崔玉禮

(煙臺職業(yè)學(xué)院，山東煙臺 264670)

基于改進蟻群算法優(yōu)化的模糊支持向量機的網(wǎng)絡(luò)入侵檢測技術(shù)探究

崔玉禮

(煙臺職業(yè)學(xué)院，山東煙臺 264670)

網(wǎng)絡(luò)使用量不斷增加的同時，網(wǎng)絡(luò)入侵形式也日趨多樣，網(wǎng)絡(luò)安全受到了嚴重威脅，因此可將改進蟻群算法優(yōu)化的模糊支持向量機算法應(yīng)用于網(wǎng)絡(luò)入侵檢測中。本文首先分析網(wǎng)絡(luò)入侵檢測的基本原理，研究網(wǎng)絡(luò)入侵判別的數(shù)學(xué)模型；其次，分析模糊支持向量機的基本原理，構(gòu)建模糊支持向量機的數(shù)學(xué)模型；然后，討論改進蟻群算法的基本原理，設(shè)計改進蟻群算法的基本流程。最后，進行網(wǎng)絡(luò)入侵檢測的仿真分析。仿真結(jié)果表明，該算法能夠提高網(wǎng)絡(luò)入侵檢測的準確性。

改進蟻群算法；模糊支持向量機；網(wǎng)絡(luò)入侵檢測

網(wǎng)絡(luò)用戶不斷增加，移動互聯(lián)網(wǎng)的發(fā)展促進了網(wǎng)絡(luò)的應(yīng)用范圍越來越廣，網(wǎng)絡(luò)信息安全得到了普遍關(guān)注。網(wǎng)絡(luò)入侵的形式越來越多，網(wǎng)絡(luò)入侵的危險性增大，容易引起大量網(wǎng)絡(luò)安全事故，給用戶造成較大的損失。入侵檢測技術(shù)是積極的網(wǎng)絡(luò)防御技術(shù)，能夠有效地發(fā)現(xiàn)網(wǎng)絡(luò)異常，避免網(wǎng)絡(luò)受到惡意攻擊。傳統(tǒng)的入侵檢測技術(shù)已經(jīng)無法適應(yīng)大規(guī)模網(wǎng)絡(luò)安全監(jiān)測的需要，現(xiàn)急需尋求一種行之有效的方法去提高網(wǎng)絡(luò)入侵檢測技術(shù)的有效性，從而確保網(wǎng)絡(luò)安全。網(wǎng)絡(luò)入侵檢測通常包括誤用檢測和異常檢測兩種情況，前者針對未知的網(wǎng)絡(luò)入侵進行檢測，后者針對不確定的網(wǎng)路入侵進行檢測，其中網(wǎng)絡(luò)異常入侵檢測技術(shù)是主要的網(wǎng)絡(luò)安全防御方法。網(wǎng)絡(luò)入侵檢測實際上就是對網(wǎng)絡(luò)數(shù)據(jù)分類的過程，而網(wǎng)絡(luò)數(shù)據(jù)量非常大而且很復(fù)雜，具有高維、線性不可分等特點，可以選擇智能算法處理該問題。目前，神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測應(yīng)用中取得了較好的成效，但也存在一些缺陷，由于網(wǎng)絡(luò)入侵數(shù)據(jù)的小樣本的特點，算法容易陷入局部極值的缺陷，無法獲得更好的入侵檢測要求。支持向量機屬于機器學(xué)習(xí)算法，在處理高維度和小樣本問題上有一定優(yōu)勢，具備較好的泛化能力，能夠避免由神經(jīng)網(wǎng)絡(luò)存在的缺陷所引發(fā)的安全問題。因此，將支持向量機應(yīng)用于網(wǎng)絡(luò)異常入侵檢測切實可行。為了能夠提高支持向量機網(wǎng)絡(luò)入侵檢測的準確性，將模糊理論和支持向量機融合起來構(gòu)建模糊支持向量機，能夠提高分類精度。此外，應(yīng)對支持向量機的核參數(shù)進行優(yōu)化，將改進蟻群算法應(yīng)用于支持向量機核函數(shù)各個參數(shù)的優(yōu)化，進而提高算法的收斂效率和檢測精度。

1 網(wǎng)絡(luò)入侵檢測的基本原理

當(dāng)網(wǎng)絡(luò)流量中不包含入侵信號時，網(wǎng)絡(luò)信號模型如(1)所示。

R(t)=C(t)+n(t).

(1)

其中，R(t)表示網(wǎng)絡(luò)接受的信號，C(t)表示數(shù)據(jù)包字節(jié)長度，n(t)表示信號中的噪聲。

當(dāng)網(wǎng)絡(luò)流量中包含入侵信號時，網(wǎng)絡(luò)信號模型如(2)所示。

R(t)=S(t)+C(t)+n(t).

(2)

其中，S(t)表示入侵信號。

在網(wǎng)絡(luò)異常入侵檢測時，主要是隔一定時間對數(shù)據(jù)包字節(jié)長度進行預(yù)測，表達式如(3)所示。

(3)

網(wǎng)絡(luò)入侵信號的估計如(4)所示。

(4)

(5)

其中，G[·]表示網(wǎng)絡(luò)入侵檢測的判別函數(shù)，κ表示臨界值，滿足假設(shè)H0時，網(wǎng)絡(luò)沒有入侵信號；滿足假設(shè)H1時，網(wǎng)絡(luò)發(fā)生入侵。

2 模糊支持向量機的數(shù)學(xué)模型

依據(jù)網(wǎng)絡(luò)入侵檢測的實際情況，選取對應(yīng)的隸屬度，已知樣本{(x1,y1,s1),…,(xn,yn,sn)}，xi∈Rd(i=1,2,…,n)表示輸入向量；yi表示xi分類中的一類，yi∈(-1,1)；si(i=1,2,…,n)表示分類的隸屬度，0≤si≤1。模糊支持向量機利用超平面對數(shù)據(jù)進行分類，超平面和類的距離最大，相應(yīng)的數(shù)學(xué)模型如(6)(7)所示。

(6)

s.t.yi(w·φ(xi)+b)≥ρ-εi,εi≥0,ρ≥0.

(7)

其中，εi表示誤差，μiεi表示權(quán)重的誤差。

利用以上模型構(gòu)建拉格朗日函數(shù)，如(8)所示。

(8)

(9)

(10)

(11)

(12)

將(9)至(12)代入(6)可以得到模型(13)(14)。

(13)

(14)

通過求解(13)可以獲得Lagrange算子αi，獲得的判別模型(15)。

(15)

(16)

其中，σ表示高斯分布因子。

模糊支持向量機可以有效地防止由于噪音干擾導(dǎo)致的錯誤分類，進而提高模糊的分類能力，提高網(wǎng)絡(luò)入侵檢測的精度。

3 改進蟻群算法的原理

蟻群算法的基本思路：螞蟻在所經(jīng)的路徑上發(fā)出信息素，信息素的濃度越高，螞蟻經(jīng)過的路徑越短，反之路徑越長。在迭代過程中，不同的螞蟻將以一定的概率確定出發(fā)路徑，同時會在所經(jīng)過的路徑上發(fā)出信息素，周而復(fù)始，不同的路徑都有濃度不同的信息素量，其中信息素濃度高的路徑將被后出發(fā)的螞蟻所選擇。當(dāng)信息素濃度積累過快時，蟻群算法容易陷入局部最優(yōu)，進而導(dǎo)致收斂精度不高；當(dāng)信息素濃度積累過慢，算法容易陷入死循環(huán)，導(dǎo)致收斂效率降低，因此要通過改進蟻群算法優(yōu)化算法中的算子。改進的蟻群算法流程如下所示。

步驟1 初始化蟻群算法的基本參數(shù)，包括蟻群的規(guī)模、迭代次數(shù)、啟發(fā)算子、期望算子等；輸入網(wǎng)絡(luò)入模糊支持向量機的優(yōu)化模型。

步驟2 設(shè)置初始信息素濃度。

步驟3 蟻群中的各個螞蟻提取全部路徑上的信息素濃度，通過一定的概率確定最終的出發(fā)路徑，概率可以通過如(17)所示公式進行計算。

(17)

步驟4 計算不通過路徑對應(yīng)的目標(biāo)函數(shù)值，并且儲存目標(biāo)函數(shù)值。

步驟5 依據(jù)不同路徑的目標(biāo)函數(shù)值更新信息素，更新公式如(18)所示。

(18)

其中，γi(k+1)和γi(k)分別表示更新前和更新后的路徑，δ0表示介于0和1之間的常數(shù)，可以表征信息素的揮發(fā)速率，Δγi表示第i條路徑上的信息素增量，計算公式如(19)所示。

(19)

其中，I表示信息常數(shù)，K(x)表示目標(biāo)函數(shù)。

步驟6 信息素的約束條件如(20)所示。

(20)

其中，Ni表示第i條路徑的信息素濃度，Nmin表示第i條路徑的最小信息素濃度，Nmax表示第i條路徑的最大信息素濃度。

步驟7 啟發(fā)算子和期望算子的更新公式如(21)(22)所示。

(21)

υ(k)=θ2·υ(k-1).

(22)

其中，θ1和θ2為大于1的常數(shù)。

步驟8 判別算法是否執(zhí)行了最大迭代次數(shù)，當(dāng)沒有達到最大迭代次數(shù)時，返回步驟3；否則，進入步驟9。

步驟9 輸出入模糊支持向量機的最優(yōu)參數(shù)值。

4 網(wǎng)絡(luò)入侵檢測仿真分析

為了驗證本文提出算法的有效性，從KDD CUP99數(shù)據(jù)集選取測試數(shù)據(jù)，包括三種入侵形式，分別為DoS、U2R和Probe，任意選擇1400個樣本作為仿真對象，利用MATLAB軟件編制仿真程序，數(shù)據(jù)源見表1。

表1 選取的仿真數(shù)據(jù)樣本

分別利用改進蟻群算法優(yōu)化的模糊支持向量機、蟻群算法優(yōu)化的模糊支持向量機、模糊支持向量機進行網(wǎng)絡(luò)入侵檢測仿真分析，以檢測率、漏報率和虛警率為對比參數(shù)?；诟倪M蟻群算法、蟻群算法優(yōu)化的模糊支持向量機參數(shù)的結(jié)果見表2。

表2 模糊支持向量機的參數(shù)優(yōu)化結(jié)果

網(wǎng)絡(luò)入侵檢測結(jié)果見表3。在三種算法的網(wǎng)絡(luò)入侵檢測結(jié)果中，基于改進蟻群算法優(yōu)化的模糊支持向量機能夠獲得更高的入侵檢測率，同時獲得更低的虛警率以及漏報率，從而表明基于改進蟻群算法優(yōu)化的模糊支持向量機能夠獲得更優(yōu)的模糊支持向量機的參數(shù)，該算法具有更高網(wǎng)絡(luò)入侵檢測有效性。

表3 基于不同算法的網(wǎng)絡(luò)入侵檢測比較結(jié)果

5 結(jié)語

網(wǎng)絡(luò)入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的核心問題，本文針對網(wǎng)絡(luò)入侵檢測存在的問題以及已有網(wǎng)絡(luò)入侵檢測技術(shù)的缺陷，提出了基于改進蟻群算法優(yōu)化的模糊支持向量機算法，并將其應(yīng)用于網(wǎng)絡(luò)入侵檢測中。仿真分析表明該算法能夠有效地提升網(wǎng)絡(luò)入侵檢測的準確性，檢測率、漏報率和虛警率都有明顯的改善，具有較為廣闊的發(fā)展前景。

[1]張蓉.蝙蝠算法優(yōu)化最二乘支持向量機的網(wǎng)絡(luò)入侵檢測[J].激光雜志,2014(11):101-104.

[2]劉其琛,穆煒煒.粗糙集和支持向量機在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].信息安全與技術(shù),2015(9):86-88,92.

[3]汪中才,楊立身.野草算法和支持向量機的網(wǎng)絡(luò)入侵檢測[J].激光雜志,2015(8):142-145.

[4]黃軼文,張梅.基于蟻群算法的六自由度采摘機器人軌跡規(guī)劃研究[J].農(nóng)機化研究,2017(3):242-246.

[5]張立毅,王迎,費騰,等.混沌擾動模擬退火蟻群算法低碳物流路徑優(yōu)化[J].計算機工程與應(yīng)用,2017(1):63-68,102.

Research on Network Intrusion Detection Technology Based on Improved Ant Colony Optimization Fuzzy Support Vector Machine

CUI Yu-li

(Yantai Vocational College,Yantai Shandong 264670,China)

As the network usage keeps increasing, the forms of network intrusion are also varying; therefore, network security is facing severe threat. To solve the problem, Fuzzy Support Vector Machine (FSVM) optimized by the improved ant colony algorithm can be applied to network intrusion detection. Firstly, the essay analyzed the fundamental principles of network intrusion detection and studied on the mathematical model distinguishing network intrusion. Next, the essay analyzed the fundamental principles of FSVM and built the mathematical model of FSVM. Then, the essay discussed the fundamental principles of improving ant colony algorithm and designed the basic procedure to improve the ant colony algorithm. At last, the essay conducted simulated analysis on network intrusion detection. As indicated by the simulation results, this algorithm can improve the accuracy of network intrusion detection.

improved ant colony algorithm; fuzzy support vector machine; network intrusion detection

2017-02-23

崔玉禮(1976- )，男，講師，碩士，從事計算機應(yīng)用技術(shù)研究。

TP393

A

2095-7602(2017)08-0029-05