考慮權(quán)重總數(shù)時(shí)這是可以忽略的，所以PReLU函數(shù)不會造成過度擬合以及導(dǎo)致額外的風(fēng)險(xiǎn)。所以，本文將PReLU函數(shù)作為激活函數(shù)以優(yōu)化ELM的學(xué)習(xí)效果。PReLU函數(shù)定義為：

g(x)=max(0,x)+amin(0,x)

(10)

3 改進(jìn)的K-means算法

3.1 K-means算法

1967年MacQueen[17]提出了K-means算法，該算法是一種基于劃分的經(jīng)典的聚類算法，其聚類結(jié)果使相似度較高的樣本聚集到同一類簇，而不同類簇間的樣本相似度較低[18]。K-means算法的基本思想是：首先隨機(jī)選取k個(gè)點(diǎn)作為初始聚類中心，然后計(jì)算各個(gè)樣本到聚類中心的距離，把樣本歸到離它距離最小的聚類中心所在的簇，對調(diào)整后的新簇重新計(jì)算平均值得到新的聚類中心，以上過程不斷重復(fù)，直至相鄰兩次的聚類中心沒有任何變化，即準(zhǔn)則函數(shù)收斂。

K-means算法在計(jì)算兩個(gè)樣本之間的距離時(shí)，考慮到入侵檢測系統(tǒng)對于算法復(fù)雜度的要求，一般采用算法復(fù)雜度較小的歐氏距離，計(jì)算公式如下：

d(xi,xj)=

(11)

其中,xi=[xi1,xi2,…,xip]與xj=[xj1,xj2,…,xjp]是兩個(gè)維度為p的數(shù)據(jù)對象。

K-means算法常采用誤差平方和作為準(zhǔn)則函數(shù)，其定義如下：

(12)

其中,x是所在聚類空間的數(shù)據(jù)對象，k為聚類簇的總數(shù)，mi為聚類簇Ci的中心，即平均值。

3.2 改進(jìn)的K-means算法

傳統(tǒng)的K-means算法隨機(jī)選擇初始聚類中心，而不同的初始中心會導(dǎo)致不同的聚類效果，如果初始聚類中心選擇不當(dāng)，很容易陷入局部最優(yōu)。同時(shí)，傳統(tǒng)的K-means算法需要人為事先確定聚類數(shù)目k，但是算法不能分辨出所設(shè)定的聚類數(shù)目是否合適。因此，本文提出一種通過設(shè)定距離閾值來選擇初始聚類中心，同時(shí)可以通過計(jì)算自動生成聚類數(shù)目k，最終通過比較數(shù)據(jù)點(diǎn)與鄰近點(diǎn)的距離從而進(jìn)行聚類改進(jìn)的K-means算法。

對訓(xùn)練集中的正常網(wǎng)絡(luò)連接以及與正常網(wǎng)絡(luò)連接特征相似的攻擊，分別采用改進(jìn)的K-means算法進(jìn)行聚類，生成若干種類的聚類中心數(shù)據(jù)集，以聚類得到的聚類中心數(shù)據(jù)集作為新的高質(zhì)量的訓(xùn)練數(shù)據(jù)集。

改進(jìn)的K-means算法描述如下：

算法1改進(jìn)的K-means算法

輸入：數(shù)據(jù)集D,距離閾值λ。

輸出：聚成k類的聚類中心數(shù)據(jù)集D′。

步驟1隨機(jī)選擇αj∈D作為第一個(gè)聚類中心c1，令k=1；

步驟2For(?αi∈D,i≠j)

步驟3If(歐氏距離d(αi,cn)>λ,n=1,…,k)

步驟4k=k+1//αi為新的聚類中心ck

步驟5End If;

步驟6以cn為中心，計(jì)算歐氏距離d(αi,cn)，將ai劃分到dmin(αi,cn)的類cn中；

步驟8End For;

步驟9For(?αi∈D)

步驟10重復(fù)步驟6,步驟7；

步驟11If (生成的聚類中心cn保持穩(wěn)定)

步驟12輸出聚成k類的聚類中心數(shù)據(jù)集D′；

步驟13End If;

步驟14End For;

將改進(jìn)的K-means算法與投票策略結(jié)合進(jìn)行入侵檢測。對于測試集中的每一個(gè)樣本點(diǎn)β，分別計(jì)算其與改進(jìn)的K-means算法中得到的每一個(gè)聚類中心cn的歐氏距離。選取其中距離最小的m個(gè)點(diǎn)，并判斷這m個(gè)聚類中心所屬的攻擊類別，取數(shù)量最多的聚類中心的類別作為β的類別，若聚類中心類別的數(shù)目出現(xiàn)相等的情況，則將β歸于與其距離最近的點(diǎn)的類中。

4 入侵檢測數(shù)據(jù)集與檢測算法流程

4.1 NSL-KDD數(shù)據(jù)集

NSL-KDD數(shù)據(jù)集[19]一種比KDD CUP99[20]數(shù)據(jù)集更新的用于入侵檢測測試的數(shù)據(jù)集。作為KDD CUP99數(shù)據(jù)集的改進(jìn)版，NSL-KDD數(shù)據(jù)集解決了KDD CUP99數(shù)據(jù)集中數(shù)據(jù)冗余的問題，避免了分類器在訓(xùn)練與分類過程中偏向于頻繁出現(xiàn)的連接數(shù)據(jù)。NSL-KDD數(shù)據(jù)集中僅包含網(wǎng)絡(luò)流量數(shù)據(jù)，每一條數(shù)據(jù)網(wǎng)絡(luò)連接數(shù)據(jù)由41個(gè)網(wǎng)絡(luò)連接屬性值以及一個(gè)類別標(biāo)簽構(gòu)成。NSL-KDD的訓(xùn)練集中有125 973條網(wǎng)絡(luò)連接記錄，測試集有22 544條網(wǎng)絡(luò)連接記錄，包含了正常數(shù)據(jù)連接Normal以及39種攻擊類型，這39種攻擊類型分屬于DOS、Probe、U2R以及R2L等四大類攻擊，其中訓(xùn)練集中包含22種攻擊，而測試集中多出了17種攻擊，這些僅在測試集中出現(xiàn)的攻擊類型，可以評價(jià)入侵檢測算法對新型未知攻擊的檢測能力。

4.2 入侵檢測算法流程

綜合多種數(shù)據(jù)挖掘算法構(gòu)建出的多級混合式入侵檢測方法，可以集成多種算法的優(yōu)點(diǎn)。很多學(xué)者提出了結(jié)合不同分類器的級聯(lián)式入侵檢測系統(tǒng)。文獻(xiàn)[12]與文獻(xiàn)[13]所提出的入侵檢測模型在第一級對DOS與Probe攻擊進(jìn)行分類，第二級對Normal進(jìn)行分類，第三級對U2R與R2L進(jìn)行分類。文獻(xiàn)[21]所提出的入侵檢測模型在第一級對DOS與Probe攻擊進(jìn)行分類，第二級對U2R攻擊進(jìn)行分類，第三級對R2L與Normal進(jìn)行分類。

本文所采用的檢測模型如圖2所示。由于DOS和Probe這兩大類攻擊在短時(shí)間內(nèi)會向同一目的計(jì)算機(jī)發(fā)起大量的連接請求，其網(wǎng)絡(luò)連接數(shù)據(jù)與Normal的網(wǎng)絡(luò)連接數(shù)據(jù)差別很大，所以在第一層與第二層分別采用基于PReLU激活函數(shù)的ELM算法對這兩大類攻擊進(jìn)行檢測。而在U2L與R2L這兩大類攻擊中黑客需要獲得受害者計(jì)算機(jī)的非法訪問權(quán)限，所以生成的網(wǎng)絡(luò)連接記錄將與正常用戶的網(wǎng)絡(luò)連接記錄非常相似，同時(shí)這兩類攻擊的數(shù)量相對較少，因此在第三層采用改進(jìn)的K-means算法結(jié)合投票策略對Normal、U2R與R2L進(jìn)行分類。

Figure 2 Architecture of the intrusion detection model圖2 入侵檢測模型結(jié)構(gòu)

5 實(shí)驗(yàn)與結(jié)果分析

實(shí)驗(yàn)的硬件環(huán)境為2.20 GHz Intel Core i5 CPU，4 GB RAM計(jì)算機(jī)，軟件環(huán)境為Matlab R2014a。本文采用NSL-KDD數(shù)據(jù)集進(jìn)行仿真驗(yàn)證實(shí)驗(yàn)。

為了評價(jià)本文算法的檢測效果，采用精確度、召回率、準(zhǔn)確率、F1值、檢測率與誤報(bào)率等六項(xiàng)指標(biāo)進(jìn)行衡量。首先定義如下參數(shù)：

(1)TP(True Positive)：入侵攻擊被判斷為入侵攻擊的網(wǎng)絡(luò)連接數(shù)。

(2)TN(True Negative)：正常連接被判斷為正常連接的網(wǎng)絡(luò)連接數(shù)。

(3)FP(False Positive)：非入侵攻擊被判斷為入侵攻擊的網(wǎng)絡(luò)連接數(shù)。

(4)FN(False Negative)：入侵攻擊被判斷為正常連接的網(wǎng)絡(luò)連接數(shù)。

基于以上參數(shù)，衡量指標(biāo)的定義如下：

(1)精確度Precision=TP/(TP+FP);

(2)召回率Recall=TP/(TP+FN);

(3)準(zhǔn)確率Accuracy=(TP+TN)/(TP+TN+FP+FN);

(4)F1值F1-measure=2*Precision*Recall/(Precision+Recall);

(5)檢測率Detection Rate：總體測試集中被正確分類的數(shù)據(jù)所占的比例。

(6)誤報(bào)率FalseAlarmRate=FP/(TP+FP)。

從NSL-KDD數(shù)據(jù)集的訓(xùn)練集與測試集中，各抽取10 000條數(shù)據(jù)進(jìn)行算法有效性驗(yàn)證。實(shí)驗(yàn)數(shù)據(jù)的構(gòu)成如表1所示。

Table 1 Composition of training and testing data sets

在進(jìn)行模型訓(xùn)練之前，首先要對數(shù)據(jù)集中的數(shù)據(jù)進(jìn)行預(yù)處理。對于數(shù)據(jù)的預(yù)處理可分為兩個(gè)步驟：

(1)字符型特征轉(zhuǎn)化為數(shù)值特征。

NSL-KDD數(shù)據(jù)集共有三種字符型特征，分別是協(xié)議類型(Protocol Type)、網(wǎng)絡(luò)服務(wù)(Service)以及連接的狀態(tài)(Flag)。將Protocol Type特征中的TCP標(biāo)注為1，UDP標(biāo)注為2，TCMP標(biāo)注為3。將67種Service特征按名稱首字母順序分別標(biāo)注為1～67，將11種Flag特征按順序分別標(biāo)注為1～11。將訓(xùn)練數(shù)據(jù)按照標(biāo)注的攻擊類型分為Normal、DOS、Probe、U2R以及R2L五類。

(2)標(biāo)準(zhǔn)化與歸一化處理。

將由(1)得到的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化與歸一化處理，消除由于不同特征值度量單位的差異對實(shí)驗(yàn)結(jié)果產(chǎn)生的影響。標(biāo)準(zhǔn)化公式為：

(13)

歸一化公式為：

(14)

其中,x1min為標(biāo)準(zhǔn)化后該特征值的最小值，x1max為標(biāo)準(zhǔn)化后該特征值的最大值，x2為歸一化后的結(jié)果。

對本文所提出的入侵檢測模型進(jìn)行參數(shù)設(shè)置。第一層與第二層ELM模型采用PReLU激活函數(shù)，參數(shù)a設(shè)置為0.25，隱含層神經(jīng)元個(gè)數(shù)設(shè)定為200。第三層模型取每一條測試數(shù)據(jù)與經(jīng)過改進(jìn)的K-means算法生成的新訓(xùn)練集中距離最近的3個(gè)點(diǎn)，進(jìn)行投票策略，其中改進(jìn)的K-means算法的閾值設(shè)定分別是Normal為0.6，U2R為0.4，R2L為0.4。每次實(shí)驗(yàn)重復(fù)20次求平均值。將本文所提算法與BP、SVM和ELM算法進(jìn)行比較。BP的隱含層神經(jīng)元個(gè)數(shù)設(shè)定為30，lr為0.1，epochs為100，goal為0.001。SVM采用廣泛使用的LIBSVM[22]軟件包，SVM采用C-SVC類型，RBF核函數(shù)，gamma參數(shù)為0.11，懲罰因子C為256。ELM算法的激活函數(shù)為Sigmoid函數(shù)，隱含層神經(jīng)元個(gè)數(shù)設(shè)定為200。每次實(shí)驗(yàn)重復(fù)20次求平均值，實(shí)驗(yàn)結(jié)果如表2和表3所示。

Table 2 Detection rate comparisonamong different algorithms

由表2的結(jié)果看來，本文所提出的檢測方法對于Normal、Probe和DOS的檢測率都有很好的效果。相比之下，U2R與R2L的檢測率相對較低，這是因?yàn)閁2R與R2L攻擊在訓(xùn)練集的樣本數(shù)量小于DOS與Probe攻擊的，同時(shí)測試集R2L攻擊中新出現(xiàn)了snmp get attack攻擊與snmp guess攻擊，這兩種攻擊的特征屬性與Normal的特征屬性高度相似，導(dǎo)致大多數(shù)R2L被誤判為Normal。

Table 3 Detection result comparisonamong different algorithms

對比傳統(tǒng)的BP、SVM和ELM三種算法，本文所提出的檢測方法對于不同種類攻擊的檢測率都有提升，尤其是對U2R、R2L這兩類攻擊的檢測效果有大幅度提升。由表3可知，本文所提出的算法具有較高的精確度、召回率以及F1值，在提高檢測準(zhǔn)確率的同時(shí)降低了檢測的誤報(bào)率，可以說明本文所提出的檢測方法的有效性。

將本文所提出的檢測方法與同樣基于NSL-KDD數(shù)據(jù)集的其他檢測算法進(jìn)行對比，其他檢測算法分別是文獻(xiàn)[13]提出的多層混合式MLH(Mutil Level Hybrid)入侵檢測方法、文獻(xiàn)[23]提出的基于最大最小法K-means的入侵檢測方法、文獻(xiàn)[24]提出的基于人工神經(jīng)網(wǎng)絡(luò)ANN(Artificial Neural Network)的入侵檢測方法，以及文獻(xiàn)[25]提出的基于神經(jīng)網(wǎng)絡(luò)和K-means的混合算法進(jìn)行入侵檢測的FP-ANK方法，對比結(jié)果如表4所示。

Table 4 Detection rate comparison of different methods

由對比結(jié)果可知，本文提出的檢測方法與其他方法相比準(zhǔn)確率最高，且誤報(bào)率相比其他方法最低。基于最大最小法K-means的入侵檢測方法對于各種攻擊的檢測效果較差，且誤報(bào)率較高。ANN檢測方法對于正常流量的檢測效果較好，但是對于網(wǎng)絡(luò)攻擊的檢測效果較差。FP-ANK檢測方法對于Normal、DOS與Probe的檢測率與本文所提出的檢測方法基本相同，但是對U2R與R2L的檢測率明顯低于本文所提出的混合式檢測方法。MLH檢測方法對于五類網(wǎng)絡(luò)流量的檢測效果與本文所提方法基本相同，但是準(zhǔn)確率和誤報(bào)率低于本文所提出的方法。

6 結(jié)束語

本文采用基于ELM與改進(jìn)K-means的混合式入侵檢測方法，結(jié)合了不同算法的優(yōu)點(diǎn)，提高了對于網(wǎng)絡(luò)正常數(shù)據(jù)與異常數(shù)據(jù)的檢測率，同時(shí)降低了誤報(bào)率。基于PReLU激活函數(shù)的ELM算法提高了算法的分類效果，改進(jìn)的K-means算法避免了初始中心選擇不當(dāng)對聚類效果的影響，同時(shí)改進(jìn)的K-means算法與基于距離的投票策略提高了對攻擊的分類效果。在今后的研究中，要進(jìn)一步探索如何改進(jìn)方法使其應(yīng)用于實(shí)時(shí)網(wǎng)絡(luò)當(dāng)中。