融合BVM与ELM的网络异常检测方法.pdfVIP

2012年 7月 西安石油大学学报 (自然科学版) Ju1．2012 第27卷第4期 JournalofXianShiyouUniversity(NaturalScienceEdition) Vo1．27No．4 文章编号 ：1673-064X(2012)04-0097-04 融合 BVM 与 ELM 的网络异常检测方法 蔡长宁 ，潘华贤 ，程 国建。 (1．中国石油勘探开发研究院 西北分院，甘肃 兰州730020；2．西安财经学院行知学院 ， 陕西 西安 710038；3．西安石油大学 计算机学院，陕西 西安710065) 摘要：针对用单一分类器对网络进行异常检测时存在的检测率低、虚警率高等问题，提 出了一种新 的融合球向量机(BVM，BallVectorMachine)与极限学习机 (ELM，ExtremeLearningMachine)的异常 检测方法．该方法分别用BVM与ELM对三类网络特征进行学习，通过BP神经网络训练出相应权 值来融合标签．实验表 明：使用该融合方法进行 网络异常检测的性能要优于使用单一的BVM或 ELM；相对于融合传统的SVM与BP网络的方法，融合BVM与ELM 网络异常检测方法的检测率与 虚警率与传统方法相当，但其训练速度快、整体性更优． 关键词：网络异常检测；球向量机；极限学习机；神经网络；数据融合 中图分类号：TP393 文献标识码 ：A 随着各种网络服务的增长，维护网络信息安全 融合 one—classSVM和 k-means2种无监督学习算法 变得越来越重要．随之而诞生的网络异常检测系统， 进行网络异常检测 J，和融合 SVM与BMPM2种有 受到越来越多学者的关注．异常检测的目的是试图 监督学习算法来进行异常检测 j． 寻找已知或未知的攻击类型，并及时发出警报．基于 考虑到有关异常检测数据量大的特点，本文采 模式识别和基于根据实例进行学习的方法，可从大 用极限学习机 (ExtremeLearningMachine，ELM) 量的异常实例当中泛化出模型，因此相比于传统的 与球向量机 (BallVectorMachine，BVM)作为分类 异常检测系统，具有探测出新异常类型的能力．而使 器，此两种算法在对大规模数据处理中，都表现出优 用某些有监督的学习方法，可利用其根据用户行为 良的性能 引．通过使用可训练的融合策略来对2种 进行的建模能力，进行异常检测，并不需要事先知道 分类器进行融合，旨在提高异常检测的稳定性和多 确切的用户模型．如利用神经网络…、贝叶斯 网 分类器的学习速度． 络 、支持向量机(SupportVectorMachine，SVM) 1 相关算法理论 对异常进行检测，都取得了较好的效果．而这些模型 在提供 了较强的泛化能力的同时，也带来 了较高的 1．1 ELn 算法 虚警率．因此，融合多模型的算法来进行网络异常检 极限学习机通过建立一个单隐层的前 向神经网 测 ，可提高系统的测量精度，增强容错能力，提升稳 络来实现．相对于其他智能学习方法，ELM在学习 定性和可靠性 ，因而成为解决该问题的一种较为有 的过程中隐层节点不需要迭代改变，只需要设置隐 效的方法．按照融合分类器性质的不同，一般可分为 层节点个数，并且产生惟一的最优解．因此，参数选 融合有监督学习方法和融合无监督学习的方法．如 择容易，学习速度快，人为干预少． 收稿 日期 ：2011·12-25 基金项 目：国家 自然科学基金资助项 目(编号 作者简介：蔡长宁(1962一)，男 ，