馬磊娟， 王林生

(河南工業(yè)職業(yè)技術(shù)學(xué)院，南陽(yáng) 473009)

?

改進(jìn)最小二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)

馬磊娟， 王林生*

(河南工業(yè)職業(yè)技術(shù)學(xué)院，南陽(yáng) 473009)

非法入侵直接危害到網(wǎng)絡(luò)的安全，為了解決傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)模型存在的缺陷，提高網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確性，提出了一種改進(jìn)最小二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)模型。收集網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)，并提取其中的特征，采用最小二乘支持向量機(jī)作為入侵檢測(cè)的分類(lèi)器，實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)的檢測(cè)，并引入布谷鳥(niǎo)搜索算法對(duì)最小二乘支持向量機(jī)的參數(shù)選擇進(jìn)行改進(jìn)，選擇KDDCup99數(shù)據(jù)集作為實(shí)驗(yàn)對(duì)象。結(jié)果表明，改進(jìn)最小二乘支持向量機(jī)可以建立正確率的網(wǎng)絡(luò)入侵檢測(cè)模型，降低了網(wǎng)絡(luò)入侵檢測(cè)的錯(cuò)誤率，可以保證網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)系統(tǒng)； 非法入侵； 網(wǎng)絡(luò)分類(lèi)器； 布谷鳥(niǎo)搜索算法； 檢測(cè)模型

0 引言

網(wǎng)絡(luò)在人們生活的每一個(gè)角落都存在，網(wǎng)絡(luò)安全問(wèn)題引起了們的高度關(guān)注[1]。被動(dòng)的網(wǎng)絡(luò)安全防范技術(shù)主要為防火墻，但其無(wú)法識(shí)別一些新的入侵行為，網(wǎng)絡(luò)入侵檢測(cè)能夠發(fā)現(xiàn)一些非法用戶(hù)的行為，可以有效提高網(wǎng)絡(luò)系統(tǒng)的安全性[2]。

近幾十年來(lái)，出現(xiàn)大量的網(wǎng)絡(luò)入侵檢測(cè)模型，它們大致可以劃分為2種類(lèi)型，其中一種為網(wǎng)絡(luò)入侵的誤用檢測(cè)模型，該類(lèi)檢測(cè)模型只能檢測(cè)已經(jīng)存在的入侵行為，無(wú)法發(fā)現(xiàn)變異或者新型的入侵行為，這樣局限性十分明顯，無(wú)法應(yīng)用于實(shí)際的網(wǎng)絡(luò)安全保證中[3]。另一種為異常入侵檢測(cè)模型，該類(lèi)模型可以發(fā)現(xiàn)能夠到新型入侵行為，實(shí)際應(yīng)用價(jià)值相對(duì)較高，在網(wǎng)絡(luò)入侵檢測(cè)得到了廣泛的應(yīng)用[4]。在異常檢測(cè)模型，支持向量機(jī)作為一種最常的分類(lèi)器構(gòu)建算法，比其它模型具有更高的檢測(cè)正確率。然而支持向量機(jī)學(xué)習(xí)過(guò)程十分費(fèi)時(shí)，網(wǎng)絡(luò)入侵建模的效率相當(dāng)?shù)?，不能滿(mǎn)足大規(guī)模網(wǎng)絡(luò)安全分析的要求，同時(shí)也無(wú)法適應(yīng)網(wǎng)絡(luò)入侵檢測(cè)的實(shí)時(shí)性[5,6]。為了解決支持向量機(jī)的學(xué)習(xí)速度慢缺陷，有學(xué)者提出了最小二乘支持向量機(jī)，并將其應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)中，縮短了網(wǎng)絡(luò)入侵檢測(cè)建模的時(shí)間，提高了網(wǎng)絡(luò)入侵檢測(cè)的速度，而且網(wǎng)絡(luò)入侵檢測(cè)的正確率也沒(méi)有降低[7,8]。在實(shí)際應(yīng)用中，最小二乘支持向機(jī)的參數(shù)優(yōu)化是一個(gè)待解決的難題，一旦參數(shù)確定不合理，無(wú)法建立高性能的網(wǎng)絡(luò)入侵檢測(cè)模型，為此有學(xué)者采用遺傳算法、粒子群算法對(duì)最小二乘支持向量機(jī)參數(shù)優(yōu)化問(wèn)題進(jìn)行求解，但是遺傳算法、粒子群算法自身的參數(shù)也難以確定，從而影響網(wǎng)絡(luò)入侵檢測(cè)的性能[10-12]。

為了解決傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)模型存在的缺陷，提高網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確性，提出了一種改進(jìn)最小二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)模型。首先收集網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)，并提取其中的特征，然后采用最小二乘支持向量機(jī)作為入侵檢測(cè)的分類(lèi)器，實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)的檢測(cè)，并引入布谷鳥(niǎo)搜索算法[13]對(duì)最小二乘支持向量機(jī)的參數(shù)選擇進(jìn)行改進(jìn)，最后選擇KDD Cup 99數(shù)據(jù)集作為實(shí)驗(yàn)對(duì)象。結(jié)果表明，改進(jìn)最小二乘支持向量機(jī)可以建立正確率的網(wǎng)絡(luò)入侵檢測(cè)模型，降低了網(wǎng)絡(luò)入侵檢測(cè)的錯(cuò)誤率，具有較高的實(shí)際應(yīng)用價(jià)值。

1 LSSVM和MCS算法

1.1 LSSVM

設(shè)網(wǎng)絡(luò)入侵訓(xùn)練集為{(xi,yi)}，最小二乘支持向量機(jī)(LSSVM)通過(guò)非線(xiàn)性映射Φ( )對(duì)它進(jìn)行變換，然后進(jìn)行線(xiàn)回歸，可以描述為式(1)。

f(x)=wTφ(x)+b

(1)

式中，ω和b表示最小二乘支持向量朵的權(quán)和偏置向量。

要對(duì)式(1)進(jìn)行求解，首先要找到最優(yōu)變量的ω和b值，而對(duì)式(1)進(jìn)行求解，引入松弛變量ξi，那式式(1)可以轉(zhuǎn)為式(2)。

s.t.

yi-wTφ(x)+b=ei

(2)

式中，γ表示最小二乘支持向量機(jī)的正則化參數(shù)；ei為最小二乘支持向量的分類(lèi)誤差。

為了加快優(yōu)變量的ω和b值的求解速度，采用拉格朗日函數(shù)得到對(duì)偶問(wèn)題，即式(3)。

(3)

式中，αi為拉格朗日乘子。

根據(jù)Mercer條件，采用K(xi,xj)=φ(xi)Tφ(xj)，那么網(wǎng)絡(luò)入侵分類(lèi)的函數(shù)為式(4)。

(4)

采用徑向基函數(shù)構(gòu)建模LSSVM，則有式(5)。

(5)

式中，σ為寬度，參數(shù)。

參數(shù)γ和σ對(duì)網(wǎng)絡(luò)入侵的結(jié)果有著直接影響，LSVM參數(shù)可以建立如下的目標(biāo)函數(shù)：

s.t.

(6)

1.2 布谷鳥(niǎo)搜索算法

⊕L(λ),i=1,2,…,N

(7)

式中，α為步長(zhǎng)控制量，⊕為點(diǎn)積，L(λ)為飛行步長(zhǎng)路徑，其滿(mǎn)足如下條件為式(8)。

Lévy～u=t-λ, 1≤λ≤3

(8)

由于基本布谷鳥(niǎo)搜索算法的工作效率低，為此采用慣性權(quán)重w對(duì)鳥(niǎo)巢位置進(jìn)行更新為式(9)。

⊕L(λ),i=1,2,…,N

(9)

慣性權(quán)重w的變化方式為：

(10)

式中，iter為當(dāng)前迭代次數(shù)。

2 改進(jìn)最小二乘支持向量機(jī)的入侵檢測(cè)模型

2.1 參數(shù)對(duì)網(wǎng)絡(luò)入侵檢測(cè)結(jié)果的影響

為了分析最小二乘支持向量機(jī)參數(shù)對(duì)入侵結(jié)果的作用，選不同參數(shù)γ和σ下的網(wǎng)絡(luò)入侵檢測(cè)正確率，結(jié)果如表1所示。

表1 不同參數(shù)γ和σ值下的入侵檢測(cè)率

對(duì)表1的入侵檢測(cè)正確率進(jìn)行分析可以發(fā)現(xiàn)，不同參數(shù)γ和σ值下，入侵檢測(cè)正確率變化比較大，為此對(duì)參數(shù)γ和σ值進(jìn)行優(yōu)化，找到最優(yōu)的參數(shù)γ和σ值是必要的，可以提高網(wǎng)絡(luò)入侵檢測(cè)精度。

2.2 網(wǎng)絡(luò)入侵檢測(cè)的步驟

(1) 收集網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)并提取網(wǎng)絡(luò)入侵的特征。

(2) 通過(guò)專(zhuān)家估計(jì)參數(shù)γ和σ的取值區(qū)間。

(3) 設(shè)Pa=0.6，對(duì)鳥(niǎo)巢位置進(jìn)行反編碼，得到參數(shù)γ和σ的值，并對(duì)網(wǎng)入侵檢測(cè)的訓(xùn)練集進(jìn)行學(xué)習(xí)，得到適應(yīng)度值。

最小乘支持向量機(jī)只能對(duì)2個(gè)類(lèi)型的分類(lèi)問(wèn)題進(jìn)行求解，而網(wǎng)絡(luò)入侵檢測(cè)是多分類(lèi)問(wèn)題，所以采用一定的方式建立入侵檢測(cè)器，如如圖1所示。

圖1 入侵檢測(cè)分類(lèi)器的結(jié)構(gòu)

3 網(wǎng)絡(luò)入侵檢測(cè)效果的測(cè)試與分析

3.1 實(shí)驗(yàn)樣本分布

為了測(cè)試改進(jìn)最小二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)效果，選擇KDD Cup 99作為測(cè)試對(duì)象，并選擇標(biāo)準(zhǔn)最小二乘支持向量機(jī)(LSSVM)和遺傳算法優(yōu)化最小二乘支持向量機(jī)(GA-LSSVM)在相同實(shí)驗(yàn)環(huán)境下進(jìn)行對(duì)比測(cè)試，比較它們的入侵檢測(cè)率、入侵誤檢率以及平均檢測(cè)時(shí)間。從KDD Cup 99中選擇部分?jǐn)?shù)據(jù)進(jìn)行具體實(shí)驗(yàn)，它們分布具體如表2所示。

表2 不同網(wǎng)絡(luò)入侵類(lèi)型的樣本數(shù)量

首先確定每一種模型的LSSVM參數(shù)，結(jié)果如表3所示。

表3 不同模型的參數(shù)

然后根據(jù)表3的LSSVM參數(shù)建立網(wǎng)絡(luò)入侵檢測(cè)模型。

3.2 結(jié)果與分析

為了保證實(shí)驗(yàn)結(jié)果的公平性，全部模型均執(zhí)行10次，統(tǒng)計(jì)平均值作為網(wǎng)絡(luò)入侵檢測(cè)的最終實(shí)驗(yàn)結(jié)果，具體結(jié)果如圖2～圖4所示。

圖2 檢測(cè)正確率的比較

圖3 誤檢率的比較

圖4 平均檢測(cè)時(shí)間比較

對(duì)網(wǎng)絡(luò)入侵檢測(cè)的實(shí)驗(yàn)結(jié)果進(jìn)行對(duì)比和分析，可發(fā)現(xiàn)

(1) 相對(duì)于LSSVM，GA-LSSVM的入侵檢測(cè)性能得到了大幅度提長(zhǎng)，這是因?yàn)橥ㄟ^(guò)GA對(duì)LSSVM的參數(shù)γ和σ進(jìn)行優(yōu)化，克服經(jīng)驗(yàn)方法確定參數(shù)γ和σ的缺陷，提高了網(wǎng)絡(luò)入侵正確率，減少了網(wǎng)絡(luò)入侵檢測(cè)的誤檢率。

(2) 在所有模型，本文模型的網(wǎng)絡(luò)入侵檢測(cè)效果最佳，這說(shuō)明采用布鳥(niǎo)搜索算法對(duì)LSSVM的參數(shù)γ和σ進(jìn)行優(yōu)化，解決了GA存在的不足，建立了更優(yōu)的網(wǎng)絡(luò)入侵檢測(cè)模型。

(3) 本文模型的入侵檢測(cè)時(shí)間最短，提高了網(wǎng)絡(luò)入侵檢測(cè)的速度，可以滿(mǎn)足網(wǎng)絡(luò)入侵的實(shí)時(shí)性。

5 總結(jié)

為了改善網(wǎng)絡(luò)入侵效果，針對(duì)網(wǎng)絡(luò)入侵分類(lèi)器構(gòu)建過(guò)程存在的問(wèn)題，提出了改進(jìn)最小二乘支持的網(wǎng)絡(luò)入侵檢測(cè)模型，采用改進(jìn)布谷鳥(niǎo)搜索算法對(duì)最小二乘支持向量機(jī)的參數(shù)進(jìn)行優(yōu)化，建立更優(yōu)的網(wǎng)絡(luò)入侵檢測(cè)分類(lèi)器，采用經(jīng)典數(shù)據(jù)集——KDD Cup 99對(duì)模型的有效性和優(yōu)越性進(jìn)行測(cè)試，結(jié)果表明，改進(jìn)最小二乘支持向量機(jī)較好的克服了當(dāng)前入侵檢測(cè)模型存在的局限性，建立了入侵檢測(cè)效果好的網(wǎng)絡(luò)入侵檢測(cè)模型，網(wǎng)絡(luò)入侵檢測(cè)的誤檢率明顯減少，而且網(wǎng)絡(luò)入侵檢測(cè)速度可以滿(mǎn)足網(wǎng)絡(luò)安全實(shí)際應(yīng)用的要求，可以應(yīng)用于網(wǎng)絡(luò)安全的保障中。

[1] 唐正軍,李建華. 入侵檢測(cè)技術(shù)[M]. 北京;清華大學(xué)出版社,2004.

[2] 金波, 林家駿, 王行愚. 入侵檢測(cè)技術(shù)評(píng)述[J]. 華東理工大學(xué)學(xué)報(bào), 2000,26(2):1910-1919.

[3] Denning D E. An Intrusion Detection Model [J]. IEEE Transaction on Software Engineering, 2010, 13(2): 222-232.

[4] 陳仕濤,陳國(guó)龍,郭文忠,等. 基于粒子群優(yōu)化和鄰域約簡(jiǎn)的入侵檢測(cè)日志數(shù)據(jù)特征選擇[J]. 計(jì)算機(jī)研究與發(fā)展,2010,47(7);1261-1267.

[5] 周荃, 王崇駿. 基于人工智能技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)的若干方法[J]. 計(jì)算機(jī)應(yīng)用研究, 2007, 24(5): 144-148.

[6] 胡明霞. 基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)算法[J]. 計(jì)算機(jī)工程,2012,38(6 ):148-150.

[7] 段丹青,陳松喬,楊衛(wèi)平,等. 使用粗糙集和支持向量機(jī)檢測(cè)入侵[J]. 小型微型計(jì)算機(jī)系統(tǒng),2008,29(4): 627-630.

[8] 閆新娟,譚敏生,嚴(yán)亞周,呂明娥. 基于隱馬爾科夫模型和神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)研究[J]. 計(jì)算機(jī)應(yīng)用與軟件,2012,29(2):294-297.

[9] 李洋,方濱興,郭莉,等. 基于TCM-KNN和遺傳算法的網(wǎng)絡(luò)異常檢測(cè)技術(shù)[J].通信學(xué)報(bào), 2007, 28(12): 48-52.

[10] 姜春茂,張國(guó)印,李志聰. 基于遺傳算法優(yōu)化SVM的嵌入式網(wǎng)絡(luò)系統(tǒng)異常網(wǎng)絡(luò)流量異常檢測(cè)[J]. 計(jì)算機(jī)應(yīng)用與軟件,2011,28(2):287-289.

[11] Yang Wu, Fang Bin-xing, Yun Xiao-chun, et al. Research and implementation of a high-performance distributed intrusion detection system [J]. Journal of Beijing University of Posts and Telecom mutilations, 2004, 27(3):83-86.

[12] 嚴(yán)岳松,倪桂強(qiáng),繆志敏等. 基于SVDD的半監(jiān)督入侵檢測(cè)研究[J]. 微電子學(xué)與計(jì)算機(jī), 2012, 26(10): 128-130.

[13] 張晶, 吳虎勝. 改進(jìn)二進(jìn)制布谷鳥(niǎo)搜索算法求解多維背包問(wèn)題[J].計(jì)算機(jī)應(yīng)用, 2015, 35(1): 183-188.

Networkintrusiondetectionbyusingimprovedleastsquaressupportvectormachine

MaLeijuan,WangLinsheng

(HenanPolytechnicInstitute,Nanyang473009,China)

The illegal intrusion directly endangers the security of the network. In order to solve the defects of the traditional network intrusion detection model, improve the accuracy of network intrusion detection, an improved least squares support vector machine model is proposed for network intrusion detection. The first is to collect network intrusion detection data and extract the feature. The least squares support vector machine is used as a classifier to detect intrusion detection, network status. Cuckoo search algorithm is introduced to improve the parameters of least squares support vector machine. Finally the KDD Cup 99 data set is chosen as the experimental object. The results show that the improved least squares support vector machine (SVM) can establish the correct network intrusion detection model, reduce the error rate of network intrusion detection, and ensure the network security.

Network system; Illegal intrusion; Network classifier; Cuckoo search algorithm; Detection model

馬磊娟(1981-)，女，南陽(yáng)人，碩士，講師，研究方向：電子信息科學(xué)與技術(shù)。 *通信作者：王林生(1981-)，男，南陽(yáng)人, 碩士, 副教授, 研究方向：智能控制技術(shù)。

1007-757X(2017)07-0076-04

TP

A

2017.04.05)