鮑夢

摘 要： 入侵檢測是保證網絡安全的關鍵技術，為了解決神經網絡在入侵檢測應用中的參數優(yōu)化難題，提出蟻群算法選擇神經網絡參數的網絡入侵檢測模型。首先描述蟻群算法與神經網絡參數之間的聯系，并建立神經網絡參數選擇的目標函數，然后采用蟻群算法對目標函數的最優(yōu)解進行搜索，確定神經網絡的最佳參數，最后通過神經網絡自組織學習實現入侵檢測分類器的構建，選擇入侵檢測標準數據在Matlab 2014平臺上實現仿真實驗。結果表明，該模型解決了神經網絡在入侵檢測中的參數優(yōu)化難題，建立了綜合性能良好的入侵檢測分類器，分類結果和分類速度均比典型模型有較顯著的優(yōu)勢。

關鍵詞： 網絡安全； 神經網絡； 參數優(yōu)化； 蟻群算法； 入侵檢測分類器

中圖分類號： TN915.08?34； TP391 文獻標識碼： A 文章編號： 1004?373X（2017）17?0091?03

Network intrusion detection based on ant colony algorithm

selecting neural network parameter

BAO Meng

（Jiangxi University of Technology， Nanchang 330098， China）

Abstract： The intrusion detection is a key technology to ensure the network security. In order to solve the problem of parameter optimization of neural network in the application of intrusion detection， a network intrusion detection model based on ant colony algorithm selecting neural network parameter is proposed. The relation between the ant colony algorithm and neural network parameter is described. The objective function chosen by neural network parameters was established. The ant colony algorithm is used to search the optimal solution of objective function， and determine the optimal parameters of the neural network. The neural network self?organization learning is adopted to construct the classifier of intrusion detection. The simulation experiment for selected intrusion detection standard data was carried out on Matlab 2014 platform. The results show that the model can solve the problem of parameter optimization of neural network in the application of intrusion detection. The intrusion detection classifier with perfect comprehensive performance was est ablished， and its classification result and classification rate are superior to the typical model.

Keywords： network security； neural network； parameter optimization； ant colony algorithm； intrusion detection classifier

0 引 言

入侵是危害網絡安全的一種惡意行為，它可以盜取網絡系統(tǒng)中的機密信息，非法修改一些重要信息，有時可以導致網絡癱瘓，使得網絡不能正常工作[1?2]。入侵檢測指通過一定技術對網絡中的各種行為進行分析和判斷，根據判斷結果采取相應的防范措施，提高網絡的安全性[3?4]。

入侵檢測問題分為誤用檢測和異常檢測，其中基于誤用的入侵檢測使用先驗知識實現網絡入侵行為的檢測，它的缺點是無法識別新的入侵行為，導致入侵檢測的誤檢率以及漏檢率相當高[5]；基于異常的入侵檢測不需要先驗知識，而是從正常行為中區(qū)分入侵、攻擊行為，可以有效檢測到新的入侵行為，因此本文針對基于異常的入侵檢測問題進行研究。網絡入侵檢測本質上是一種多分類問題，因此它具有多分類的一些基本特征，如要構建分類器等[6]，當前構建網絡入侵的多分類器很多，如K近鄰、決策樹、支持向量、神經網絡等[7?9]，在所有算法中，神經網絡的建模速度最快、分類性能更優(yōu)，因此在網絡入侵檢測中得到了廣泛的應用。神經網絡的檢測性能與其參數值有重要聯系，像BP神經網絡、RBF神經網絡、極限學習機網絡等，它們的參數如果確定不合理，那么就無法保證獲得較高精度的網絡入侵檢測結果，入侵檢測的誤報率高[10]。將神經網絡應用于入侵檢測中時，首先要解決參數確定問題。當前參數確定主要通過一些生物模擬算法實現，如遺傳算法等，而遺傳算法的自身參數首先要確定，否則就易得到局部極優(yōu)的神經網絡參數，因此神經網絡參數確定問題還有待進一步解決[11]。endprint

相對于遺傳算法，蟻群算法的搜索和問題求解的性能更優(yōu)，在模式識別等領域得到了廣泛的應用[12]。為了解決神經網絡在入侵檢測應用中的參數優(yōu)化難題，提出蟻群算法選擇神經網絡參數的網絡入侵檢測模型。結果表明，該模型建立了綜合性能良好的入侵檢測分類器，分類結果和分類速度均比典型模型有較顯著的優(yōu)勢。

1 背景理論

1.1 蟻群算法

為了解決多目標優(yōu)化問題，有學者提出一種新的智能算法——蟻群算法。針對一個待優(yōu)化問題：所有螞蟻均置于節(jié)點上，信息素描述螞蟻經過路徑的優(yōu)劣，其可以吸引其他螞蟻向該路徑的轉移，根據待解決問題，確定螞蟻的初始信息素為：

（1）

螞蟻的初始位置為表示螞蟻的數目，如果滿足條件那么就可知（0，1]，適應度的計算公式變?yōu)椋?/p>

（2）

式中：avg為的均值；和分別為原始和變換后的值。

當螞蟻完成一次尋優(yōu)后，就要重新確定下一次尋優(yōu)的規(guī)則，隨機選擇個螞蟻，為選擇比率，選擇螞蟻中信息素濃度最大者作為尋優(yōu)目標。

（3）

式中為上次搜索過程中的最優(yōu)解。

信息素濃度越大，吸引同伴的程度越大，螞蟻向目標螞蟻移動的方式為：

（4）

在當前最優(yōu)解螞蟻的周圍進行進一步尋優(yōu)，找到更優(yōu)的解，搜索方式具體為：

（5）

（6）

式中：“”描述探測模式，其判斷方式為：

（7）

若滿足條件：，就為“+”；否則為“-”，表示搜索步長，即：

（8）

式中：和表示的最大值和最小值；和表示當前和最大迭代次數。

當完成全部尋優(yōu)后，對信息素更新，具體為：

（9）

式中為揮發(fā)系數。

1.2 神經網絡

BP神經網絡是一個強有力的機器學習算法，可以對輸入與輸出進行高度非線性擬合，采用網絡入侵檢測的特征作為神經網絡的輸入，網絡狀態(tài)作為期望輸出，對神經網絡進行訓練，建立網絡入侵檢測模型。BP神經網絡的工作步驟如下：

Step1：個訓練樣本組成網絡入侵的訓練樣本，并輸入到BP神經網絡進行學習。

Step2：計算BP神經網絡的期望輸出層和隱含層單元的狀態(tài)，即：

（10）

Step3：計算BP神經網絡輸入層的估計誤差為：

（11）

Step4：在時刻，修正BP神經網絡的權值和閾值，具體為：

（12）

（13）

Step5：計算全部訓練樣本集的誤差，并判斷是否滿足預先設置精度（ε）要求，即：

（14）

式中為樣本的誤差。

Step6：輸出入侵檢測的結果。

2 蟻群算法選擇神經網絡參數的入侵檢測模型

2.1 神經網絡參數選擇目標函數

在神經網絡的網絡入侵檢測建模過程中，權值和閾值的初值對網絡入侵檢測效果影響十分明顯，不同初始權值和閾值的BP神經網絡入侵檢測精度如表1所示。

BP神經網絡的初始權值和閾值的選擇目標就是提高網絡入侵的檢測效果，因此神經網絡參數選擇的目標函數可以描述為：

（15）

式中：表示網絡的檢測正確率；表示可能的最優(yōu)解個數。

2.2 蟻群算法選擇神經網絡參數的入侵檢測模型的工作步驟

Step1：采用專用設備對一臺網絡服務器一段時間的狀態(tài)信息進行檢測，得到相應數據。

Step2：從網絡信息數據中提取網絡狀態(tài)特征。

Step3：設置BP神經網絡初始權值和閾值的取值范圍。

Step4：隨機初始蟻群，并將全部螞蟻個體分布于同一個起點。

Step5：通過模擬蟻群覓食行為，對起點與終點之間的路徑進行搜索，并采用目標函數值即網絡入侵檢測率對路徑好壞進行動態(tài)評價。

Step6：不斷更新路徑上的信息素深度。

Step7：達到最大迭代次數時，把最優(yōu)路徑上的節(jié)點連接起來，得到BP神經網絡初始權值和閾值的最優(yōu)值。

Step8：采用最優(yōu)的BP神經網絡初始權值和閾值設計網絡入侵檢測的分類器，并通過分類器對待檢測網絡狀態(tài)進行檢測，并輸出檢測結果。

3 網絡入侵檢測效果測試實驗

為了分析蟻群算法選擇神經網絡參數的入侵檢測模型（ACO?BP）的效果，選擇標準網絡安全數據庫進行仿真實驗，在Matlab 2014平臺實現。為了使結果更具說服力，使本文模型的實驗結果具有可比性，設計了兩種對比模型，具體為：憑經驗確定BP神經網絡的初始權值和閾值的入侵檢測模型（BP）、遺傳算法選擇BP神經網絡初始權值和閾值的入侵檢測模型（GA?BP），BP神經網絡初始權值和閾值如表2所示。

統(tǒng)計GA?BP，ACO?BP以及BP的網絡入侵檢測精度和平均檢測時間（單位：s），結果如圖1和圖2所示。

分析圖1，圖2可知：

（1） 與BP網絡入侵檢測相比，GA?BP和ACO?BP的平均入侵檢測精度分別提高了很多，同時平均檢測時間分別下降，這表明GA?BP和ACO?BP的網絡入侵檢測綜合性能更優(yōu)，驗證了經驗隨機確定BP神經網絡初始權值和閾值的不合理性，難以獲得理想的網絡入侵檢測結果，導致BP神經網絡的執(zhí)行時間明顯變長。

（2） 與GA?BP相比，ACO?BP的平均入侵檢測精度分別提高了一定的幅度，同時平均檢測時間分別下降了許多，這表明蟻群算法比遺傳算法的尋優(yōu)效果更佳，確定最合理的BP神經網絡初始權值和閾值，加快了網絡入侵檢測速度，驗證了本文模型的優(yōu)越性。endprint

4 結 語

優(yōu)異的入侵檢測結果是網絡能夠安全、正常工作的基礎，在神經網絡應用于入侵檢測過程中，其參數設置對入侵檢測結果產生重要的影響，同時對入侵檢測速度也會產生一定的作用。為了更好地保證網絡安全，針對神經網絡參數優(yōu)化問題，引入蟻群算法解決參數優(yōu)化難題，設計了一種基于蟻群算法選擇神經網絡參數的入侵檢測模型，利用KDD Cup 99數據進行性能測試。測試結果表明，該模型解決了神經網絡參數難以確定的問題，得到了性能更好的神經網絡，同時能夠更加準確地識別各種網絡入侵行為，可以過濾掉對網絡安全產生不利影響的入侵行為，使網絡系統(tǒng)可以在安全環(huán)境中運行。

參考文獻

[1] 卿斯?jié)h，蔣建春，馬恒太，等.入侵檢測技術研究綜述[J].通信學報，2004，25（7）：19?29.

[2] SUNG A H. Identifying important features for intrusion detection using support vector machines and neural networks [C]// Proceedings of 2003 IEEE Symposium on Application and the Internet. Orlando： IEEE， 2003： 209?217.

[3] QIAN Y， ZHANG H， SANG Y， et al. Multigranulation decision?theoretic rough sets [J]. International journal of approximate reasoning， 2014， 55（1）： 225?237.

[4] DENNING D E. An intrusion detection model [J]. IEEE transactions on software engineering， 2010， 13（2）： 222?232.

[5] 樊愛宛，時合生.基于特征選擇和SVM參數同步優(yōu)化的網絡入侵檢測[J].北京交通大學學報，2013，37（5）：58?61.

[6] 楊雅輝，黃海珍，沈晴霓，等.基于增量式GHSOM神經網絡模型的入侵檢測研究[J].計算機學報，2014，27（5）：1204?1211.

[7] 趙軍.基于CEGA?SVM的網絡入侵檢測算法[J].計算機工程，2009，35（23）：166?167.

[8] 趙夫群.基于混合核函數的LSSVM網絡入侵檢測方法[J].現代電子技術，2015，38（21）：96?99.

[9] 馬海峰，岳新，孫名松.基于神經網絡的分布式入侵檢測研究[J].計算機應用，2006，26（12）：63?65.

[10] 史長瓊，陳旭，唐賢瑛.基于融合免疫算法和RBF網絡的入侵檢測系統(tǒng)[J].計算機工程，2007，33（9）：160?162.

[11] KIM D S， NGUYEN H N， OHN S Y， et al. Fusions of GA and SVM for anomaly detection in intrusion detection system [C]// Proceedings of 2005 International Symposium on Advances in Neural Networks. Berlin： Springer Verlag， 2005： 415?420.

[12] 夏棟梁，劉玉坤，魯書喜.基于蟻群算法和改進SSO的混合網絡入侵檢測方法[J].重慶郵電大學學報（自然科學版），2016，28（3）：406?413.endprint