楊宏宇,趙明瑞,謝麗霞

(中國民航大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院,天津 300300)

基于自適應(yīng)進(jìn)化神經(jīng)網(wǎng)絡(luò)算法的入侵檢測*

楊宏宇,趙明瑞,謝麗霞

(中國民航大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院,天津 300300)

針對目前多數(shù)入侵檢測系統(tǒng)的低檢測率問題，提出一種自適應(yīng)進(jìn)化神經(jīng)網(wǎng)絡(luò)算法AENNA?；谶z傳算法和BP神經(jīng)網(wǎng)絡(luò)算法，利用模擬退火算法的概率突跳和局部搜索強(qiáng)的特性對遺傳算法進(jìn)行改進(jìn)，采用雙種群策略的遺傳進(jìn)化規(guī)則實現(xiàn)BP神經(jīng)網(wǎng)絡(luò)權(quán)值和結(jié)構(gòu)的雙重優(yōu)化；通過對遺傳算法的交叉算子與變異算子的改進(jìn)，設(shè)計一種自適應(yīng)的神經(jīng)網(wǎng)絡(luò)訓(xùn)練方法。實驗結(jié)果表明，基于AENNA的入侵檢測方法能夠有效提高系統(tǒng)的檢測率并降低誤報率。

遺傳算法；神經(jīng)網(wǎng)絡(luò)算法；模擬退火算法；入侵檢測

1 引言

當(dāng)今社會，隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的不斷發(fā)展，針對網(wǎng)絡(luò)和計算機(jī)系統(tǒng)的攻擊變得越來越頻繁，攻擊手法也復(fù)雜多樣。而傳統(tǒng)的入侵檢測技術(shù)由于技術(shù)自身的局限和不足已無法滿足安全高度敏感部門的需求，研究人員對諸如神經(jīng)網(wǎng)絡(luò)技術(shù)、專家系統(tǒng)、機(jī)器學(xué)習(xí)和進(jìn)化算法等智能方法在入侵檢測中的應(yīng)用開展了大量研究，為入侵檢測領(lǐng)域的研究開啟了一個嶄新的方向[1]。

文獻(xiàn)[2]在基于最小閉包球的支持向量機(jī)算法的基礎(chǔ)上，提出了基于廣泛內(nèi)核的最小閉包球算法的入侵檢測方法,但該方法無法高效處理多類問題且范圍限制嚴(yán)格。文獻(xiàn)[3]提出一種基于關(guān)聯(lián)決策的網(wǎng)絡(luò)多源入侵檢測算法，該算法運用模糊識別手段，通過計算各個多源子攻擊的關(guān)聯(lián)度，對入侵行為進(jìn)行模糊差異聚類，完成入侵檢測，但過于依賴參數(shù)特征的計算準(zhǔn)確性，對預(yù)分類的結(jié)果影響較大。文獻(xiàn)[4]提出一種神經(jīng)網(wǎng)絡(luò)專家系統(tǒng)模型，并將該模型應(yīng)用于入侵檢測系統(tǒng)，通過關(guān)聯(lián)檢測性能的方法擴(kuò)充了單一系統(tǒng)的檢測能力，但該模型也增加了檢測時間，時間復(fù)雜度偏高。文獻(xiàn)[5]提出一種自適應(yīng)遺傳算法，該算法首先考慮個體適應(yīng)度的變化，并將交叉和變異概率在最大適應(yīng)度與平均適應(yīng)度之間作線性變換，但該算法在演化初期，較優(yōu)個體幾乎不發(fā)生變化，因此容易走向局部收斂。文獻(xiàn)[6]提出一種改進(jìn)的自適應(yīng)遺傳算法，并有效地應(yīng)用到非線性系統(tǒng)的參數(shù)辨識問題上，但該算法中的局部較優(yōu)個體不易被淘汰，全局搜索能力不強(qiáng)，且對于分布偏多于平均適應(yīng)度范圍的種群演化容易停滯不前。

傳統(tǒng)神經(jīng)網(wǎng)絡(luò)算法的收斂速度較慢；遺傳算法局部搜索能力差但全局搜索能力卻很強(qiáng)；模擬退火算法具有強(qiáng)收斂及概率突跳的特性。本文基于智能互補(bǔ)融合的觀點，將遺傳算法、模擬退火算法和神經(jīng)網(wǎng)絡(luò)結(jié)合提出一種自適應(yīng)進(jìn)化神經(jīng)網(wǎng)絡(luò)算法AENNA(Adaptive Evolutionary Neural Network Algorithm)。

2 神經(jīng)網(wǎng)絡(luò)改進(jìn)進(jìn)化算法

2.1 改進(jìn)算法設(shè)計思路

傳統(tǒng)BP算法雖然具有簡單和可塑的優(yōu)點，但由于BP算法本質(zhì)上是采用梯度下降搜索方法，因而不可避免地存在固有的不足，如易陷入誤差函數(shù)的局部極小點，而且對于較大搜索空間、多峰值和不可微函數(shù)等問題也不能有效搜索到全局極小點。而遺傳算法是克服這一不足的有效解決辦法，主要是由于遺傳算法是一種全局優(yōu)化搜索算法，因而能夠避開局部極小點，而且在進(jìn)化過程中無需提供所要解決問題的梯度信息。另一方面，標(biāo)準(zhǔn)遺傳算法易出現(xiàn)未成熟收斂現(xiàn)象，雖然相應(yīng)的改進(jìn)方法很多，如調(diào)整操作參數(shù)、增加種群規(guī)模等，但都沒有考慮使改進(jìn)后的算法具有學(xué)習(xí)能力和魯棒特性，這恰是神經(jīng)網(wǎng)絡(luò)的優(yōu)勢所在。因此，本文提出一種自適應(yīng)進(jìn)化神經(jīng)網(wǎng)絡(luò)算法 (AENNA)，通過改進(jìn)遺傳算法，優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的連接權(quán)值與網(wǎng)絡(luò)結(jié)構(gòu)，應(yīng)用于BP神經(jīng)網(wǎng)絡(luò)的訓(xùn)練。

鑒于傳統(tǒng)遺傳算法個體的多樣性下降過快，影響遺傳算法通過交叉和變異跳出局部最優(yōu)的能力，本文采用雙種群遺傳策略。此策略屬于并行遺傳策略，即同時進(jìn)行多種群的進(jìn)化，這種策略的優(yōu)點在于可以改變種群內(nèi)停滯的局面，在交換不同種群中優(yōu)秀個體遺傳信息的同時，能夠跳出局部最優(yōu)，這也加快了算法的進(jìn)化速度。

用一個類來表示群體中的每個個體，同一種群的不同個體具有不同的隱含層數(shù)、節(jié)點數(shù)和連接權(quán)值。大種群中每個個體都來自一個小種群，小種群中所有個體均具有相同的網(wǎng)絡(luò)結(jié)構(gòu)、不同的連接權(quán)值。不同小種群中的個體在群體內(nèi)進(jìn)化，小種群中適應(yīng)度較高的個體則有較大概率進(jìn)入大種群進(jìn)行交叉和變異操作，而后回到原小種群進(jìn)行下一次的小群體內(nèi)部進(jìn)化。小種群中的進(jìn)化操作選用調(diào)整的自適應(yīng)交叉算子和變異算子，大種群中的進(jìn)化操作則采用調(diào)整的增加算子和刪除算子。

考慮到模擬退火算法在解決大型優(yōu)化組合問題上的有效性，本文將其引入到對遺傳算法的改進(jìn)中，結(jié)合遺傳算法群體并行搜索能力和模擬退火概率突跳特性來改善優(yōu)化效率并避免局部極小的可能性。

遺傳算法中交叉算子和變異算子對于遺傳算法解空間的影響較大，這是由于交叉算子會造成染色體局部相似，交叉概率偏大會破壞適應(yīng)度值高的個體，偏小則容易讓算法停滯；同樣，變異概率過大則變成了純粹的隨機(jī)搜索，過小則會導(dǎo)致無法驅(qū)動搜索轉(zhuǎn)向其他解空間，而無法接近最優(yōu)解。在參考了文獻(xiàn)[5,6]提出的自適應(yīng)遺傳算法的基礎(chǔ)上，本文從小種群的交叉算子和小種群變異算子兩方面對遺傳算法進(jìn)行改進(jìn)。

2.2 小種群交叉算子

小種群選用調(diào)整自適應(yīng)交叉算子進(jìn)行種群個體間的交叉。根據(jù)種群適應(yīng)度值的大小，逐漸地調(diào)整整個種群的交叉概率。調(diào)整后的交叉概率Pc的計算公式[6]為：

(1)

其中,fa表示最大適應(yīng)度值，fi表示最小適應(yīng)度值，fv表示平均適應(yīng)度值，這三個值用來表示種群適應(yīng)度的集中程度，使Pc隨適應(yīng)度值在fa、fi和fv之間進(jìn)行變化。f′為待交叉的兩個個體中較大的適應(yīng)度值。公式中k1=0.6，k3=0.9，k2在(k1,k3)間取值。適應(yīng)度函數(shù)為：

(2)

其中，F(xiàn)為適應(yīng)度函數(shù)值，取值在[0,1]之間；E為誤差函數(shù)值；N為訓(xùn)練樣本總數(shù)；ok(t)表示期望輸出；yk(t)表示網(wǎng)絡(luò)的實際輸出[7]。

對于個體的選擇，采用高適應(yīng)度值、高概率中選方法將個體從父代中選出，其中概率pi的計算公式[8]為：

(3)

(4)

(5)

(6)

由于模擬退火法能有效解決大規(guī)模的組合優(yōu)化問題，所以運用模擬退火機(jī)制[10]對交叉后生成的子代進(jìn)行取舍，具體步驟設(shè)計為：

步驟1依據(jù)式(5)和式(6)對父代個體X1、X2進(jìn)行交叉，生成子代個體Y1、Y2，按照式(2)計算子代個體的適應(yīng)度值F(Y1)、F(Y2)。

步驟2若F(Y1)>F(X1)且F(Y2)>F(X2)，則子代個體Y1取代父代個體X1，子代個體Y2取代父代個體X2，轉(zhuǎn)向步驟4；否則，若子代個體的適應(yīng)度值小于父代個體的適應(yīng)度值,則進(jìn)行步驟3操作。

步驟3在[0,1]產(chǎn)生隨機(jī)數(shù)β，計算Δ=F(X)-F(Y)，其中，X為父代的個體，Y為子代個體；

其中，T0為初始溫度，d為初始種群個體間適應(yīng)度的最大差值，α取0.01；Ti=T0(0.99i-1)，其中，i為進(jìn)化代數(shù)；

Prob=min(1.0,exp(-Δ/Ti))

若Prob≥β，則子代個體Y取代父代個體X;否則保留父代個體X。

步驟4輸出取舍后的個體。

2.3 小種群變異算子

小種群采用調(diào)整自適應(yīng)變異算子進(jìn)行個體變異操作。變異概率依據(jù)適應(yīng)度值的集中程度自適應(yīng)地變化，通過設(shè)置參數(shù)區(qū)間來限制變異概率的取值范圍，可有效保證變異操作的合理性，調(diào)整后的變異概率Pm計算公式[9]為：

(7)

其中，fa、fv和fi分別代表種群中的最大適應(yīng)度值、平均適應(yīng)度值和最小適應(yīng)度值；f為待變異的個體適應(yīng)度值；k1=0.1，k3=0.09，k2均在(k3,k1)取值。

(8)

其中，t表示種群的總進(jìn)化代數(shù)，r表示在[0,1]內(nèi)非均勻分布的隨機(jī)數(shù)，T表示最大的進(jìn)化代數(shù)，b表示系統(tǒng)參數(shù)(通常設(shè)為2)。

3 算法流程設(shè)計

在對神經(jīng)網(wǎng)絡(luò)進(jìn)化算法的改進(jìn)中，在交叉概率算子和變異概率算子的計算中采用了個體適應(yīng)度概率方差，這樣能提高遺傳算法的收斂速度。同時，引入模擬退火算法對交叉子代進(jìn)行取舍，也加快了遺傳迭代的進(jìn)度。基于前文對神經(jīng)網(wǎng)絡(luò)進(jìn)化算法的改進(jìn)并參考文獻(xiàn)[11]，設(shè)計AENNA的實現(xiàn)步驟如下：

步驟1設(shè)定初始參數(shù)。設(shè)置BP神經(jīng)網(wǎng)絡(luò)的層數(shù)、每層神經(jīng)元個數(shù)、樣本數(shù)據(jù)模式和誤差值等。

步驟2初始化操作。用符合正態(tài)分布的小隨機(jī)數(shù)隨機(jī)產(chǎn)生p個染色體bi作為初始化的大種群。

步驟3估算操作。根據(jù)權(quán)值、閾值向量，用BP算法處理輸入、輸出樣本，獲得全局誤差E。若E滿足條件，則結(jié)束，若個體適應(yīng)度值符合設(shè)定要求，則結(jié)束；否則轉(zhuǎn)入步驟4。

步驟4小種群演化操作(小種群的演化操作流程如圖1所示)。將大種群中的個體按照編碼長度的差異重組為多個小種群，并對每個小種群進(jìn)行m代的進(jìn)化處理。

步驟4.1選擇操作。按式(3)和式(4)的選取概率，采用高適應(yīng)度值、高概率選擇法從父代中選擇個體進(jìn)行計算。

步驟4.2交叉操作。按式(1)計算交叉概率，并依據(jù)式(5)和式(6)進(jìn)行交叉運算。

步驟4.3對交叉后的個體進(jìn)行模擬退火處理，做出必要的取舍。

步驟4.4變異操作。按式(7)計算變異概率，并依據(jù)式(8)進(jìn)行變異運算。

步驟4.5判斷操作。若進(jìn)化代數(shù)G

Figure 1 Small population evolution process圖1 小種群演化操作流程

步驟5大種群演化(大種群演化操作流程如圖2所示)。大種群中主要是不同結(jié)構(gòu)網(wǎng)絡(luò)的演化競爭，個體按式(3)和式(4)的選擇概率計算公式進(jìn)行改變其網(wǎng)絡(luò)結(jié)構(gòu)的演化運算，其變異算子步驟如下：

步驟5.1刪除操作。將隱含層中所包含的某些節(jié)點的權(quán)值設(shè)置為0，即刪除節(jié)點及其連接。

步驟5.2增加操作。添加一些節(jié)點到隱含層，并產(chǎn)生相應(yīng)的權(quán)值，然后按式(7)進(jìn)行自適應(yīng)變異。

步驟6新的大種群重組，轉(zhuǎn)到步驟3。

Figure 2 Big population evolution process圖2 大種群演化操作流程

4 基于AENNA的入侵檢測

基于AENNA算法的入侵檢測系統(tǒng)模型如圖3所示，其中包括數(shù)據(jù)捕獲引擎、特征提取模塊、數(shù)據(jù)預(yù)處理模塊、數(shù)據(jù)庫、AENNA訓(xùn)練模塊、AENNA分類器模塊和響應(yīng)模塊。

Figure 3 Intrusion detection model based on AENNA圖3 基于AENNA的入侵檢測模型

數(shù)據(jù)捕獲引擎模塊負(fù)責(zé)在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù)包。特征提取模塊主要將網(wǎng)絡(luò)數(shù)據(jù)包信息轉(zhuǎn)化為包含對應(yīng)數(shù)據(jù)包特征值的網(wǎng)絡(luò)連接記錄。數(shù)據(jù)預(yù)處理模塊負(fù)責(zé)將字段數(shù)值歸一化到一個較小的區(qū)間范圍，減少由于記錄間字段數(shù)值差異過大而引發(fā)的網(wǎng)絡(luò)訓(xùn)練不良表現(xiàn)。數(shù)據(jù)庫模塊主要是為了方便存儲，選用數(shù)據(jù)庫存放預(yù)處理模塊處理的數(shù)據(jù)以及通過分類器檢測后的結(jié)果。AENNA訓(xùn)練模塊將從數(shù)據(jù)庫中提取標(biāo)準(zhǔn)的數(shù)據(jù)(包括給定的樣本記錄向量和網(wǎng)絡(luò)訓(xùn)練要達(dá)到的目標(biāo))對分類器進(jìn)行訓(xùn)練。AENNA分類器模塊可以對輸入中的未知的網(wǎng)絡(luò)連接記錄判別為正?；蛉肭郑⒆龀鱿鄳?yīng)處理。響應(yīng)模塊主要用以接收從AENN分類器檢測出的結(jié)果，并對入侵行為發(fā)出警報。

本文的重點是設(shè)計對AENNA分類器，其原理是應(yīng)用數(shù)據(jù)及劃分后的訓(xùn)練樣本集對BP神經(jīng)網(wǎng)絡(luò)分類器進(jìn)行訓(xùn)練，在進(jìn)化神經(jīng)網(wǎng)絡(luò)內(nèi)部建立起對訓(xùn)練樣本的識別模型并存儲這些攻擊行為的特征模式；然后對捕獲的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行分析處理，以區(qū)分正常的網(wǎng)絡(luò)行為和異常網(wǎng)絡(luò)行為；當(dāng)檢測到未知類型的攻擊行為時，將其反饋給學(xué)習(xí)樣本庫以供BP神經(jīng)網(wǎng)絡(luò)進(jìn)行再學(xué)習(xí)，從而體現(xiàn)AENNA算法分類引擎所具備的通過學(xué)習(xí)不斷擴(kuò)展檢測范圍的能力。

5 實驗與結(jié)果分析

5.1 實驗數(shù)據(jù)

目前入侵檢測研究領(lǐng)域常用的數(shù)據(jù)集有MITLL、SOTM(Scanofthemonth)、Defcon數(shù)據(jù)集及由哥倫比亞大學(xué)IDS實驗室基于MITLL采集整理形成的KDDCUP99數(shù)據(jù)集。由于MITLL數(shù)據(jù)集未經(jīng)格式化處理，數(shù)據(jù)的攻擊特征不規(guī)范；SOTM和Defcon數(shù)據(jù)集中數(shù)據(jù)無攻擊標(biāo)記，數(shù)據(jù)篩選比較復(fù)雜繁瑣；KDDCUP99(簡稱KDD99)對MITLL數(shù)據(jù)集的網(wǎng)絡(luò)流量進(jìn)行了格式化處理，改進(jìn)并規(guī)范了特征的表示，提供了適用于各種入侵檢測算法進(jìn)行測試和評估的數(shù)據(jù)集[12]。所以，KDD99網(wǎng)絡(luò)數(shù)據(jù)集仍是目前公認(rèn)的最優(yōu)秀且影響最廣泛的網(wǎng)絡(luò)安全審計數(shù)據(jù)集，自公布以來出現(xiàn)了許多基于此數(shù)據(jù)集的研究成果和研究論文。因此，為了驗證AENNA入侵檢測算法的檢測效果，本文采用KDD99數(shù)據(jù)集進(jìn)行檢測驗證實驗。

KDD99數(shù)據(jù)集是入侵檢測領(lǐng)域通用的實驗數(shù)據(jù)集，其中包括四種攻擊類型的39種不同攻擊的大約500萬條連接記錄，22種出現(xiàn)在訓(xùn)練數(shù)據(jù)集中，17種出現(xiàn)在測試集中。四種類型分別是刺探攻擊Probe、拒絕服務(wù)DOS、獲取根權(quán)限U2R、遠(yuǎn)程攻擊R2L。

原始數(shù)據(jù)集中記錄數(shù)過于龐大，依據(jù)各類型所占比例，從KDDdata_10_percent和Correct中提取相應(yīng)的攻擊記錄，其中DOS攻擊記錄約占94%，Probe攻擊記錄數(shù)約占3%，R2L攻擊記錄數(shù)約占2%，U2R攻擊記錄數(shù)約占1%。在攻擊集的基礎(chǔ)上，選取一部分正常連接記錄數(shù)據(jù)與DOS數(shù)據(jù)記錄，按照1∶3的概率將其混雜入正常數(shù)據(jù)流量集，形成不均衡數(shù)據(jù)集。選取49 400個有效數(shù)據(jù)形成訓(xùn)練集，并選取80 500個數(shù)據(jù)構(gòu)成測試集[12]。

數(shù)據(jù)集中每個網(wǎng)絡(luò)連接記錄中都包含41維數(shù)據(jù)，利用信息熵理論[13]，計算數(shù)據(jù)集中每個特征判定網(wǎng)絡(luò)連接為攻擊還是正常狀態(tài)的信息量，并按信息量大小進(jìn)行排列，最終選取判定所含信息量較大的前10維特征用于實驗，從而實現(xiàn)數(shù)據(jù)集中連接記錄特征的降維，形成了更為高效精簡的數(shù)據(jù)集以用于后續(xù)的實驗。實驗數(shù)據(jù)的具體構(gòu)成如表1所示。

Table 1 Composition of experimental data sets表1 實驗數(shù)據(jù)集的組成

5.2 實驗測試與結(jié)果

實驗測試環(huán)境為PC機(jī)，操作系統(tǒng)為Windows XP、奔騰雙核2.0 GHz CPU、2 GB內(nèi)存，采用Matlab 7.0結(jié)合Myeclipse 8.5軟件平臺在PC機(jī)上對AENNA算法進(jìn)行仿真實現(xiàn)，并利用已實現(xiàn)的算法仿真模塊對表1中的KDD實驗數(shù)據(jù)集進(jìn)行檢測驗證實驗。

首先采用AENNA算法結(jié)合實驗訓(xùn)練數(shù)據(jù)集對BP神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，并將訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)用于入侵檢測，利用實驗測試數(shù)據(jù)集測試其檢測性能；其次與將BP神經(jīng)網(wǎng)絡(luò)算法、遺傳算法、傳統(tǒng)進(jìn)化神經(jīng)網(wǎng)絡(luò)算法作為訓(xùn)練算法的訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)的檢測性能做對比。

為了更容易觀察和調(diào)整BP神經(jīng)網(wǎng)絡(luò)的訓(xùn)練結(jié)果，根據(jù)實際情況，本文采用僅含有一個隱含層的BP 神經(jīng)網(wǎng)絡(luò)。根據(jù)2.1節(jié)中算法的改進(jìn)思路，利用大小雙種群來優(yōu)化進(jìn)化神經(jīng)網(wǎng)絡(luò)的隱層節(jié)點數(shù)，從而確定網(wǎng)絡(luò)結(jié)構(gòu)。由于Sigmoid 函數(shù)是一個連續(xù)可微的函數(shù)，可以將輸入值映射到[0,1]內(nèi)，方便進(jìn)化神經(jīng)網(wǎng)絡(luò)的處理，可以滿足BP 模型對傳遞函數(shù)的連續(xù)可微的要求，因此將其作為傳遞函數(shù)。初始權(quán)值則通過隨機(jī)的方法將其置為-10～10 的小隨機(jī)數(shù)。其余的網(wǎng)絡(luò)權(quán)值及閾值則通過改進(jìn)的自適應(yīng)進(jìn)化算法來進(jìn)行優(yōu)化。

根據(jù)上述規(guī)則設(shè)定參數(shù)，并參考文獻(xiàn)[11]，在對AENNA的仿真實現(xiàn)中，網(wǎng)絡(luò)權(quán)值取值區(qū)間定義為(-10，10)，將精確度確定為0.01，設(shè)置輸入節(jié)點個數(shù)為10，輸出節(jié)點數(shù)為2，誤差精度設(shè)為±0.01，并設(shè)置不同的種群、隱含層節(jié)點、進(jìn)化代數(shù)的參數(shù)進(jìn)行對比實驗，實驗結(jié)果如表2所示。

Table 2 Comparison of experimentalresults under different parameters表2 不同參數(shù)取值的實驗結(jié)果比較

由表2可見，當(dāng)隱含層的節(jié)點數(shù)為7時，AENNA中個體的適應(yīng)度在較小的遺傳代數(shù)后取得最優(yōu)值。因此，優(yōu)化后的網(wǎng)絡(luò)結(jié)構(gòu)為“10-7-2”。將網(wǎng)絡(luò)權(quán)值和閾值作為優(yōu)化結(jié)構(gòu)后的BP神經(jīng)網(wǎng)絡(luò)的初始權(quán)值和閾值，輸入實驗訓(xùn)練樣本數(shù)據(jù)集對其進(jìn)行訓(xùn)練。樣本訓(xùn)練完成后，利用KDD實驗測試數(shù)據(jù)集在已知BP神經(jīng)網(wǎng)絡(luò)上進(jìn)行入侵檢測測試，得到的檢測結(jié)果如表3所示。

Table 3 Intrusion detection results based on AENNA表3 基于AENNA的入侵檢測結(jié)果

由表2和表3可見，在入侵檢測實驗中，當(dāng)種群大小設(shè)定為155個、隱含層節(jié)點數(shù)設(shè)定為7層且進(jìn)化代數(shù)設(shè)為90次時，基于AENNA的入侵檢測效果最佳，此時的誤報率和漏報率都相對較小。

為進(jìn)行訓(xùn)練算法的檢測性能對比，根據(jù)參考文獻(xiàn)[11]中的參數(shù)設(shè)置，特設(shè)定統(tǒng)一的實驗參數(shù)值，如表4所示。

采用實驗中的精簡數(shù)據(jù)集，對BP神經(jīng)網(wǎng)絡(luò)算法、遺傳算法、傳統(tǒng)神經(jīng)網(wǎng)絡(luò)進(jìn)化算法和基于AENNA的入侵檢測方法進(jìn)行檢測對比，其中BP神經(jīng)網(wǎng)絡(luò)的輸入節(jié)點數(shù)為10，輸出節(jié)點數(shù)為2，隱含層節(jié)點設(shè)為6，遺傳算法的初始種群設(shè)為50，適應(yīng)度函數(shù)采用基于誤差函數(shù)的適應(yīng)度函數(shù)。檢測效果對比如表5所示。

Table 4 Parameters setting of comparison test表4 對比實驗的參數(shù)設(shè)置

Table 5 Comparison of intrusion detection performance表5 入侵檢測效果比較

從表5中可以清楚地看出，基于AENNA的入侵檢測算法不但對已知入侵行為有較高的檢測率，而且對于未知入侵行為也有較好的檢測率。與采用BP算法、遺傳算法和進(jìn)化BP算法的入侵檢測方法相比，AENNA的入侵檢測算法有較高的檢測率和較低的誤報率。

6 結(jié)束語

為提高入侵檢測系統(tǒng)的檢測效率，本文在進(jìn)化神經(jīng)網(wǎng)絡(luò)算法基礎(chǔ)上，提出一種自適應(yīng)進(jìn)化神經(jīng)網(wǎng)絡(luò)算法(AENNA)，以大小兩個種群的雙種群遺傳策略為著眼點，通過改進(jìn)交叉算子和變異算子的計算方式及公式參數(shù)，結(jié)合模擬退火算法對遺傳算法進(jìn)行了改進(jìn)，并利用遺傳算法對BP神經(jīng)網(wǎng)絡(luò)算法進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)及連接權(quán)值優(yōu)化。通過與其他主流入侵檢測算法的檢測性能對比實驗，表明基于AENNA的入侵檢測算法對入侵檢測系統(tǒng)的檢測性能有較大的提升。由于在遺傳算法的改進(jìn)中引入了模擬退火算法思想，增加了整個算法的時間復(fù)雜度，因此下一步研究將解決時間復(fù)雜度過高的問題。

[1] Qing Si-han, Jiang Jian-chun, Ma Heng-tai, et al. Research on intrusion detection techniques:A survey[J]. Journal of China Institute of Communications, 2004, 25(7):19-29. (in Chinese)

[2] Wang Qi-an,Chen Bing.Intrusion detection system using CVM algorithm with extensive kernel methods[J]. Journal of Computer Research and Development, 2012,49(5):974-982. (in Chinese)

[3] Wang Tao.Association decision based multiple source network intrusion detection algorithm[J]. Computer Simulation, 2012, 29 (8):120-122. (in Chinese)

[4] Gong Xing-chao, Guan Xin. Intrusion detection model based on the improved neural network and expert system[C]∥Proc of IEEE Symposium on Electrical & Electronics Engineering, 2012:191-193.

[5] Srinivas M, Andrew H. A comparative study of techniques for intrusion detection[C]∥Proc of the 23rd IEEE International Conference on Tools with Artificial Intelligence, 2009:570-577.

[6] Ren Zi-wu, San Ye. Improved adaptive genetic algorithm and its application research in parameter identification[J]. Journal of System Simulation, 2006,18(1):41-66. (in Chinese)

[7] Huang Li-jun, Xu Yong-hua. Solving TSP converged on genetic algorithm and the ant algorithm[J]. Journal of Northeast Agricultural University, 2008,39(4):109-113. (in Chinese)

[8] Li Shu-hui, Ma Li, Xu Xue-zhou. Intrusion detection techniques research based on genetic neural networks [J]. Modern Electronic Technique,2005(5):78-80.(in Chinese)

[9] Yan Yan.A new adaptive genetic algorithm[D]. Harbin:Harbin Engineering University, 2007. (in Chinese)

[10] Yang Wei-bo,Zhao Yan-wei.Improved simulated annealing algorithm for TSP [J]. Computer Engineering and Applications, 2010,46(15):34-36. (in Chinese)

[11] Li Shu-hui. Improved evolutionary neural network algorithm and its applications in intrusion detection[J]. Modern Electronic Technique, 2010, 33(1):78-80. (in Chinese)

[12] Zhang Xin-you, Zeng Hua-can, Jia Lei. Research of intrusion detection system dataset-KDD CUP99[J]. Computer Engineering & Design, 2010,31(2):4809-4813. (in Chinese)

[13] Xu Yong-hua, Li Guang-shui. Incremental SVM intrusion detection algorithm based on distance weighted template reduction and attribute information entropyc [J]. Computer Science, 2012, 39(12):76-78. (in Chinese)

附中文參考文獻(xiàn)：

[1] 卿斯?jié)h, 蔣建春, 馬恒太,等. 入侵檢測技術(shù)研究綜述[J]. 通信學(xué)報, 2004, 25(7):19-29.

[2] 王奇安, 陳兵. 基于廣泛內(nèi)核的CVM算法的入侵檢測[J]. 計算機(jī)研究與發(fā)展, 2012, 49(5):974-982.

[3] 王濤. 基于關(guān)聯(lián)決策算法的網(wǎng)絡(luò)多源入侵檢測[J]. 計算機(jī)仿真, 2012, 29(8):120-122.

[6] 任子武, 傘冶. 自適應(yīng)遺傳算法的改進(jìn)及在系統(tǒng)辨識中應(yīng)用研究[J]. 系統(tǒng)仿真學(xué)報, 2006,18(1):41-66.

[7] 黃立君, 許永花. 遺傳算法和蟻群算法融合求解TSP[J]. 東北農(nóng)業(yè)大學(xué)學(xué)報, 2008,39(4):109-113.

[8] 李淑慧, 馬力, 徐學(xué)洲. 基于遺傳神經(jīng)網(wǎng)絡(luò)的入侵檢測方法研究[J]. 現(xiàn)代電子技術(shù),2005(5):78-80.

[9] 閆妍. 一種新的自適應(yīng)遺傳算法[D]. 哈爾濱:哈爾濱工業(yè)大學(xué), 2007.

[10] 楊衛(wèi)波, 趙燕偉. 求解TSP問題的改進(jìn)模擬退火算法[J]. 計算機(jī)工程與應(yīng)用, 2010,46(15):34-36.

[11] 李淑慧. 改進(jìn)進(jìn)化神經(jīng)網(wǎng)絡(luò)算法及其在入侵檢測中的應(yīng)用[J]. 現(xiàn)代電子技術(shù),2010,33(1):78-80.

[12] 張新有, 曾華粲, 賈磊. 入侵檢測數(shù)據(jù)集KDD CUP99研究[J]. 計算機(jī)工程與設(shè)計,2010,31(2):4809-4813.

[13] 徐永華, 李廣水. 基于距離加權(quán)模板約簡和屬性信息熵的增量SVM入侵檢測算法[J]. 計算機(jī)科學(xué), 2012,39(12):76-78.

YANGHong-yu,born in 1969,post doctor,his research interest includes network information security.

趙明瑞(1985-),男,河北衡水人，碩士生，研究方向為網(wǎng)絡(luò)信息安全。E-mail:Zhaomingrui545@163.com

ZHAOMing-rui,born in 1985,MS candidate,his research interest includes network information security.

Intrusiondetectionbasedontheadaptiveevolutionaryneuralnetworkalgorithm

YANG Hong-yu,ZHAO Ming-rui,XIE Li-xia

(School of Computer Science and Technology,Civil Aviation University of China,Tianjin 300300,China)

Aiming at the problem of low detection rate existed in current intrusion detection systems,an adaptive evolutionary neural network algorithm (AENNA) based on the genetic algorithm and the BP algorithm is proposed.Firstly,considering the characteristic of probabilistic jumping property and local search ability in the simulated annealing algorithm,the genetic algorithm is improved.Secondly, using the dual population evolution rule,the algorithm optimizes the weight and the network structure of the BP neural network simultaneously.An adaptive neural network training method is designed through improving the crossover operator and mutation operator of the genetic algorithm.Experimental results show that the AENNA based intrusion detection method can effectively improve the detection rate and reduce the false positive rate.

genetic algorithm;neural network;simulated annealing algorithm;intrusion detection

1007-130X(2014)08-1469-07

2012-12-30;

：2013-04-03

國家自然科學(xué)基金資助項目(60776807,61179045)；國家863計劃資助項目(2006AA12A106)；天津市科技計劃重點項目(09JCZDJC16800)；中國民航科技基金(MHRD201009,MHRD201205)；中央高?；究蒲袠I(yè)務(wù)費專項(ZXH2009A006)

TP393.08

：A

10.3969/j.issn.1007-130X.2014.08.008

楊宏宇(1969-),男,吉林長春人，博士后，教授,研究方向為網(wǎng)絡(luò)信息安全。E-mail:yhyxlx@hotmail.com

通信地址：300300 天津市東麗區(qū)中國民航大學(xué)(北區(qū))6#民航信息技術(shù)科研基地

Address:IT Science and Research Base of CAAC,6#,Civil Aviation University of China(North Campus),Dongli District,Tianjin 300300,P.R.China