羅尚平　劉才銘

摘 要： 針對(duì)當(dāng)前的神經(jīng)網(wǎng)絡(luò)檢測(cè)算法在強(qiáng)干擾下的網(wǎng)絡(luò)入侵檢測(cè)準(zhǔn)確攔截性不好的問題，提出一種基于粒子群算法和支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)方法。構(gòu)建網(wǎng)絡(luò)入侵的特征信號(hào)模型，采用二階自適應(yīng)格型IIR陷波器進(jìn)行入侵信息的抗干擾處理；粒子群算法進(jìn)行自適應(yīng)尋優(yōu)提取網(wǎng)絡(luò)入侵特征的最優(yōu)解，SVM進(jìn)行入侵信息分類，實(shí)現(xiàn)網(wǎng)絡(luò)入侵有效檢測(cè)；并進(jìn)行仿真測(cè)試。結(jié)果表明，采用該方法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確攔截概率較高，誤檢和漏檢概率較低，保障了網(wǎng)絡(luò)安全。

關(guān)鍵詞： 粒子群算法； 支持向量機(jī)； 網(wǎng)絡(luò)入侵； 檢測(cè)算法

中圖分類號(hào)： TN711?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2017）10?0031?04

Abstract： As the accuracy of the current neural network detection algorithm to detect and intercept network intrusion in strong interference is not high enough， a detection method based on particle swarm optimization algorithm and support vector machine to deal with the network intrusion is put forward， and the feature signal model of network intrusion is built. The two?order adaptive lattice IIR notch filter is adopted for anti?jamming processing of intrusion information. The particle swarm optimization algorithm is used to extract the optimal solution of network intrusion features in adaptive optimizing mode. SVM is employed for intrusion information classification to realize the effective detection of network intrusion. The simulation test results show that the method has high accurate intercepting probability and low false dismissal detection probability for network intrusion detection. It can guarantee the network security.

Keywords： particle swarm optimization； support vector machine； network intrusion； detection algorithm

隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，大量的信息數(shù)據(jù)通過網(wǎng)絡(luò)實(shí)現(xiàn)信息傳輸和信息存儲(chǔ)，網(wǎng)絡(luò)安全受到人們的極大關(guān)注，網(wǎng)絡(luò)安全分為網(wǎng)絡(luò)系統(tǒng)安全和網(wǎng)絡(luò)信息安全。網(wǎng)絡(luò)安全防御過程就是一個(gè)信息對(duì)抗和反對(duì)抗的過程，網(wǎng)絡(luò)攻擊者通過植入病毒進(jìn)行網(wǎng)絡(luò)攻擊入侵，網(wǎng)絡(luò)防御者通過信息檢測(cè)技術(shù)進(jìn)行入侵檢測(cè)，實(shí)現(xiàn)病毒入侵的識(shí)別[1]。為了提高網(wǎng)絡(luò)安全檢測(cè)性能，本文提出一種基于粒子群算法和支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)方法，通過算法設(shè)計(jì)和仿真測(cè)試分析，提高網(wǎng)絡(luò)入侵的檢測(cè)能力。

1 網(wǎng)絡(luò)入侵信號(hào)分析

1.1 網(wǎng)絡(luò)入侵時(shí)間尺度響應(yīng)計(jì)算

為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵的準(zhǔn)確檢測(cè)，先構(gòu)建網(wǎng)絡(luò)入侵信號(hào)采樣和傳輸模型[2?3]，并結(jié)合時(shí)間序列分析方法，進(jìn)行網(wǎng)絡(luò)入侵信號(hào)的統(tǒng)計(jì)分析。網(wǎng)絡(luò)入侵信號(hào)是一組非線性時(shí)間序列，可以采用非線性時(shí)間序列分析方法進(jìn)行特征分析和檢測(cè)，結(jié)合統(tǒng)計(jì)信息采樣和時(shí)間序列分析[4]，得到網(wǎng)絡(luò)入侵信號(hào)結(jié)構(gòu)模型為：

1.2 抗干擾處理

設(shè)計(jì)二階自適應(yīng)格型IIR陷波器進(jìn)行網(wǎng)絡(luò)入侵的抗干擾處理，二階自適應(yīng)格型IIR陷波器結(jié)構(gòu)模型如圖1所示。

和網(wǎng)絡(luò)空間中分布的有用信息共同構(gòu)成；y（k）為網(wǎng)絡(luò)入侵信號(hào)經(jīng)過二階格型陷波器濾波后的輸出。通過k次迭代，選擇適當(dāng)?shù)南辔籟θ1k]，使[y（k）φ*（k）]最??；通過粒子群算法進(jìn)行頻率參數(shù)[a]和帶寬參數(shù)[r]的自適應(yīng)調(diào)整，進(jìn)行網(wǎng)絡(luò)病毒入侵信息檢測(cè)的抗干擾濾波時(shí)，令自適應(yīng)權(quán)值[w0=0]，得到匹配濾波檢測(cè)的抽頭系數(shù)迭代式為：

式中：[μ]為對(duì)網(wǎng)絡(luò)病毒入侵信息的離散時(shí)間線采樣的窗口控制參數(shù)，稱為步長(zhǎng)；[φ*（k）]是輸出期望響應(yīng)信號(hào)[y（k）]的陷波頻率，當(dāng)[r→1]時(shí)網(wǎng)絡(luò)入侵信號(hào)標(biāo)量時(shí)間序列在陷波器中的聚焦帶寬減小。通過輸出處理，設(shè)計(jì)得到網(wǎng)絡(luò)入侵信號(hào)濾波的陷波器的傳輸函數(shù)為：

輸入的網(wǎng)絡(luò)入侵信息特征[u（k）]經(jīng)過匹配濾波，抑制傳輸信息通道中的合法數(shù)據(jù)，提高入侵信息的頻域聚焦能力，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)入侵信號(hào)的抗干擾處理，增大了有效檢測(cè)的概率。

2 網(wǎng)絡(luò)入侵檢測(cè)模型優(yōu)化實(shí)現(xiàn)

2.1 基于粒子群算法的入侵特征分布性度量計(jì)算

采用粒子群算法進(jìn)行自適應(yīng)尋優(yōu)提取網(wǎng)絡(luò)入侵特征的最優(yōu)解。假設(shè)在D維網(wǎng)絡(luò)入侵信息搜索空間中，有m個(gè)粒子組成一個(gè)種群。個(gè)體i在D維網(wǎng)絡(luò)入侵信息搜索空間中的位置可以表示為[Xi=xi1，xi2，…，xiD]，第i個(gè)粒子通過自適應(yīng)尋優(yōu)和跳躍改進(jìn)機(jī)制約束進(jìn)行入侵信息定位，記為[Pi=pi1，pi2，…，piD]。每個(gè)粒子個(gè)體的速度記為[Vi =vi1，vi2，…，viD ， i=1，2，…，m]，在非支配解控制約束下進(jìn)行自適應(yīng)尋優(yōu)泛函[8]。提取網(wǎng)絡(luò)入侵的信息傳遞特征，得到在整個(gè)群體中所有粒子經(jīng)歷過的最好位置為[Pg=pg1，pg2，…，pgD]。采用極值跟蹤搜索方法進(jìn)行網(wǎng)絡(luò)病毒信息的鎖定，得到粒子群尋優(yōu)的迭代過程描述為：

在粒子群尋優(yōu)和SVM訓(xùn)練下，網(wǎng)絡(luò)入侵檢測(cè)的收斂性能更加優(yōu)越。

3 實(shí)驗(yàn)測(cè)試分析

在Matlab仿真環(huán)境下進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)分析，實(shí)驗(yàn)的硬件環(huán)境為2.89 GHz雙核Core四處理器，1 GB內(nèi)存。在分布式中心網(wǎng)絡(luò)的交換機(jī)中進(jìn)行網(wǎng)絡(luò)傳輸數(shù)據(jù)信息采樣，采集時(shí)間為5 min，使用50 KS/s的采樣率進(jìn)行數(shù)據(jù)分析和特征提取。網(wǎng)絡(luò)入侵特征的離散采樣頻率為[FS=20 f0=50 kHz]；樣本長(zhǎng)度為1 024；支持向量機(jī)SVM訓(xùn)練的信號(hào)樣本為頻帶10～15 kHz、時(shí)寬2.6 ms的線性調(diào)頻時(shí)間序列；濾波器長(zhǎng)度[L]=25；粒子群數(shù)量N為1 000個(gè)；適應(yīng)度的初始值為0.25；模型組數(shù)20個(gè)。根據(jù)上述仿真設(shè)定，進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)，對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行原始信息采樣和干擾抑制，得到的原始數(shù)據(jù)和濾波數(shù)據(jù)如圖2所示。

由圖2可見，采用本文設(shè)計(jì)的二階自適應(yīng)格型IIR陷波器進(jìn)行入侵信息的抗干擾處理，有效抑制了干擾信息，能提高對(duì)網(wǎng)絡(luò)入侵的檢測(cè)能力。然后采用粒子群算法進(jìn)行自適應(yīng)尋優(yōu)提取網(wǎng)絡(luò)入侵特征，采用SVM進(jìn)行入侵信息分類，實(shí)現(xiàn)網(wǎng)絡(luò)入侵有效檢測(cè)，如圖3所示為采用1 000次蒙特卡洛實(shí)驗(yàn)得到的入侵檢測(cè)的ROC曲線。由圖3分析得知，采用本文方法能在較低的信噪比下獲得較好的檢測(cè)性能，對(duì)網(wǎng)絡(luò)入侵的準(zhǔn)確檢測(cè)概率較高，降低了虛警和漏檢率。

4 結(jié) 語

為了提高網(wǎng)絡(luò)的安全防御能力，本文提出一種基于粒子群算法和支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)方法。首先構(gòu)建網(wǎng)絡(luò)入侵的特征信號(hào)模型，采用二階自適應(yīng)格型IIR陷波器進(jìn)行入侵信息的抗干擾處理；然后采用粒子群算法進(jìn)行自適應(yīng)尋優(yōu)提取網(wǎng)絡(luò)入侵特征的最優(yōu)解，采用SVM進(jìn)行入侵信息分類，實(shí)現(xiàn)網(wǎng)絡(luò)入侵有效檢測(cè)。研究表明，采用該方法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確攔截概率較高，誤檢和漏檢概率較低，保障了網(wǎng)絡(luò)安全，具有較好的應(yīng)用性能。

參考文獻(xiàn)

[1] 劉智國(guó)，張雅明，林立忠.基于粒子群LSSVM的網(wǎng)絡(luò)入侵檢測(cè)[J].計(jì)算機(jī)仿真，2010，27（11）：136?140.

[2] 顧彬，鄭關(guān)勝，王建東.增量和減量式標(biāo)準(zhǔn)支持向量機(jī)的分析[J].軟件學(xué)報(bào)，2013（7）：1601?1613.

[3] 陸科達(dá)，萬勵(lì)，吳潔明.基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)安全事件預(yù)測(cè)研究[J].科技通報(bào)，2012，28（6）：37?40.

[4] 王龍，萬振凱.基于服務(wù)架構(gòu)的云計(jì)算研究及其實(shí)現(xiàn)[J].計(jì)算機(jī)與數(shù)字工程，2009，37（7）：88?91.

[5] 饒雨泰，楊凡.網(wǎng)絡(luò)入侵?jǐn)噭?dòng)下的網(wǎng)絡(luò)失穩(wěn)控制方法研究[J].科技通報(bào)，2014，30（1）：185?188.

[6] 馬小雨.多頭作戰(zhàn)網(wǎng)絡(luò)連接下偽入侵報(bào)警去除方法研究[J].計(jì)算機(jī)仿真，2014，31（8）：317?320.

[7] 章武媚，陳慶章.引入偏移量遞階控制的網(wǎng)絡(luò)入侵HHT檢測(cè)算法[J].計(jì)算機(jī)科學(xué)，2014，41（12）：107?111.

[8] GUBBI J， BUYYA R， MARUSIC S， et al. Internet of Things （IoT）： a vision， architectural elements， and future directions [J]. Future generation computer systems， 2013， 29（7）： 1645?1660.