吳有曉

(廣東省電信規(guī)劃設(shè)計(jì)院有限公司，廣東 廣州 510630)

基于改進(jìn)混沌粒子群的聚類(lèi)檢測(cè)算法研究

吳有曉

(廣東省電信規(guī)劃設(shè)計(jì)院有限公司，廣東 廣州 510630)

針對(duì)入侵檢測(cè)系統(tǒng)特征報(bào)警聚類(lèi)質(zhì)量低、冗余告警的不足，提出基于改進(jìn)混沌自適應(yīng)粒子群優(yōu)化的IDS特征報(bào)警聚類(lèi)方法。該方法結(jié)合混沌算法特性和改進(jìn)粒子群算法自適應(yīng)慣性權(quán)重系數(shù)以及對(duì)非線性動(dòng)態(tài)學(xué)習(xí)因子進(jìn)行改善，引導(dǎo)粒子群在混沌與穩(wěn)定之間交替波動(dòng)，保證粒子運(yùn)動(dòng)慣性，更利于趨近最優(yōu)。本方法能夠克服PSO算法的過(guò)早收斂、“惰性”反應(yīng)等缺點(diǎn)，利于聚類(lèi)中心更能趨向全局最優(yōu)。實(shí)驗(yàn)結(jié)果表明，本文粒子群參數(shù)改進(jìn)算法提高了特征報(bào)警聚類(lèi)質(zhì)量，具有較高的檢測(cè)率和較低的誤報(bào)率。

入侵檢測(cè)；粒子群優(yōu)化；混沌；自適應(yīng)慣性權(quán)重；非線性動(dòng)態(tài)學(xué)習(xí)因子

1 引言

近年來(lái)，網(wǎng)絡(luò)安全成為人們?nèi)找骊P(guān)注的一個(gè)問(wèn)題。就入侵檢測(cè)系統(tǒng)（IDS,Intrusion Detection System）而言,它作為當(dāng)前保障網(wǎng)絡(luò)安全運(yùn)行的有效檢測(cè)工具，得到了廣泛的重視及應(yīng)用，它可以檢測(cè)網(wǎng)絡(luò)上的攻擊行為，并產(chǎn)生相應(yīng)的告警信息，提示系統(tǒng)管理人員進(jìn)行及時(shí)有效的處理，避免入侵造成的巨大損失[1,2]。

然而，鑒于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的技術(shù)不夠完善，加之其異構(gòu)性和自治性的特點(diǎn)，使得產(chǎn)生的報(bào)警信息在準(zhǔn)確度、詳略程度等方面存在較大的差異，進(jìn)而致使系統(tǒng)產(chǎn)生大量冗余、可信度較低的報(bào)警數(shù)據(jù)，系統(tǒng)管理人員難以手動(dòng)分析處理這些數(shù)據(jù)[3-5]。因此，對(duì)于告警數(shù)據(jù)集進(jìn)行劃分、整合及精簡(jiǎn)，從而提高報(bào)警數(shù)據(jù)的可信度以及降低數(shù)據(jù)冗余具有重要的意義。

因此，對(duì)于網(wǎng)絡(luò)中大量的告警不能準(zhǔn)確反映網(wǎng)絡(luò)的攻擊情況，同時(shí)過(guò)多的網(wǎng)絡(luò)報(bào)警冗余致使淹沒(méi)有用信息，進(jìn)而導(dǎo)致IDS效率低下。所以需要一種可靠的方法來(lái)降低其報(bào)警數(shù)據(jù)冗余，同時(shí)挖掘系統(tǒng)的有用告警信息，從而利于網(wǎng)絡(luò)安全管理人員對(duì)系統(tǒng)進(jìn)行有效的維護(hù)。

2 相關(guān)工作

數(shù)據(jù)挖掘技術(shù)在IDS中受到越來(lái)越多的關(guān)注，是近年來(lái)學(xué)者在入侵檢測(cè)領(lǐng)域一個(gè)研究熱點(diǎn)。尤其在入侵特征報(bào)警方面，把數(shù)據(jù)挖掘、智能算法等相關(guān)知識(shí)運(yùn)用到入侵特征分析上，在入侵報(bào)警信息的聚類(lèi)及入侵?jǐn)?shù)據(jù)特征的關(guān)聯(lián)性方面取得了較明顯的研究成果。因此，采用聚類(lèi)技術(shù)處理入侵告警海量數(shù)據(jù)具有廣泛的研究和應(yīng)用。

文獻(xiàn)[6]提出基于混沌粒子群優(yōu)化的IDS告警聚類(lèi)，文中利用混沌理論，動(dòng)態(tài)更新種群粒子的位置移動(dòng)，使得粒子群粒子在混沌與穩(wěn)定之間交替運(yùn)動(dòng)，從而加速向最優(yōu)值靠近，加快收斂過(guò)程，雖然混沌系統(tǒng)對(duì)粒子的位置產(chǎn)生明顯的影響，但動(dòng)態(tài)學(xué)習(xí)因子的改變也可以加快收斂速度，跳出局部最優(yōu)，從而提高全局尋優(yōu)能力和局部尋優(yōu)能力。在文獻(xiàn)[7]中，針對(duì)K均值算法對(duì)初始聚類(lèi)中心、孤立點(diǎn)和噪聲敏感且容易陷入局部最優(yōu)解的不足，提出基于PSO的K均值算法。在一定程度上對(duì)克服K均值的不足取得了明顯的效果。但只是運(yùn)用了粒子群的基本固定參數(shù)公式，沒(méi)有考慮到參數(shù)的變化對(duì)粒子群的收斂以及跳出局部最優(yōu)帶來(lái)的更高的效率。文獻(xiàn)[8]提出了一種非線性改變粒子群算法中的慣性權(quán)重，并將其用于SVM與KPCA中，其實(shí)驗(yàn)表明在SVM參數(shù)選擇方面以及WPSO-SVM在入侵檢測(cè)系統(tǒng)中，提高了準(zhǔn)確度?；诖怂悸罚疚脑趹T性權(quán)重方面也進(jìn)行了不同條件狀態(tài)處理，通過(guò)不同的，達(dá)到了理想的效果。文獻(xiàn)[9]針對(duì)粒子群算法中慣性權(quán)重對(duì)種群粒子的社會(huì)性和認(rèn)知能力的重要影響，提出自適應(yīng)慣性權(quán)重PSO策略，即SBCAW-PSO，基于正弦函數(shù)的混沌映射，并通過(guò)Ackley、Hyperellipsoid、Rastrigin等一系列函數(shù)來(lái)測(cè)試改進(jìn)的PSO，驗(yàn)證基于正弦的混沌映射在PSO搜索方面具有較高的效率。在文獻(xiàn)[10]中，針對(duì)現(xiàn)有大多數(shù)PSO算法在處理復(fù)雜的多峰函數(shù)優(yōu)化時(shí)容易陷入局部最優(yōu)，該文提出基于聚類(lèi)的自適應(yīng)PSO算法，通過(guò)K均值聚類(lèi)操作，動(dòng)態(tài)地把種群劃分構(gòu)建成變化的子群聚類(lèi)，同時(shí)采用聚類(lèi)中心附近拓?fù)浞窒砭垲?lèi)信息，利用自適應(yīng)機(jī)制來(lái)調(diào)整所有個(gè)體粒子慣性權(quán)重，重新評(píng)價(jià)種群聚類(lèi)質(zhì)量。最后通過(guò)實(shí)驗(yàn)表明APSO-C在收斂速度方面具有較高的效率，較其它PSO算法有較高的準(zhǔn)確率和可靠性。

Cheng等人在2012年提出改進(jìn)的PSO與映射混沌搜索的方法結(jié)合的思想。文中提出了組合動(dòng)態(tài)引導(dǎo)PSO和基于混沌搜索在全局最優(yōu)（Gbest）與局部最優(yōu)粒子之間進(jìn)行搜索。邏輯混沌映射使新產(chǎn)生的種群具有更強(qiáng)的多樣性，通過(guò)一系列測(cè)試函數(shù)測(cè)試，該方法較傳統(tǒng)的PSO具有更好的收斂效果。Hu等人在2013年提出了針對(duì)時(shí)間窗的車(chē)輛路由問(wèn)題的混合混沌粒子群算法，把DCh(tent map)用于改進(jìn)的算法研究并降低種群的過(guò)早收斂，實(shí)驗(yàn)表明改進(jìn)的混合算法在質(zhì)量與時(shí)間消耗上優(yōu)于其它的PSO算法[11]。

粒子群算法（particle swarm optimization，PSO）是一種有效的全局尋優(yōu)算法，最早由美國(guó)的Kenedy和Eberhart于1995年提出，與其他進(jìn)化算法相比，PSO通過(guò)個(gè)體間的配合與競(jìng)爭(zhēng)，實(shí)現(xiàn)復(fù)雜空間的尋優(yōu)。由于采用“速度-位移”模型避免了繁瑣的遺傳操作，同時(shí)，其算法本身特有的記憶可以根據(jù)搜索情況動(dòng)態(tài)調(diào)整搜索策略，粒子之間具有自我經(jīng)驗(yàn)與同伴經(jīng)驗(yàn)，極大降低了尋優(yōu)的迭代次數(shù)。

根據(jù)Wolpert與Macready在1997年提出的No Free Lunch Theorems，文中將改進(jìn)參數(shù)調(diào)整的混沌粒子群算法與K均值聚類(lèi)算法結(jié)合，就調(diào)整的參數(shù)進(jìn)行仿真，最后利用KDDCUP99數(shù)據(jù)集對(duì)入侵特征報(bào)警數(shù)據(jù)聚類(lèi)仿真測(cè)試。實(shí)驗(yàn)結(jié)果表明，本文提出改進(jìn)算法在特征報(bào)警聚類(lèi)方面獲得較理想的檢測(cè)率和誤報(bào)率，進(jìn)而降低了報(bào)警冗余，提高了聚類(lèi)質(zhì)量。

3 混沌粒子群算法

本文的混沌粒子群算法采用文獻(xiàn)[6,12]中的實(shí)驗(yàn)算法,它在文獻(xiàn)[12]對(duì)混沌蟻群（CAS）算法[13]進(jìn)行分析改進(jìn)，同時(shí)利用PSO固有的特性?xún)?yōu)勢(shì)，結(jié)合兩者的優(yōu)勢(shì)并應(yīng)用于入侵檢測(cè)特征聚類(lèi)中，進(jìn)而改善海量數(shù)據(jù)的聚類(lèi)效果。其混沌粒子群算法數(shù)學(xué)模型：

3.1 速度

3.2 標(biāo)準(zhǔn)粒子群算法位置

3.3混沌粒子更新位置

3.4 混沌變量

其中，式（1）為種群中粒子的速度更新，vid(t+1)表示第i個(gè)粒子在t+1次迭代中第d維上的速度，為慣性權(quán)重，為學(xué)習(xí)因子。式（2）為粒子的位置更新。式（3）基于式（2）對(duì)粒子群中粒子位置更新引入混沌，t表示迭代次數(shù)，表示搜索測(cè)度，Mi表示粒子i的搜索空間向負(fù)方向移動(dòng)的比例系數(shù)（如：ψd=100，Mi=0.4，則表示搜索空間為[-40,40]）。式（4）影響種群粒子的混沌程度，表示粒子混沌變量。rid為第i個(gè)粒子的第d維混沌因子（一個(gè)小于1的正常數(shù)）。

若種群粒子一直處于混沌狀態(tài)，使得粒子群處于多樣性，不利于粒子尋優(yōu)；而長(zhǎng)期處于穩(wěn)定狀態(tài)，導(dǎo)致種群粒子陷于局部最優(yōu)。所以只有在兩者之間交替才能不斷向最優(yōu)靠近。混沌采用文獻(xiàn)[13]中的混沌算法（Sole等給出的混沌系統(tǒng)[14]），混沌迭代如式（5）。

x=x exp(μ(1-x)) （5）

該算法區(qū)別于已有的采用粒子序列替換來(lái)對(duì)種群粒子進(jìn)行位置更新，將混沌理論融入PSO種群粒子的更新中。采用混沌的方法使得種群粒子位置更新在混沌與穩(wěn)定之間交替進(jìn)行，從而更加利于種群尋優(yōu)。通過(guò)混沌因子調(diào)節(jié)混沌程度，使得粒子的運(yùn)動(dòng)更具合理性，具有較好的全局搜索能力。數(shù)據(jù)結(jié)果顯示在利用混沌理論在對(duì)函數(shù)尋優(yōu)時(shí)，能夠有效克服種群粒子的過(guò)早收斂及早熟現(xiàn)象，及時(shí)跳出局部最優(yōu)，使得函數(shù)在求解精度以及最優(yōu)解的求解能力方面得到了極大的提高[6]。

4 優(yōu)化混沌粒子群和K-means混合聚類(lèi)算法設(shè)計(jì)

4.1 k-means報(bào)警聚類(lèi)描述

報(bào)警特征聚類(lèi)描述：將眾多的入侵報(bào)警特征數(shù)據(jù)進(jìn)行分類(lèi)整合，每個(gè)類(lèi)群產(chǎn)生一個(gè)報(bào)警作為標(biāo)志，表明網(wǎng)絡(luò)正在發(fā)生的攻擊行為。IDS特征報(bào)警聚類(lèi)規(guī)定：給定一個(gè)報(bào)警數(shù)據(jù)集 D={xi，i=1,2,…,n}，將 其 劃 分 為 K 個(gè) 聚 類(lèi)C={C1,C2,…,CK}，且滿(mǎn)足式(6)。

文中通過(guò)最小均方誤差（MSE）來(lái)劃分聚類(lèi)（聚類(lèi)劃分為同一類(lèi)的限定是使得均方誤差達(dá)到最?。?，如式（7）所示。

其中zj為聚類(lèi)中心。

4.2 非線性學(xué)習(xí)因子改善

由于學(xué)習(xí)因子對(duì)種群粒子的速度更新具有重要作用，其c1，c2的值代表了粒子的認(rèn)知能力和社會(huì)性（粒子本身經(jīng)驗(yàn)和群體的經(jīng)驗(yàn)）。往常的線性調(diào)整學(xué)習(xí)因子取值容易出現(xiàn)粒子早熟的現(xiàn)象，過(guò)早收斂于局部極值。陳水利等人通過(guò)利用非線性策略來(lái)調(diào)整學(xué)習(xí)因子，利用其非線性變化來(lái)控制算法的局部和全局搜索并獲得了較理想的效果。在其非線性方法啟發(fā)下，結(jié)合PSO基本算法（通常c1，c2都設(shè)置為常數(shù)2，則反映種群粒子對(duì)自己和群體經(jīng)驗(yàn)信任度相同），本文利用三角函數(shù)的非線性動(dòng)態(tài)調(diào)整學(xué)習(xí)因子來(lái)控制粒子的局部開(kāi)拓能力和全局收斂能力。c1和c2的動(dòng)態(tài)取值如下：

其中ρ=1.3為常數(shù)（經(jīng)過(guò)測(cè)試，ρ的取值在1.0～1.5之間適合），t為當(dāng)前迭代次數(shù)，MaxIter為最大迭代次數(shù)，rand()表示區(qū)間上均勻分布的隨機(jī)數(shù)，δ∈[2,10]用于控制隨機(jī)數(shù)的振幅，β取值為1或0用來(lái)表示c1和c2在動(dòng)態(tài)更新是否加入隨機(jī)擾動(dòng)rand()/δ。

由式（10）可知，0＜2β·rand()＜2，0＜2β·rand()/δ＜1，確保c1+c2基本穩(wěn)定在（0，4）區(qū)間內(nèi)。學(xué)習(xí)因子c1動(dòng)態(tài)減少同時(shí)c2動(dòng)態(tài)增加，對(duì)種群粒子速度的更新早期參照個(gè)體歷史信息，具有很強(qiáng)的空間開(kāi)拓能力，到迭代后期則利于粒子相信群體決策，注重社會(huì)信息，從而避免陷入局部極值；利于種群最終收斂于一個(gè)全局最優(yōu)解或次優(yōu)解。

4.3 自適應(yīng)慣性權(quán)重設(shè)計(jì)

慣性權(quán)重ω決定種群中粒子的先前飛行速度對(duì)當(dāng)前速度的影響程度，慣性權(quán)重較大時(shí)，其全局搜索性強(qiáng)而局部搜索能力弱；反之，慣性權(quán)重較小時(shí)，則局部搜索能力強(qiáng)而全局搜索性弱。所以，合理地調(diào)整慣性權(quán)重可以權(quán)衡全局性與局部性之間的平衡。因此，動(dòng)態(tài)調(diào)整ω值在提高種群尋優(yōu)、減少迭代次數(shù)方面具有重要影響。

本文對(duì)數(shù)據(jù)集進(jìn)行特征報(bào)警聚類(lèi)時(shí)，每個(gè)聚類(lèi)形成以后具有不同的粒子數(shù)目。由于粒子本身的能力，在搜索水平上聚類(lèi)的效果大不相同。由于每個(gè)粒子聚類(lèi)效果最好的粒子之間的平均距離不相同。所以可以通過(guò)距離來(lái)對(duì)聚類(lèi)進(jìn)行分類(lèi)來(lái)改善粒子的搜索能力。給出兩個(gè)定義：

定義1：聚類(lèi)種群j用 ||Cj表示；定義 fij為粒子i在聚類(lèi)j中的適應(yīng)度。聚類(lèi)j的平均適應(yīng)度為定義fi作為粒子i的適應(yīng)度。則種群的平均適應(yīng)度表示為,其中，N表示種群數(shù)目。

定義2：初始種群粒子的慣性權(quán)重的最大值、最小值分別由ωmax、ωmin表示。在達(dá)到第t代時(shí)，粒子i的慣性權(quán)重表示為，這個(gè)權(quán)重是基于ωmax，ωmin，三者來(lái)調(diào)整粒子的狀態(tài)。也就是說(shuō)通過(guò)三者來(lái)產(chǎn)生新的慣性權(quán)重，從而調(diào)整粒子的速度狀態(tài)。

由于在搜索的過(guò)程中，處于不同位置的種群粒子具備不同的特征和能力。通過(guò)適應(yīng)度來(lái)表示這些不同。這些粒子在不同的位置時(shí)，需要強(qiáng)化他們的能力，這種能力就是搜索整體空間的能力。例如，有些粒子處于不利的位置需要逃離這些位置并加速對(duì)其它區(qū)域的探索；而已經(jīng)處于有利位置的粒子需要更進(jìn)一步地深入探索空間來(lái)發(fā)現(xiàn)更具優(yōu)勢(shì)的位置。本文通過(guò)調(diào)整慣性權(quán)重，基于聚類(lèi)操作的算法來(lái)改善粒子的這種尋優(yōu)能力。對(duì)于每個(gè)聚類(lèi)，處于這個(gè)聚類(lèi)中的粒子具有不同的優(yōu)勢(shì)與劣勢(shì)。所以這些聚類(lèi)的平均適應(yīng)度不相同。這些不同可以用來(lái)評(píng)價(jià)這些聚類(lèi)進(jìn)而為個(gè)體粒子調(diào)整慣性權(quán)重ω。

目的是使得適應(yīng)度最小。通過(guò)聚類(lèi)的平均適應(yīng)度與種群的平均適應(yīng)度來(lái)調(diào)整慣性權(quán)重ω的值：

條件1：aj≥avg：如果滿(mǎn)足此條件說(shuō)明子群處于不利的位置，處于這個(gè)位置的粒子距離最好的位置距離太遠(yuǎn)。所以接下來(lái)的搜索應(yīng)當(dāng)設(shè)置并改善全局的搜索能力，避免陷入局部搜索。即增加慣性權(quán)重ω值來(lái)改善搜索的全局性。

條件2：aj＜avg，如果滿(mǎn)足此條件說(shuō)明子群位于一個(gè)較好的區(qū)域。對(duì)于這種情況下的子群，通過(guò)調(diào)整慣性權(quán)重ω來(lái)減少搜索步長(zhǎng)，避免全局的搜索，從而改善局部搜索的能力，防止忽略附近域的最優(yōu)解。

通過(guò)以上分析得知，每個(gè)個(gè)體可以通過(guò)在不同的條件下自適應(yīng)調(diào)整參數(shù)，來(lái)達(dá)到最佳的尋優(yōu)狀態(tài)。

其中粒子i屬于聚類(lèi)j。

由于慣性權(quán)重ω是粒子群算法中對(duì)算法效率具有重要影響的可調(diào)整參數(shù)，ω的值越大，可利用搜索的全局性；反之，可利用搜索的局部性，所以，改變?chǔ)貫槎ㄖ档膯我荒Ｊ?，有效調(diào)整ω能權(quán)衡算法的全局與局部之間的搜索能力，有利于種群尋優(yōu)。

4.4 報(bào)警空間定義

告警空間定義引申為實(shí)現(xiàn)對(duì)IDS報(bào)警的聚類(lèi)，應(yīng)將報(bào)警映射為N維空間上的點(diǎn)集。針對(duì)IDS研究中廣泛采用的開(kāi)源軟件Snort，將其每條報(bào)警映射為（AID,Atime，Aproto，AsrcIP, AsrcPort,AdestIP,AdestPort,Amsg,Acontent,Aclasstype）[12]。

定義兩個(gè)報(bào)警之間的距離為式（13）：

其中，X，Y為報(bào)警，XAi為報(bào)警X的Ai屬性值。

屬性值取得實(shí)數(shù)值或字符串時(shí)，其距離定義分別如式（14）、式（15）：

其中，a，b為報(bào)警的屬性值。

4.5 聚類(lèi)算法步驟

本文的報(bào)警聚類(lèi)算法將混沌粒子群算法的參數(shù)進(jìn)行改善，并在現(xiàn)存相關(guān)文獻(xiàn)在聚類(lèi)方面研究的基礎(chǔ)上進(jìn)行了設(shè)計(jì)，算法流程如圖1。

圖1 改進(jìn)混沌粒子群報(bào)警聚類(lèi)算法流程圖

本文的混沌粒子群算法是把種群聚類(lèi)的聚類(lèi)中心對(duì)應(yīng)到單個(gè)粒子，進(jìn)而利用混沌理論進(jìn)行聚類(lèi)中心的混沌操作，從而找到最優(yōu)的聚類(lèi)中心，得到最優(yōu)特征分類(lèi)結(jié)果。具體步驟如下：

a.首先對(duì)映射的種群進(jìn)行初始化，在種群的搜索范圍內(nèi)隨機(jī)生成N個(gè)粒子，同時(shí)每個(gè)粒子對(duì)應(yīng)一組聚類(lèi)中心。種群粒子的速度、位置初始隨機(jī)產(chǎn)生。

b.種群粒子根據(jù)隨機(jī)聚類(lèi)中心，利用最近鄰法則分配到各個(gè)聚類(lèi)中。通過(guò)式（13）～式（15）計(jì)算其SSE值，進(jìn)而更新更新P_id(i)值與P_gd值。

c.根據(jù)式（1）,（8）,（9）或式（1）,（11）,（12），更新粒子的速度，式（3）更新粒子位置，進(jìn)行混沌搜索，根據(jù)式（4）更新粒子群混沌變量。

d.判斷是否滿(mǎn)足終止條件，如果滿(mǎn)足，則記錄P_id和P_gd值并轉(zhuǎn)至步驟e，退出程序；否則轉(zhuǎn)至步驟b。

e.根據(jù)粒子的數(shù)目，聚類(lèi)的個(gè)數(shù)k，利用聚類(lèi)評(píng)判標(biāo)準(zhǔn)式（7），進(jìn)行距離最小選擇，將選擇出的xi添加到相應(yīng)的Cj中。

5 仿真實(shí)驗(yàn)

5.1 自適應(yīng)慣性權(quán)重仿真

在此本文利用Griewank函數(shù)進(jìn)行測(cè)試，該函數(shù)是一種典型的多模態(tài)函數(shù)，具有大量的局部極值，可有效檢驗(yàn)算法的全局搜索性能。參數(shù)設(shè)置：LIW,FIW,SINW三種方法中慣性權(quán)重的設(shè)置均為[0.9，0.4]，即ωstart=0.9，ωend=0.4，c1=c2=2.0。群體規(guī)模大小都為40，允許誤差為σ=e-80，優(yōu)化變量的維數(shù)為20，最大迭代次數(shù)取1500，最大速度為600。實(shí)驗(yàn)設(shè)置運(yùn)行50次，取50次的平均值作為最終結(jié)果，并以函數(shù)平均最優(yōu)值取對(duì)數(shù)（以10為底）為縱坐標(biāo)。

通過(guò)圖2可知，利用自適應(yīng)的慣性權(quán)重，在粒子的收斂方面明顯比LIW、FIW慣性權(quán)重調(diào)整方面具有更快的收斂速度，所需的迭代次數(shù)也相應(yīng)有所減少。FIW由于其固定不變的慣性權(quán)重，不能較好地協(xié)調(diào)全局搜索能力和局部搜索能力[15]。本文的自適應(yīng)慣性權(quán)重通過(guò)兩種不同的狀態(tài)，來(lái)調(diào)整慣性權(quán)重ω的值，且容易跳出局部最優(yōu)，在收斂速度和求解精度上比另外兩種效果好。

圖2 Griewank函數(shù)

5.2 非線性動(dòng)態(tài)學(xué)習(xí)因子擾動(dòng)仿真

利用相關(guān)標(biāo)準(zhǔn)測(cè)試函數(shù)進(jìn)行PSO算法測(cè)試，ω線性遞減，優(yōu)化變量的維數(shù)為20，最大迭代次數(shù)為50。區(qū)分加擾動(dòng)與未加擾動(dòng)的學(xué)習(xí)因子的變化。

圖3 c1與c2隨進(jìn)化代數(shù)動(dòng)態(tài)變化軌跡

通過(guò)圖3非線性動(dòng)態(tài)變化學(xué)習(xí)因子動(dòng)態(tài)變化軌跡可以得到，加上隨機(jī)擾動(dòng)的學(xué)習(xí)因子，具有較好的波動(dòng)，對(duì)粒子群算法尋優(yōu)以及跳出局部最優(yōu)，較快達(dá)到收斂，并獲得較好的全局最優(yōu)具有較大的影響。

5.3 報(bào)警聚類(lèi)效果測(cè)試

文中攻擊場(chǎng)景采用文獻(xiàn)[12]所設(shè)計(jì)的攻擊環(huán)境，同時(shí)基于前文的告警聚類(lèi)，利用“行為+位置+目的”模式攻擊行為的表述，構(gòu)建攻擊場(chǎng)景。為驗(yàn)證不同參數(shù)調(diào)整的聚類(lèi)效果，文中采用通用的KDDCUP網(wǎng)絡(luò)數(shù)據(jù)集進(jìn)行仿真實(shí)驗(yàn)?；煦缌Ｗ尤簠?shù)設(shè)置：ω=0.7298，c1=c2=1.4962，MaxIter=1500，r(i，d)=0.5+0.005rand()，N=20，Cid=0.999，ψd為各自搜索空間長(zhǎng)度，Mi=0.5，粒子初始值為ψd·Mi·(2rand()-1)。本文首先通過(guò)混沌粒子群算法與非線性動(dòng)態(tài)學(xué)習(xí)因子結(jié)合仿真測(cè)試，文中用CCPSO-KM表示，其參數(shù)設(shè)置：ω=0.7298，MaxIter= 1500，r(i，d)=0.5+0.005rand()，N=20，Cid=0.999，ψd為各自搜索空間長(zhǎng)度，Mi=0.5，粒子初始值為ψd·Mi·(2rand()-1)，c1、c2的改變按式（8），式（9）。再者，與自適應(yīng)慣性權(quán)重結(jié)合仿真測(cè)試，文中用ACPSO-KM表示，其參數(shù)設(shè)置：c1=c2=1.4962，MaxIter=1500，r(i，d)=0.5+0.005rand()，N=20,Cid=0.999,為各自搜索空間長(zhǎng)度，Mi=0.5，粒子初始值為ψd·Mi·(2rand()-1)，ω慣性權(quán)重按式（11），式（12）不同條件更新其值。通過(guò)統(tǒng)計(jì)如表1所示。

表1 報(bào)警聚類(lèi)算法結(jié)果比較

通過(guò)對(duì)比表1結(jié)果：本文在基于混沌粒子群對(duì)其粒子速度更新中參數(shù)調(diào)整的不同策略，其聚類(lèi)效果明顯高于單一的混沌粒子群聚類(lèi)。在對(duì)學(xué)習(xí)因子利用三角函數(shù)進(jìn)行動(dòng)態(tài)調(diào)整的CCPSO-KM算法中，其平均報(bào)警檢測(cè)率為83.34%，高于混沌聚類(lèi)算法的80.36%，同時(shí)平均誤報(bào)率為1.04%，低于混沌聚類(lèi)算法的誤報(bào)率。在自調(diào)整慣性權(quán)重的混沌聚類(lèi)算法中，其平均報(bào)警檢測(cè)率為83.66%，高于CPSO-KM聚類(lèi)算法檢測(cè)率，而平均誤報(bào)率為1.01%，低于混沌聚類(lèi)算法的1.35%?？偟膩?lái)看，兩種參數(shù)改進(jìn)，對(duì)提高檢測(cè)率，降低誤報(bào)率具有明顯的效果，同時(shí)對(duì)比發(fā)現(xiàn)，針對(duì)慣性權(quán)重的改進(jìn)影響比學(xué)習(xí)因子的效果略明顯。

6 結(jié)束語(yǔ)

在網(wǎng)絡(luò)入侵檢測(cè)復(fù)雜環(huán)境中，對(duì)海量告警數(shù)據(jù)進(jìn)行劃分、整合、精簡(jiǎn)，以減少告警冗余，降低誤報(bào)率具有重要現(xiàn)實(shí)意義。為提高IDS的入侵特征的聚類(lèi)質(zhì)量，減少冗余，降低誤報(bào)率與虛報(bào)率，本文提出一種基于改進(jìn)混沌粒子群優(yōu)化的IDS特征報(bào)警聚類(lèi)算法，利用混沌的遍歷性和粒子群收斂快的特性，同時(shí)結(jié)合非線性動(dòng)態(tài)學(xué)習(xí)因子和自適應(yīng)慣性權(quán)重動(dòng)態(tài)更新粒子群參數(shù)，動(dòng)態(tài)引導(dǎo)K均值算法的聚類(lèi)中心更新迭代，從而獲得較好的聚類(lèi)效果，避免聚類(lèi)中心選擇對(duì)最終聚類(lèi)結(jié)果的影響，與現(xiàn)存混沌粒子群算法相比，本文提出參數(shù)調(diào)整策略更好地跳出局部最優(yōu)，提高了種群全局尋優(yōu)能力。最后通過(guò)對(duì)多峰函數(shù)對(duì)非線性動(dòng)態(tài)學(xué)習(xí)因子和自適應(yīng)慣性權(quán)重進(jìn)行仿真，利用KDDCUP99數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)測(cè)試。實(shí)驗(yàn)表明，非線性動(dòng)態(tài)學(xué)習(xí)因子和自適應(yīng)慣性權(quán)重在迭代擾動(dòng)方面具有明顯效果，更容易跳出局部最優(yōu)，對(duì)數(shù)據(jù)集進(jìn)行聚類(lèi)，具有更高的檢測(cè)率和較低的誤報(bào)率。

[1]龔儉，吳樺，楊望．計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[M]．南京：東南大學(xué)，200 7．

[2]DOROTHY E，DENNING．An intrusion detection model[J]．IEEE Transactions on Software Engineering，1987，13(2):222-232．

[3]李家春，李之棠．分布式入侵告警關(guān)聯(lián)分析[J]．計(jì)算機(jī)研究與發(fā)展，200 4，41(11):19 19-19 2 3．

[4]NINGP，CUI Y，REEVES D S，et al．Techniques and tools for analyzing intrusion alerts[J]．ACM Transactions on Information and System Security，2004，7(2):2 74-3 18．

[5]DEBAR H，WESPI A．Aggregation and correlation of intrusion

Detection alerts[A]．Proceedings of the 4th International Symposium on Recent Advances in Intrusion Detection[C]．Davis，CA，USA，2001．8 5-10 3．

[6]XU X B，ZHENG K F，LI D，et al．A new chaos-particle swarm optimization algorithm[J]．Journal on Communications，2012，3 3(1):2 4-3 0．

[7]傅濤，孫文靜．PSO-based K-means算法及其在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J]．計(jì)算機(jī)科學(xué)，2013，40(11):13 7-13 9．

[8]Lia L，Liub K．An Intrusion Detection Method Based on WPSOSVM and KPCA[J]．Journal of Information&Computational Science，2014，11:5(2014)140 3-1410．

[9]Cheng Y H，Kuo C N．SBCAW-PSO:A Sine-Based Chaotic Adaptive Inertia Weight Particle Swarm Optimization[C]//Proceedings of the International MultiConference of Engineers and Computer Scientists．2014，1．

[10]Liang X，Li W，Zhang Y，et al．An adaptive particle swarm optimization method based on clustering[J]．Soft Computing，2014:1-18．

[11]Kr mer P，Zelinka I，Sn á el V．Behaviour of pseudo-random and chaotic sources of stochasticity in nature-inspired optimization methods [J]．Soft Computing，2014，18(4):6 19-6 2 9．

[12]胥小波，蔣琴琴，鄭康鋒，等．基于混沌粒子群的ID S告警聚類(lèi)算法[J]．通信學(xué)報(bào)，2013，3 4(3):10 5-110．

[13]Li L，Yang Y，Peng H，et al．An optimization method inspired by chaotic ant behavior[J]．International Journal of Bifurcation and Chaos，200 6，16(0 8):2 3 51-2 3 6 4．

[14]Sol é RV，Miramontes O，Goodwin B C．Oscillations and chaos in ant societies[J]．Journal of theoretical Biology，19 9 3，16 1(3):3 43-3 57．

[15]李麗，牛奔．粒子群優(yōu)化算法[M]．北京：冶金工業(yè)出版社，200 9.

【Abstract】As a computational tool,calculator is used widely.This paper designs a calculator based on Swing and Action event handling mechanism.It is helpful to learn Java programming,and especially has guiding role for Java Programming.

【Keywords】calculator;Swing;Java

Clustering Algorithm Based on Novel Chaotic Particle Swarm Optimization

Wu Youxiao
(Guangdong Planning and Designing Institute of Telecommunications Co.Ltd.,Guangzhou 510630,Guangdong)

Aiming at the the low quality of feature clustering and excessive redundant alarms in IDS,an IDS alerts clustering algorithm based on novel chaotic particle swarm optimization is proposed.It combines the characteristics of chaotic PSO algorithms, adaptive inertia weight coefficient,and non-linear dynamic learning factor,so as to make particles move between the state of chaos and stable.It guarantees the particle motion inertia,and approaches the optimal value.It also can overcome the problems of premature convergence and"inert"reaction of PSO algorithm,and help the center of cluster to find the global optimal solution.The experiment results show that the improvement of particle swarm parameters improves the quality of feature clustering in IDS alarm,and has higher detection rate and lower false detection rate.

IDS;particle swarm optimization;chaos;adaptive inertia weight;non-linear dynamic learning factor

（上接第6 3頁(yè)）

Design and Implementation of Calculator Based on Java Swing

Yang Jianqiang Li Miaozai
（Hebi Polytechnic，Hebi 458030，Henan）

TP393

A

1008-6609(2016)10-0073-06

吳有曉(19 8 7－)，男，廣東廣州人，碩士研究生，二級(jí)通信設(shè)計(jì)師，研究方向?yàn)闊o(wú)線網(wǎng)絡(luò)規(guī)劃、計(jì)算機(jī)網(wǎng)絡(luò)安全、入侵檢測(cè)等領(lǐng)域。