袁琴琴，呂林濤

(西京學(xué)院 電子信息工程系，西安 710123)

基于改進(jìn)蟻群算法與遺傳算法組合的網(wǎng)絡(luò)入侵檢測(cè)

袁琴琴，呂林濤

(西京學(xué)院 電子信息工程系，西安 710123)

為提高網(wǎng)絡(luò)入侵檢測(cè)的檢測(cè)效果，提出一種基于改進(jìn)蟻群算法與遺傳算法組合的網(wǎng)絡(luò)入侵檢測(cè)方法。該方法采用遺傳算法(genetic algorithm, GA)對(duì)網(wǎng)絡(luò)入侵的特征集進(jìn)行快速選取，為后續(xù)特征提取打下基礎(chǔ)；對(duì)傳統(tǒng)蟻群算法(ant colony optimization, ACO)的節(jié)點(diǎn)選擇策略和信息素更新策略進(jìn)行改進(jìn)，提出一種改進(jìn)的蟻群算法，提高對(duì)最優(yōu)特征的選擇效果，采用改進(jìn)的蟻群算法對(duì)特征進(jìn)一步選擇；采用支持向量機(jī)(support vector machine, SVM)統(tǒng)計(jì)機(jī)器學(xué)習(xí)方法建立各類網(wǎng)絡(luò)入侵的檢測(cè)分類器。仿真實(shí)驗(yàn)結(jié)果表明，新的網(wǎng)絡(luò)入侵檢測(cè)方法綜合GA和改進(jìn)蟻群算法的優(yōu)勢(shì)，能夠獲得更好的入侵特征，從檢測(cè)正確率、誤報(bào)率和漏報(bào)率3個(gè)方面綜合比較，新的網(wǎng)絡(luò)入侵檢測(cè)方法具有更好的網(wǎng)絡(luò)入侵檢測(cè)效果，且提高了檢測(cè)速率。

網(wǎng)絡(luò)入侵；遺傳算法；蟻群優(yōu)化算法；支持向量機(jī)

0 引 言

近年來網(wǎng)絡(luò)的開放性和虛擬性給網(wǎng)絡(luò)入侵帶來了極大的方便，如蠕蟲、網(wǎng)站掛馬、拒絕服務(wù)攻擊、釣魚和僵尸網(wǎng)絡(luò)等， 針對(duì)日益嚴(yán)重的網(wǎng)絡(luò)入侵活動(dòng)，入侵檢測(cè)系統(tǒng)(intrusion detection system, IDS)作為一種積極主動(dòng)的安全防護(hù)技術(shù)得到了迅猛的發(fā)展[1-3]。為使網(wǎng)絡(luò)入侵檢測(cè)技術(shù)能夠更加有效地檢測(cè)各種攻擊，學(xué)者們進(jìn)行大量研究。

文獻(xiàn)[4]為了提高網(wǎng)絡(luò)入侵檢測(cè)的正確率，將K最近鄰(K nearest neighbor, KNN)與改進(jìn)粒子群優(yōu)化(improved particle swarm optimization, IPSO)算法結(jié)合，提出上述算法組合的網(wǎng)絡(luò)入侵檢測(cè)模型，該模型改善了網(wǎng)絡(luò)入侵檢測(cè)的效果。文獻(xiàn)[5]提出一種基于隱形馬爾科夫模型(hidden Markov model, HMM)和自組織映射(self organize mapping, SOP)的網(wǎng)絡(luò)入侵檢測(cè)方法，實(shí)驗(yàn)結(jié)果證明了方法的有效性。文獻(xiàn)[6]針對(duì)高維數(shù)據(jù)的網(wǎng)絡(luò)入侵檢測(cè)問題，提出一種基于主成分分析(principle component analysis, PCA)網(wǎng)絡(luò)入侵檢測(cè)方法，該方法對(duì)主成分的選取以及模型的訓(xùn)練具有較高的要求，限制了方法在實(shí)際中的普遍應(yīng)用。

另外，神經(jīng)網(wǎng)絡(luò)(neural network, NN)在網(wǎng)絡(luò)入侵檢測(cè)方面也得到了廣泛的應(yīng)用，文獻(xiàn)[7]結(jié)合NN和模糊系統(tǒng)的研究成果，提出一種基于混合模糊神經(jīng)網(wǎng)絡(luò)(hybrid fuzzy neural network, HFNN)的入侵檢測(cè)系統(tǒng)，在入侵檢測(cè)應(yīng)用中效果良好，但方法的入侵檢測(cè)正確率與正常數(shù)據(jù)的比例密切相關(guān)，正常數(shù)據(jù)比例越高，入侵檢測(cè)正確率也就越高。文獻(xiàn)[8]利用模擬退火(simulated annealing, SA)算法概率突跳和局部搜索能力強(qiáng)的特點(diǎn)對(duì)遺傳算法(genetic algerithm,GA)進(jìn)行改進(jìn)，然后對(duì)NN的網(wǎng)絡(luò)權(quán)值和結(jié)構(gòu)進(jìn)行雙重優(yōu)化，最后通過對(duì)GA交叉和變異算子的改進(jìn)，提出一種自適應(yīng)神經(jīng)網(wǎng)絡(luò)訓(xùn)練方法，提高了網(wǎng)絡(luò)入侵檢測(cè)的正確率，但方法將多種優(yōu)化算法進(jìn)行結(jié)合，計(jì)算復(fù)雜度急劇增加，檢測(cè)速度下降。

基于組合算法的思路，本文也提出一種基于改進(jìn)蟻群(improved ant colony optimization, IACO)算法和GA組合的網(wǎng)絡(luò)入侵檢測(cè)模型IACO-GA。首先采用GA對(duì)數(shù)據(jù)特征進(jìn)行初步選取，然后對(duì)蟻群算法(ant colony optimization, ACO)的選擇方法和信息素更新策略進(jìn)行改進(jìn)，采用IACO對(duì)特征進(jìn)一步優(yōu)化，最后采用支持向量機(jī)(support vecton machine,SVM)確定入侵類別。仿真結(jié)果與性能分析驗(yàn)證了本文方法的有效性。

1 基本算法

1.1 遺傳算法

GA具備與問題領(lǐng)域無關(guān)、并行潛質(zhì)、搜索過程簡(jiǎn)單以及能與其他算法結(jié)合的可擴(kuò)展性，GA得到了廣泛的研究和應(yīng)用[9-11]。基本GA的流程如圖1所示。

圖1 遺傳算法原理與流程Fig.1 Principle and flow of GA

其一般過程如下。

1)初始化。將問題的所有解進(jìn)行編碼形成初始解集合，最優(yōu)解是由初始解進(jìn)化得到；

2)適應(yīng)度評(píng)估。選定合適的適應(yīng)度函數(shù)，對(duì)每個(gè)個(gè)體進(jìn)行評(píng)估；

3)選擇。依據(jù)適應(yīng)度對(duì)每個(gè)個(gè)體進(jìn)行選擇，其中適應(yīng)度高的繁殖下一代的數(shù)目越多，反之越少，甚至被淘汰；

4)交叉。對(duì)于選中的個(gè)體進(jìn)行交叉操作；

5)變異。以較小概率對(duì)個(gè)體的位置進(jìn)行求反操作；

6)最優(yōu)解選取。設(shè)定結(jié)束算法，當(dāng)滿足條件時(shí)進(jìn)行結(jié)束操作，輸出適應(yīng)度最高的個(gè)體作為最優(yōu)解，不滿足，則轉(zhuǎn)向步驟2)。

1.2 蟻群算法

ACO[12-13]的流程如圖2所示。

圖2 蟻群算法原理與流程Fig.2 Principle and flow of ACO

ACO的具體操作如下。

1)初始化。對(duì)每個(gè)邊的信息素進(jìn)行初始化，賦值較小，對(duì)于每個(gè)螞蟻都對(duì)應(yīng)一個(gè)禁忌表，以記錄經(jīng)過的節(jié)點(diǎn)。當(dāng)螞蟻在某一節(jié)點(diǎn)上時(shí)，其禁忌表初始化為1，螞蟻在各邊上釋放的信息素?cái)?shù)量初始化為0。

2)構(gòu)建路徑。螞蟻根據(jù)一定概率決定下一個(gè)目標(biāo)，其概率為

(1)

(1)式中：Pij(t)代表從節(jié)點(diǎn)i到節(jié)點(diǎn)j的概率；α是信息素計(jì)算權(quán)重，α值越大在選取下個(gè)目標(biāo)過程中起到的作用越大；β為啟發(fā)信息計(jì)算權(quán)重，其值越大，在選取下一目標(biāo)時(shí)所起作用越大。此外，被訪問節(jié)點(diǎn)不能出現(xiàn)在禁忌表中。

3)信息素操作。在ACO中，當(dāng)所有螞蟻找到合法路徑后，采用(2)式對(duì)信息素進(jìn)行更新

(2)

(2)式中：τij(t)代表時(shí)刻t邊ij上的信息素濃度；ρ代表信息素保留因子；(1-ρ)代表信息素?fù)]發(fā)因子；Δτij(t,t+1)代表所有螞蟻產(chǎn)生的信息素之和，其計(jì)算公式為

(3)

(4)

2 IACO-GA網(wǎng)絡(luò)入侵檢測(cè)模型

2.1 改進(jìn)蟻群算法

ACO具有并行計(jì)算、擴(kuò)展能力好和較好全局搜索能力等優(yōu)點(diǎn)，但當(dāng)達(dá)到一定迭代次數(shù)后，會(huì)出現(xiàn)解趨于一致現(xiàn)象，使得ACO呈現(xiàn)收斂速度慢和容易陷入局部最優(yōu)解的缺點(diǎn)。本文提出的網(wǎng)絡(luò)入侵檢測(cè)模型采用了GA對(duì)數(shù)據(jù)特征進(jìn)行預(yù)選擇，一定程度上克服了ACO的缺點(diǎn)，為進(jìn)一步解決該問題，提高ACO的性能，對(duì)其節(jié)點(diǎn)選擇方法和信息素更新策略進(jìn)行改進(jìn)。

1)節(jié)點(diǎn)選擇方法的改進(jìn)。ACO在迭代過程中遇到局部最優(yōu)解，螞蟻會(huì)不斷訪問該節(jié)點(diǎn)，導(dǎo)致其信息素不斷累積，增加了局部最優(yōu)解被當(dāng)作全局最優(yōu)解的概率。為克服該缺點(diǎn)，使得ACO跳出局部最優(yōu)解，可以在節(jié)點(diǎn)選擇中增加隨機(jī)性，即在一定迭代次數(shù)后不按ACO原有節(jié)點(diǎn)選擇方法操作，通過隨機(jī)方式選擇下一節(jié)點(diǎn)。螞蟻k在節(jié)點(diǎn)i隨機(jī)選擇下一節(jié)點(diǎn)方式可表示為

j=rand(1,n)，j?allowed

(5)

2)信息素更新策略的改進(jìn)。ACO算法對(duì)于所有路徑的信息素更新方法是相同的，這會(huì)使得最優(yōu)路徑和最差路徑短時(shí)間內(nèi)沒有差別，不能很好地指導(dǎo)下一節(jié)點(diǎn)的選取，進(jìn)而影響收斂速度。對(duì)現(xiàn)有信息素更新策略進(jìn)行改進(jìn)，引入對(duì)最好路徑信息素增加和最差路徑信息素減少的操作，加大二者的區(qū)分程度，促使ACO收斂加快。改進(jìn)的更新策略為

(6)

(6)式中：lb，lw分別代表最優(yōu)和最差路徑。且有

(7)

(8)

(7)-(8)式中：lbl，lwl分別代表最優(yōu)和最差路徑的長(zhǎng)度；W為信息素衰減因子。同時(shí)為保證信息素不會(huì)過快增加或者減小，設(shè)定信息素上限值和下限值，當(dāng)超過門限值時(shí)，自動(dòng)設(shè)置為門限值。

2.2 組合網(wǎng)絡(luò)入侵檢測(cè)模型

GA和ACO都是基于種群的優(yōu)化算法，二者各具優(yōu)缺點(diǎn)，且具有互補(bǔ)的潛質(zhì)，將二者結(jié)合起來可有效提高搜索的效率，將其引入網(wǎng)絡(luò)入侵檢測(cè)，可提高網(wǎng)絡(luò)入侵的檢測(cè)性能，基于IACO-GA的網(wǎng)絡(luò)入侵檢測(cè)模型流程如圖3所示，其流程可概括如下。

圖3 IACO-GA組合優(yōu)化算法流程Fig.3 Flow of IACO-GA

1)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)處理，提取網(wǎng)絡(luò)數(shù)據(jù)的特征，為入侵檢測(cè)模型打下基礎(chǔ)；

2)初始化GA的相關(guān)參數(shù)，包括交叉概率、變異概率和終止條件等；

3)初始化GA種群，隨機(jī)產(chǎn)生個(gè)體并分配相應(yīng)特征；

4)對(duì)種群進(jìn)行選擇操作；

5)按照一定交叉概率對(duì)種群中個(gè)體進(jìn)行交叉操作；

6)按照一定變異概率對(duì)種群中個(gè)體進(jìn)行變異操作；

7)對(duì)種群中個(gè)體的適應(yīng)度進(jìn)行評(píng)估；

8)根據(jù)GA的終止條件判斷迭代是否滿足終止，不滿足，則跳向4)，滿足，則輸出最優(yōu)解作為IACO的輸入；

9)初始化IACO，對(duì)初始螞蟻位置以及每個(gè)螞蟻的禁忌表進(jìn)行分配，對(duì)各邊的初始信息素濃度進(jìn)行初始化，設(shè)置IACO終止條件，對(duì)其中的信息素衰減因子、信息素門限值以及隨機(jī)選擇間隔等參數(shù)進(jìn)行初始化；

10)螞蟻周游以尋找最佳路徑，螞蟻根據(jù)改進(jìn)的節(jié)點(diǎn)選擇方法進(jìn)行移動(dòng)，記錄本次周游的最佳路徑，按照改進(jìn)的信息素更新策略對(duì)各邊的信息素濃度進(jìn)行更新，同時(shí)更新各個(gè)螞蟻的禁忌表；

11)計(jì)算適應(yīng)度；

12)根據(jù)IACO的終止條件判斷是否滿足終止，不滿足，則跳向10);滿足，則輸出最優(yōu)解作為最優(yōu)網(wǎng)絡(luò)入侵特征；

13)采用SVM[14]對(duì)最優(yōu)網(wǎng)絡(luò)入侵特征進(jìn)行分類，確定網(wǎng)絡(luò)入侵類別。

從圖3可以看出，IACO-GA組合優(yōu)化算法將GA與IACO串行起來，尋優(yōu)效果高于二者單獨(dú)使用，同時(shí)復(fù)雜度要高于GA和IACO。

3 仿真實(shí)驗(yàn)

為測(cè)試IACO-GA網(wǎng)絡(luò)入侵檢測(cè)模型的有效性，采用典型KDD CPU 99數(shù)據(jù)集作為檢測(cè)對(duì)象進(jìn)行仿真實(shí)驗(yàn)。KDD CPU 99包含DOS，U2R，U2L，PROBE等攻擊方式，同時(shí)包含大量正常數(shù)據(jù)，其中，訓(xùn)練集包括500萬條記錄，測(cè)試集包含200萬條記錄，處理困難較大，這里從中選取部分?jǐn)?shù)據(jù)進(jìn)行仿真實(shí)驗(yàn)[8]，各類型數(shù)據(jù)如表1所示。

表1 各類數(shù)據(jù)統(tǒng)計(jì)

仿真環(huán)境為PC計(jì)算機(jī)，Windows XP，奔騰雙核3.60 GHz，內(nèi)存4.0 GByte，仿真軟件Matlab 2012。為對(duì)比本文模型的有效性，采用對(duì)比方法為分別單獨(dú)采用GA，ACO，IACO和ACO-GA組合對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行提取的模型，以驗(yàn)證采用IACO-GA組合模型的優(yōu)越性。首先對(duì)IACO-GA特征選擇結(jié)果進(jìn)行統(tǒng)計(jì)，以說明能夠較好地獲取入侵特征，如表2所示。

表2 IACO-GA的特征選擇結(jié)果

將表2選取的特征數(shù)量和表1中原始數(shù)據(jù)數(shù)量比較可知，原始數(shù)據(jù)中存在大量冗余數(shù)據(jù)，IACO-GA組合模型有效消除了冗余數(shù)據(jù)，為下一步入侵識(shí)別打下基礎(chǔ)。接下來從入侵檢測(cè)正確率、誤報(bào)率和漏報(bào)率3個(gè)方面對(duì)各種方法進(jìn)行對(duì)比，其中，采用5個(gè)不同類型的SVM分類器，在第1層將所有數(shù)據(jù)劃分為正常和異常兩大類；第2層將異常數(shù)據(jù)送入SVM進(jìn)行分類，具體可參考文獻(xiàn)[15]中設(shè)置。結(jié)果如表3—表5所示。

表3 各方法對(duì)各種入侵檢測(cè)正確率

從表3中各方法對(duì)于各種入侵檢測(cè)的正確率可以看出，單獨(dú)采用IACO算法比傳統(tǒng)ACO算法具有更好的檢測(cè)效果，這與改進(jìn)算法性能密切相關(guān)。而采用IACO-GA組合的檢測(cè)模型具有最高的檢測(cè)正確率。

表4 各方法對(duì)各種入侵檢測(cè)誤報(bào)率

從表4的誤報(bào)率統(tǒng)計(jì)可以看出， IACO-GA組合檢測(cè)模型比ACO-GA組合檢測(cè)模型具有更低的檢測(cè)誤報(bào)率，同時(shí)IACO相比ACO具有更低檢測(cè)誤報(bào)率。

從表5的漏報(bào)率統(tǒng)計(jì)結(jié)果可以看出，與誤報(bào)率相似，IACO-GA組合模型的檢測(cè)方法具有最低的漏報(bào)率，

綜合表3-表5結(jié)果可以看出，采用IACO-GA組合的網(wǎng)絡(luò)入侵檢測(cè)模型，能夠更好地檢測(cè)出入侵的類別，是一種有效的網(wǎng)絡(luò)入侵檢測(cè)方法。

4 結(jié) 論

為進(jìn)一步提高網(wǎng)絡(luò)入侵的檢測(cè)性能，本文提出了一種基于IACO-GA組合模型的網(wǎng)絡(luò)入侵檢測(cè)方法。方法采用GA對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行初步提取，克服了傳統(tǒng)ACO收斂速度慢和容易陷入局部最優(yōu)解的問題，然后采用對(duì)迭代方法和信息素更新策略進(jìn)行改進(jìn)的IACO對(duì)數(shù)據(jù)特征進(jìn)一步提取，將2種有效組合一起，提高了組合方法的尋優(yōu)效果，進(jìn)一步克服了ACO存在的上述問題。仿真實(shí)驗(yàn)驗(yàn)證了所提出方法有效提高了網(wǎng)絡(luò)入侵的檢測(cè)正確率，降低了漏報(bào)率和誤報(bào)率，提升了網(wǎng)絡(luò)入侵檢測(cè)的整體性能。

[1] 鄭科鵬, 馮筠, 孫霞, 等. 基于靜態(tài)集成PU學(xué)習(xí)數(shù)據(jù)流分類的入侵檢測(cè)方法[J]. 西北大學(xué)學(xué)報(bào)：自然科學(xué)版, 2014, 44(4): 568-572. ZHENG K P, FENG J, SUN X, et al. Static Classifier Ensemble for Intrusion Detection Based on Positive Unlabeled Learning[J]. Journal of Northwest University:Natural Science Edition, 2014, 44(4): 568-572.

[2] 王秀利, 王永吉. 基于命令緊密度的用戶偽裝入侵檢測(cè)方法[J]. 電子學(xué)報(bào), 2014, 42(6): 1225-1229. WANG X L, WANG Y J. Masquerader Detection Based on Command Closeness Model[J]. Acta Electronica Sinica, 2014, 42(6): 1225-1229.

[3] 彭茂玲，陳善雄，余光琳.一種基于壓縮感知的入侵檢測(cè)方法[J].西南大學(xué)學(xué)報(bào)：自然科學(xué)版，2014,36(2):186-192. PENG M L, CHEN S X, YU G L. An Intrusion Detection Method Based on Compressed Sensing[J]. Journal of Southwest University: Nature Saence Edition, 2014,36(2):186-192.

[4] 馮瑩瑩,余世干,劉輝.KNN-IPSO選擇特征的網(wǎng)絡(luò)入侵檢測(cè)[J].計(jì)算機(jī)工程與應(yīng)用,2014,50(17):95-99. FENG Y Y, YU S G, LIU H. Network Intrusion Detection Based on KNN-IPSO Selecting Features[J].Computer Engineering and Applications,2014,50(17):95-99.

[5] 梁潘. 基于HMM和自組織映射的網(wǎng)絡(luò)入侵檢測(cè)算法[J]. 青島科技大學(xué)學(xué)報(bào):自然科學(xué)版, 2014, 35(4): 400-404 LIANG P. Algorithm of Network Intrusion Detection Based on HMM and Self-organize Mapping Net[J]. Journal of Qingdao University of Science and Technology:Natural Science Edition, 2014, 35(4): 400-404.

[6] 李蕊.基于PCA和LOGIT模型的網(wǎng)絡(luò)入侵檢測(cè)方法[J].成都信息工程學(xué)院學(xué)報(bào),2014,29(3):261-267. LI R. A Network Intrusion Detection Method based on PCA and LOGIT Model[J]. Journal of Chengdu University Of Information Technology, 2014, 29(3): 261-267.

[7] 馬樂, 趙銳, 闞媛. 基于混合模糊神經(jīng)網(wǎng)路的入侵檢測(cè)系統(tǒng)[J]. 軍事交通學(xué)院學(xué)報(bào), 2014, 16(5): 86-91 MA L, ZHAO R, KAN Y. Intrusion Detection System Based on Hybrid Fuzzy Neural Network[J]. Journal of Academy of Military Transportation, 2014, 16(5): 86-91.

[8] 楊宏宇, 趙明瑞, 謝麗霞. 基于自適應(yīng)進(jìn)化神經(jīng)網(wǎng)絡(luò)算法的入侵檢測(cè)[J]. 計(jì)算機(jī)工程與科學(xué), 2014,36(8): 1469-1475. YANG H Y, ZHAO M R, XIE L X. Intrusion Detection Based on the Adaptive Evolutionary Neural Network Algorithm[J]. Computer Engineering and Science, 2014,36(8): 1469-1475.

[9] MA P, TIAN M, YANG M. An improved genetic algorithm[C]∥2010 First International Conference on Pervasive Computing Signal Processing and Applications (PCSPA), IEEE Publisher (PCSPA). Harbin, China: IEEE, 2010: 977-980.

[10] AGGARWAL A, RAWAR T K, KUMAR M, et al. Optimal Design of FIR High Pass Filter Based on L1Error Approximation Using Real Coded Genetic Algorithm[J].

Engineering Science and Technology, 2015, 18(2015): 594-602.

[11] SOLTANI H, SHAFIEI S. Adiabatic Reactor Network Synthesis Using Coupled Genetic Algorithm with Quasi Linear Programming Method [J]. Chemical Engineering Science, 2015, 137: 601-612.

[12] ZHOU X, LIU Y H, ZHANG J D, et al. An ant colong based algorithm for overlapping community detector in complex networks[J]. Physica A, 2015, 427: 289-301.

[13] WANG L J, SHEN J, LUO J Z. Facilitating an ant colony algorithm for multi-objective data-intensive service provision[J]. Journal of Computer and System Science, 2014, 81(4):734-746.

[14] PAN X L, LUO Y, XU Y T. K-nearest Neighbor Based Structural Twin Support Vector Machine[J]. Knowledge-Based Systems, 2015, 88(2015): 34-44.

[15] 李小劍, 謝曉堯. 一種改進(jìn)的支持向量機(jī)在入侵檢測(cè)系統(tǒng)中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2014, 32(8): 10-12. LI X J, XIE X R. Application of an Improved Support Vector Machine in Intrusion Detection System[J]. Network Security Technology and Application, 2014, 32(8): 10-12.

(編輯：劉 勇)

Network intrusion detection method based on combination of improved ant colony optimization and genetic algorithm

YUAN Qinqin, LV Lintao

(Department of Electric Information Engineering, Xijing University, Xi’an 710123, P.R. China)

To improve the detection effect of network intrusion detection, a network intrusion detection method based on improved ant colony algorithm in combination with Genetic Algorithm (GA) was proposed. Firstly, GA was used for rapid selection of network intrusion feature set for the following feature selection. Then an improved ant colony algorithm was proposed by the improvement of node selection and pheromone updating strategy to improve the detecting effect of feature, the improved ant colony algorithm was adopted for further feature selection. Finally, the method adopted support vector machine (SVM) statistical machine learning method to establish a network intrusion detection classifier. Simulation results show that the new network intrusion detection method merges the advantages of GA and improved ant colony algorithm, which can get better feature detection results. The comparison in terms of detection accuracy, false alarm rate and missing report rate shows that the new network intrusion detection method can get better network intrusion detection results, and the detection rate was also improved.

network intrusion; genetic algorithm; ant colony optimization; support vector machine

10.3979/j.issn.1673-825X.2017.01.013

2015-10-28

2016-06-18 通訊作者：袁琴琴 yuanqinqin_2015@126.com

國(guó)家自然科學(xué)基金(61273271)；西京學(xué)院科研基金(XJ150122)

Foundation Items：The National Natural Science Foundation of China(61273271)； The Scientific Research Project of Xijing University of China(XJ150122)

TP393.03

A

1673-825X(2017)01-0084-06

袁琴琴(1979-)，女，湖北襄陽(yáng)人，高級(jí)工程師，碩士，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與網(wǎng)絡(luò)安全。 E-mail: yuanqinqin_2015@126.com。

呂林濤(1955-),男,教授,碩士導(dǎo)師,研究方向?yàn)榇髷?shù)據(jù)挖掘與發(fā)現(xiàn)。E-mail: lvlintao_2015@126.com。