吳紀(jì)蕓　陳志德

摘要摘要：隨著數(shù)據(jù)庫應(yīng)用越來越廣泛，數(shù)據(jù)庫信息泄露和篡改事件逐漸顯現(xiàn)出來，數(shù)據(jù)庫安全問題備受關(guān)注。入侵檢測能夠主動發(fā)現(xiàn)數(shù)據(jù)庫中的各種攻擊行為，彌補(bǔ)傳統(tǒng)安全技術(shù)的不足，但由于現(xiàn)階段大部分入侵檢測技術(shù)工作量巨大，因而未能智能地進(jìn)行檢測判斷?；谠搯栴}，提出一種基于改進(jìn)PSO的SVM算法對數(shù)據(jù)庫進(jìn)行智能入侵檢測，利用改進(jìn)PSO算法對SVM算法的懲罰因子和核函數(shù)參數(shù)進(jìn)行尋優(yōu)，利用尋優(yōu)后的SVM對數(shù)據(jù)庫操作進(jìn)行分類，判斷其是否屬于正常操作行為。

關(guān)鍵詞關(guān)鍵詞：改進(jìn)PSO；入侵檢測；數(shù)據(jù)庫安全；支持向量機(jī)

DOIDOI：10.11907/rjdk.1431074

中圖分類號：TP309.2

文獻(xiàn)標(biāo)識碼：A文章編號文章編號：16727800（2015）004013403

0引言

隨著數(shù)據(jù)庫應(yīng)用的逐漸普及，信息泄漏和信息篡改事件也逐漸顯現(xiàn)出來，數(shù)據(jù)庫安全問題備受關(guān)注。相關(guān)數(shù)據(jù)表明，僅2013年一年，CNVD就通報了將近136個數(shù)據(jù)庫系統(tǒng)漏洞，占信息安全漏洞總數(shù)的1.8%[12]。2012年，中國發(fā)生多起數(shù)據(jù)庫安全事件，大約50多個網(wǎng)站的上千萬條數(shù)據(jù)從數(shù)據(jù)庫中泄露[3]。入侵指任何試圖危害資源完整性、可信度和可獲取性的動作[4]。入侵檢測指發(fā)現(xiàn)入侵行為的存在或出現(xiàn)的動作，即發(fā)現(xiàn)和記錄數(shù)據(jù)庫中未經(jīng)授權(quán)的行為和異?；顒覽5]。當(dāng)數(shù)據(jù)庫操作行為與正常行為特征存在明顯差異時，認(rèn)為數(shù)據(jù)庫受到入侵，則立即發(fā)出警告。入侵檢測能夠及時發(fā)現(xiàn)數(shù)據(jù)庫的各種攻擊行為并試圖作出積極響應(yīng)，彌補(bǔ)傳統(tǒng)安全技術(shù)的不足。因此，入侵檢測成為數(shù)據(jù)庫安全領(lǐng)域研究的熱點(diǎn)課題。

入侵檢測由James P.Anderson首次提出。1987年，Denning[6]首次闡述了入侵檢測模型框架。1984年，他又實(shí)現(xiàn)了一個實(shí)時入侵檢測系統(tǒng)模型[7]。1998年末和1999年初，麻省理工學(xué)院的林肯實(shí)驗(yàn)室在DARPA的資助下對開發(fā)的入侵檢測系統(tǒng)進(jìn)行了對比評價[8]。如何將入侵檢測系統(tǒng)應(yīng)用于數(shù)據(jù)庫中已有相關(guān)研究，Sin Yeung Lee等[9]于2002年提出了一種建筑學(xué)框架DIDAFIT，即通過指紋識別處理的數(shù)據(jù)庫入侵檢測模型。

已有許多研究者提出數(shù)據(jù)庫入侵檢測系統(tǒng)模型，提出的模型能夠按照預(yù)設(shè)定的規(guī)則，檢測數(shù)據(jù)行為，并判斷數(shù)據(jù)是否正常[1011]。但這些技術(shù)仍存在一些問題，因?yàn)閿?shù)據(jù)庫數(shù)據(jù)量很大，如果對數(shù)據(jù)進(jìn)行逐項(xiàng)分析檢測，將會大大增加不必要的工作量。針對這一點(diǎn)，本文利用智能優(yōu)化算法進(jìn)行數(shù)據(jù)庫的入侵檢測，以提高數(shù)據(jù)檢測效率。

本文利用改進(jìn)的粒子群優(yōu)化算法對支持向量機(jī)參數(shù)進(jìn)行尋優(yōu)，再用參數(shù)尋優(yōu)后的支持向量機(jī)對數(shù)據(jù)庫操作進(jìn)行分類，判斷其是否為正常行為。本文提出的改進(jìn)粒子群優(yōu)化算法能夠適用于實(shí)際應(yīng)用中，最優(yōu)解能夠適用于多約束條件，并重新激活失去全局或局部搜索能力的粒子。而對于支持向量機(jī)而言，將數(shù)據(jù)樣本分成6類，即正常操作、口令入侵、特權(quán)提升、漏洞入侵、SQL注入、竊取備份，分別標(biāo)記為1、2、3、4、5、6。其中除了正常操作外，其余5個都屬于異常入侵行為。利用改進(jìn)粒子群算法進(jìn)行支持向量機(jī)參數(shù)尋優(yōu)后，檢測精確度有所提高，算法收斂速度也相應(yīng)提升。

1改進(jìn)PSO的SVM算法及其應(yīng)用

數(shù)據(jù)庫入侵檢測實(shí)際上是多分類問題，支持向量機(jī)（SVM）已經(jīng)成功運(yùn)用于入侵檢測中，但是分類性能與支持向量機(jī)的參數(shù)息息相關(guān)。而粒子群優(yōu)化（PSO）算法作為一種智能優(yōu)化算法，具有良好的全局尋優(yōu)能力。但傳統(tǒng)的粒子群優(yōu)化算法不能夠很好地適應(yīng)實(shí)際應(yīng)用環(huán)境，因此，運(yùn)用改進(jìn)的粒子群優(yōu)化算法選擇支持向量機(jī)參數(shù)，并利用參數(shù)優(yōu)化后的分類算法檢測入侵操作。

1.2改進(jìn)的PSO算法

與傳統(tǒng)粒子群優(yōu)化算法相比較，本文算法有兩大突出改進(jìn)之處：

①最優(yōu)解受多項(xiàng)約束條件限制。例如，加大懲罰參數(shù)能使得訓(xùn)練分類模型的準(zhǔn)確率提高，但過高的懲罰參數(shù)會造成過學(xué)習(xí)狀態(tài)，只要不滿足約束條件的解，無論其適應(yīng)度函數(shù)值如何都不予以接受，必須將其作適當(dāng)修改；

②在進(jìn)化過程中粒子群的多樣性可能丟失。在進(jìn)化過程中即使位置非常接近gBest但速度趨近于0時，代表該粒子失去全局或局部搜索能力，即成為不活動粒子。失去全局搜索能力的粒子只能在一個很小的空間內(nèi)“飛行”，而失去局部搜索能力的粒子在進(jìn)化過程中對其適應(yīng)值不產(chǎn)生影響[14]。因此，對于速度趨近于0的粒子應(yīng)重新進(jìn)行初始化。

改進(jìn)的粒子群優(yōu)化算法主要計(jì)算步驟如下：

（1）懲罰因子和核函數(shù)參數(shù)初始化。在滿足約束條件的情況下對懲罰因子和核函數(shù)參數(shù)進(jìn)行初始化，通常是在允許的范圍內(nèi)隨機(jī)產(chǎn)生。設(shè)定學(xué)習(xí)因子c1和c2，懲罰因子和核函數(shù)參數(shù)的個體最佳取值pBest[i]設(shè)置為初始取值c1[i]和g1[i]，計(jì)算對應(yīng)的適應(yīng)度值F1[i]。全局最優(yōu)值取當(dāng)前適應(yīng)度值，并且將此輪迭代的懲罰因子和核函數(shù)參數(shù)取值記錄在gBest[i]中。

（2）懲罰因子和核函數(shù)參數(shù)評價。計(jì)算懲罰因子和核函數(shù)參數(shù)的適應(yīng)度值，如果優(yōu)于該變量的個體極值，則將pBest[i]設(shè)置為該變量的當(dāng)前取值，且更新個體極值。如果所有變量中最大的個體極值大于當(dāng)前全局極值，則在gBest[i]中記錄每個變量的取值，并且更新全局極值。

（3）變量更新。利用式（1）對每一個變量的取值和取值變化速率進(jìn)行更新。

（4）不活動變量重新初始化。當(dāng)?shù)趇個變量的變化速率接近于0時，重新調(diào)整該變量的取值X[i]，調(diào)整增量為一個區(qū)間范圍內(nèi)的隨機(jī)數(shù)α。用minX[i]和maxX[i]記錄從最近初始化到現(xiàn)在的投標(biāo)價格最小值和最大值，α為minX[i]-maxX[i]2，maxX[i]-minX[i]2范圍內(nèi)的隨機(jī)數(shù)。

（5）與約束條件沖突的變量處理。若更新過的變量與約束條件沖突，則將其變化速率和取值更改為原值。

（6）結(jié)束條件檢驗(yàn)。如果當(dāng)前迭代次數(shù)達(dá)到了預(yù)先設(shè)定的最大次數(shù)，則停止迭代，輸出最優(yōu)解，否則轉(zhuǎn)到步驟（2）。

改進(jìn)的粒子群優(yōu)化算法流程如圖1所示。

1.3基于PSO的SVM算法

數(shù)據(jù)庫入侵檢測實(shí)際上是一個多分類問題，因?yàn)榇嬖诙喾N數(shù)據(jù)庫入侵攻擊類型，最常見的有口令入侵、特權(quán)提升、漏洞入侵、SQL注入、竊取備份[15]。因此，利用SVM的n類分類算法解決分類問題。

本文將數(shù)據(jù)庫操作劃分為6個類型，即正常操作、口令入侵、特權(quán)提升、漏洞入侵、SQL注入、竊取備份，分別標(biāo)記為1、2、3、4、5、6。其中除了正常操作外，其余5個都屬于異常入侵行為。將每個類別的操作各取300個樣本，每種類別各取一半作為訓(xùn)練樣本，另一半作為測試樣本，則有900個訓(xùn)練樣本和900個測試樣本。利用可訓(xùn)練的機(jī)器學(xué)習(xí)方法支持向量機(jī)（SVM）訓(xùn)練模型，找到能夠正確區(qū)分這6類訓(xùn)練樣本數(shù)據(jù)的超平面。這6類樣本是非線性可分的，如果運(yùn)用一般的線性變換，會導(dǎo)致問題陷入“維數(shù)災(zāi)難”，使得計(jì)算復(fù)雜而不可行。因此，支持向量機(jī)利用輸入空間的核函數(shù)取代了高維特征空間中的內(nèi)積運(yùn)算，將低維輸入空間中的數(shù)據(jù)通過非線性函數(shù)映射到高維屬性空間，將分類問題轉(zhuǎn)化到屬性空間進(jìn)行。

選擇適當(dāng)?shù)暮撕瘮?shù)，可以使輸入空間線性不可分問題在屬性空間轉(zhuǎn)化成線性可分問題。采用徑向基（RBF）核函數(shù)，支持向量機(jī)能夠?qū)崿F(xiàn)徑向基函數(shù)神經(jīng)網(wǎng)絡(luò)功能。對于RBF核函數(shù)而言，需要確定兩個參數(shù)即懲罰因子c和核函數(shù)參數(shù)g。由于不同的參數(shù)組合會影響實(shí)驗(yàn)的準(zhǔn)確度，因此采用改進(jìn)PSO算法對SVM的懲罰參數(shù)c和核函數(shù)參數(shù)g進(jìn)行尋優(yōu)?；赑SO的SVM算法流程如圖2所示。

2算法應(yīng)用步驟

本文主要采用SVM多類分類算法對數(shù)據(jù)庫入侵檢測進(jìn)行多類分類，并采用改進(jìn)的PSO算法對SVM的懲罰因子c和核函數(shù)參數(shù)g進(jìn)行尋優(yōu)，提高分類精度。其主要應(yīng)用步驟如下：

（1）數(shù)據(jù)預(yù)處理。 ①異常值移除處理。利用盒圖分離出數(shù)據(jù)中的離群數(shù)據(jù)（這些離群點(diǎn)就是異常數(shù)據(jù)），移除這些異常數(shù)據(jù)從而避免因人為因素或數(shù)據(jù)采集不當(dāng)而造成整體特征特性的偏差；②歸一化處理。樣本的各維數(shù)據(jù)經(jīng)過某種算法處理后其大小都限制在一定范圍內(nèi)，避免了奇異樣本數(shù)據(jù)引起網(wǎng)絡(luò)訓(xùn)練時間增加，甚至可能引起網(wǎng)絡(luò)無法收斂等問題；③降維處理。將樣本數(shù)據(jù)從輸入空間通過線性或非線性變換映射到一個低維空間，從而獲得一個關(guān)于原數(shù)據(jù)集的低維表示，避免降低程序收斂速度和增加算法的時間復(fù)雜度。

（2）SVM算法參數(shù)尋優(yōu)。利用改進(jìn)的PSO算法對SVM算法中的懲罰因子c和核函數(shù)參數(shù)g進(jìn)行尋優(yōu)。

（3）訓(xùn)練階段。假設(shè)入侵檢測結(jié)果有n個類型，則用SVM多分類的分類方法，利用訓(xùn)練樣本輸入分類器，得到分類模型。

（4）測試階段。利用訓(xùn)練好的分類器進(jìn)行數(shù)據(jù)測試，得到測試結(jié)果。

3結(jié)語

針對現(xiàn)階段大部分入侵檢測技術(shù)工作量巨大且未能智能地進(jìn)行檢測判斷等問題，本文提出一種基于改進(jìn)PSO的SVM算法對數(shù)據(jù)庫進(jìn)行智能入侵檢測。該方法利用改進(jìn)PSO算法對SVM算法的懲罰因子和核函數(shù)參數(shù)進(jìn)行尋優(yōu)，利用尋優(yōu)后的SVM對數(shù)據(jù)庫操作進(jìn)行分類，判斷其是否屬于正常操作行為。其中，改進(jìn)的PSO算法較適用于實(shí)際應(yīng)用場景，最優(yōu)值對多約束條件皆適用，而對于失去全局或局部搜索能力的粒子，則需對其進(jìn)行重新初始化。對于支持向量機(jī)而言，將數(shù)據(jù)樣本分成6類，即正常操作、口令入侵、特權(quán)提升、漏洞入侵、SQL注入、竊取備份，分別標(biāo)記為1、2、3、4、5、6。其中除了正常操作外，其余5個都屬于異常入侵行為。利用改進(jìn)粒子群算法進(jìn)行支持向量機(jī)參數(shù)尋優(yōu)后，檢測精確度有所提高，同時也加快了算法的收斂速度。

參考文獻(xiàn)參考文獻(xiàn)：

[1]國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[R].北京：國家互聯(lián)網(wǎng)應(yīng)急中心，2012.

[2]國家信息安全漏洞共享平臺漏洞列表[EB/OL].[2014218].http：//www.cnvd.org.cn/.

[3]楊磊.數(shù)據(jù)庫安全審計(jì)檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京交通大學(xué)， 2014.

[4]酈敏智，基于云模型的數(shù)據(jù)挖掘在入侵檢測系統(tǒng)中的應(yīng)用[D].廣州：華南理工大學(xué)，2004.

[5]阮耀平，易江波.計(jì)算機(jī)系統(tǒng)入侵檢測模型與方法[J].計(jì)算機(jī)工程，1999，25（7）：6365.

[6]DOROTHY E，DENNING.An intrusiondetection model[J].IEEE Transactions on Software Engineering，1987，13（2）：2334.

[7]DENNING D.An intrusion detection model[J].IEEE Transactions on Software Engineering，1987，13（2）：222232.

[8]MCHUGH J.Testing intrusion detection systems： a critique of the 1998 and 1999 DARPA intrusion detection system evaluations as performed by Lincoln Laboratory[J].ACM transactions on Information and system Security，2000， 3（4）：262294.

[9]LEE S，LOW W，WONG P.Learning fingerprints for a database intrusion detection system[J]. Computer Security ESORICS，2002，2002（2）： 264279.

[10]盧碩珽.數(shù)據(jù)庫入侵檢測系統(tǒng)的設(shè)計(jì)與分析[D].廣州：中山大學(xué)， 2010.

[11]張洪斌，李娜.多信息源數(shù)據(jù)庫入侵檢測系統(tǒng)[J].電子商務(wù)，2011（11）：3233.

[12]楊維， 李歧強(qiáng).粒子群優(yōu)化算法綜述[J].中國工程科學(xué)，2004，6（5）：8794.

[13]林祝亮，馮遠(yuǎn)靜.基于粒子群算法的無線傳感網(wǎng)絡(luò)覆蓋優(yōu)化策略[J].計(jì)算機(jī)仿真，2009（4）：190193.

[14]楊俊杰，周建中，吳瑋，等.改進(jìn)粒子群優(yōu)化算法在負(fù)荷經(jīng)濟(jì)分配中的應(yīng)用[J].電網(wǎng)技術(shù)， 2005，29（2）：14.

[15]百度百科.http：//baike.baidu.com/view/2273681.htmfr=Aladdin.

責(zé)任編輯（責(zé)任編輯：孫娟）