張夏

摘 要： 網(wǎng)絡(luò)入侵的頻率越來(lái)越高，嚴(yán)重危害了網(wǎng)絡(luò)安全。為了獲得高正確率的網(wǎng)絡(luò)入侵檢測(cè)結(jié)果，針對(duì)當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)模型的局限性，提出基于機(jī)器學(xué)習(xí)算法的網(wǎng)絡(luò)入侵檢測(cè)模型，通過(guò)機(jī)器學(xué)習(xí)算法中性能優(yōu)異的支持向量機(jī)構(gòu)建“一對(duì)一”的網(wǎng)絡(luò)入侵檢測(cè)分類器，采用當(dāng)前標(biāo)準(zhǔn)網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)庫(kù)對(duì)模型的有效性進(jìn)行驗(yàn)證，網(wǎng)絡(luò)入侵檢測(cè)正確率高達(dá)95%以上，檢測(cè)誤差遠(yuǎn)遠(yuǎn)低于實(shí)際應(yīng)用范圍，可以應(yīng)用于實(shí)際的網(wǎng)絡(luò)安全管理中。

關(guān)鍵詞： 網(wǎng)絡(luò)安全； 入侵行為； 機(jī)器學(xué)習(xí)算法； 入侵檢測(cè)； 分類器； 檢測(cè)誤差

中圖分類號(hào)： TN915.08?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2018）03?0124?04

Abstract： The frequent network intrusion endangers the network security seriously. In order to obtain the network intrusion detection results with high accuracy， a network intrusion detection model based on machine learning algorithm is proposed for the limitations of the current network intrusion detection model. The support vector machine of machine learning algorithm is used to construct the one?to?one network intrusion detection classifier. The standard network intrusion detection database is used to verify the effectiveness of the model with experiment. The network intrusion detection rate is higher than 95%， the detection error is far below the actual application range. The model can be applied to the practical network security management.

Keywords： network security； intrusion behavior； machine learning algorithm； intrusion detection； classifier； detection error

0 引 言

隨著網(wǎng)絡(luò)應(yīng)用的不斷推廣，網(wǎng)絡(luò)安全問(wèn)題受到了人們的高度關(guān)注。傳統(tǒng)網(wǎng)絡(luò)安全防范技術(shù)主要有數(shù)據(jù)加密、殺毒軟件等，這些都是被動(dòng)防范方式，無(wú)法抵擋外來(lái)的入侵行為，這樣網(wǎng)絡(luò)安全性就無(wú)法得到有效保護(hù)[1]。主動(dòng)網(wǎng)絡(luò)安全防范技術(shù)主要為入侵檢測(cè)，可以對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行實(shí)時(shí)檢測(cè)，發(fā)現(xiàn)一些非法的入侵行為，網(wǎng)絡(luò)入侵成為當(dāng)前研究的重點(diǎn)[2?3]。

當(dāng)前對(duì)網(wǎng)絡(luò)入侵檢測(cè)的研究已經(jīng)很深入，出現(xiàn)了許多性能較優(yōu)的網(wǎng)絡(luò)入侵檢測(cè)模型。當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)模型大致可以分為誤用檢測(cè)和異常檢測(cè)兩大類。誤用檢測(cè)是最原始的入侵檢測(cè)技術(shù)，其構(gòu)建一種網(wǎng)絡(luò)入侵檢測(cè)的數(shù)據(jù)庫(kù)，將待檢測(cè)行為與數(shù)據(jù)庫(kù)中的入侵行為進(jìn)行匹配，如果匹配就將其劃分到相應(yīng)的入侵類別中，反之就是正常行為[4?5]。在實(shí)際應(yīng)用中，誤用檢測(cè)模型只能檢測(cè)到已經(jīng)存在的入侵行為，無(wú)法檢測(cè)到一些新的入侵行為，因此，當(dāng)有新的入侵行為時(shí)，該模型就無(wú)能為力了，實(shí)際應(yīng)用價(jià)值較低[5]。相對(duì)于誤用檢測(cè)技術(shù)，異常檢測(cè)技術(shù)屬于模式識(shí)別，通過(guò)一定的規(guī)則對(duì)入侵行為進(jìn)行分析，可以檢測(cè)到一些新的、從來(lái)沒(méi)有出現(xiàn)過(guò)的入侵行為，實(shí)際應(yīng)用價(jià)值相對(duì)較高，成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域研究的一個(gè)重要方向[6?8]。在網(wǎng)絡(luò)入侵的異常檢測(cè)過(guò)程中，入侵行為的分類器選擇十分關(guān)鍵，當(dāng)前主要有神經(jīng)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)入侵行為分類器的構(gòu)建，而神經(jīng)網(wǎng)絡(luò)是一種基于大數(shù)據(jù)理論的建模方法，要求訓(xùn)練樣本足夠多，這就增加了網(wǎng)絡(luò)入侵檢測(cè)的成本，同時(shí)網(wǎng)絡(luò)入侵實(shí)際是一種小樣本，難以滿足大樣本的要求，因此，神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)結(jié)果不太穩(wěn)定，檢測(cè)正確率時(shí)高時(shí)低，檢測(cè)結(jié)果不太可信[9]。近年來(lái)，隨著機(jī)器學(xué)習(xí)理論研究的不斷深入，出現(xiàn)了一種新型建模技術(shù)——支持向量機(jī)，相對(duì)神經(jīng)網(wǎng)絡(luò)，支持向量機(jī)對(duì)訓(xùn)練樣本數(shù)量要求沒(méi)有那么高，而且學(xué)習(xí)性能也不比神經(jīng)網(wǎng)絡(luò)差，為此有學(xué)者將其引入到網(wǎng)絡(luò)入侵檢測(cè)的應(yīng)用中[10]。在基于支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)建模過(guò)程中，存在以下難題：支持向量機(jī)參數(shù)的確定，當(dāng)前對(duì)于參數(shù)確定問(wèn)題，有學(xué)者采用梯度下降算法、遺傳算法進(jìn)行尋優(yōu)得到，但是梯度下降算法的尋優(yōu)時(shí)間長(zhǎng)，影響網(wǎng)絡(luò)入侵檢測(cè)的效率；遺傳算法的遺傳算子設(shè)置沒(méi)有統(tǒng)一的理論指導(dǎo)，易獲得局部最優(yōu)的參數(shù)值，影響網(wǎng)絡(luò)入侵的檢測(cè)結(jié)果[11]。

為了獲得高正確率的網(wǎng)絡(luò)入侵檢測(cè)結(jié)果，針對(duì)當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)模型的局限性，提出基于蟻群算法確定支持向量機(jī)參數(shù)的網(wǎng)絡(luò)入侵檢測(cè)模型，通過(guò)機(jī)器學(xué)習(xí)算法——支持向量機(jī)構(gòu)建“一對(duì)多”的網(wǎng)絡(luò)入侵檢測(cè)分類器，采用蟻群算法確定最優(yōu)參數(shù)，采用當(dāng)前標(biāo)準(zhǔn)網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)庫(kù)對(duì)模型的有效性進(jìn)行測(cè)試，網(wǎng)絡(luò)入侵檢測(cè)正確率高達(dá)95%以上，檢測(cè)誤差遠(yuǎn)遠(yuǎn)低于實(shí)際應(yīng)用范圍。

1 相關(guān)理論

1.1 支持向量機(jī)

支持向量機(jī)是由Vapnik等提出的一種性能優(yōu)異、專門針對(duì)小樣本的機(jī)器學(xué)習(xí)算法，與神經(jīng)網(wǎng)絡(luò)的工作原理不同，其根據(jù)結(jié)構(gòu)風(fēng)險(xiǎn)最小化原理進(jìn)行建模，是一種二分類算法，通過(guò)找到一個(gè)最優(yōu)平面，將全部訓(xùn)練樣本劃分為兩類：一類位于平面上方；另一類位于平面下方。同時(shí)使樣本盡可能遠(yuǎn)離最優(yōu)平面，處于最優(yōu)平面上的樣本稱之為支持向量，其工作原理如圖1所示。endprint

對(duì)于含有個(gè)樣本的集合采用函數(shù)對(duì)樣本進(jìn)行映射，然后在映射空間進(jìn)行樣本的分類，則有：

要找到最優(yōu)分類平面，必須找到最優(yōu)與值，而對(duì)于式（1）進(jìn)行直接求解，得到最優(yōu)與值十分困難，為此基于結(jié)構(gòu)風(fēng)險(xiǎn)最小化原理，設(shè)置如下約束條件：

1.2 參數(shù)對(duì)網(wǎng)絡(luò)入侵檢測(cè)的影響分析

對(duì)支持向量機(jī)的工作原理進(jìn)行分析可以發(fā)現(xiàn)，參數(shù)和對(duì)其學(xué)習(xí)性能的影響十分重要。選擇一個(gè)訓(xùn)練樣本，分析不同參數(shù)條件下，網(wǎng)絡(luò)入侵檢測(cè)的正確率，結(jié)果如表1所示。對(duì)表1進(jìn)行分析可知，即使環(huán)境和數(shù)據(jù)均相同，不同參數(shù)的入侵檢測(cè)正確率差別仍然很大，因此需要選擇參數(shù)和的最優(yōu)值。

1.3 蟻群算法

蟻群算法是一種較常用的搜索優(yōu)化算法。蟻群在覓食過(guò)程中，在路徑上遺留下信息素，其他螞蟻通過(guò)信息素進(jìn)行爬行路徑識(shí)別，信息素濃度越高，螞蟻經(jīng)過(guò)該路徑的數(shù)量就越多，其他螞蟻選擇該條路徑的概率就越高，基本工作原理如圖2所示。

設(shè)螞蟻數(shù)為那么就可以得到如下計(jì)算公式：

式中表示節(jié)點(diǎn)上的螞蟻數(shù)。

在時(shí)刻，節(jié)點(diǎn)和的路徑殘留信息素濃度為：

式中為的信息素濃度。

蟻群算法的初始工作階段，螞蟻選擇下一個(gè)節(jié)點(diǎn)的轉(zhuǎn)移概率為：

式中：為節(jié)點(diǎn)轉(zhuǎn)移到的局部啟發(fā)信息；為未訪問(wèn)的節(jié)點(diǎn)集合；和為權(quán)重參數(shù)。

經(jīng)過(guò)一段時(shí)間后，蟻群完成一次路徑搜索，需要更新路徑上的信息素，具體為：

式中：為信息素的揮發(fā)度；為路徑上的信息素增量；為信息素之和，其表達(dá)式為：

式中：為常量；為本次循環(huán)的總時(shí)間。

2 網(wǎng)絡(luò)入侵模型的構(gòu)建

在網(wǎng)絡(luò)入侵檢測(cè)中，LSSVM參數(shù)優(yōu)化問(wèn)題可以采用下式進(jìn)行表示：

網(wǎng)絡(luò)入侵檢測(cè)的步驟如下：

Step1：對(duì)網(wǎng)絡(luò)狀態(tài)信息進(jìn)行收集，提取網(wǎng)絡(luò)入侵檢測(cè)的特征，并對(duì)特征進(jìn)行如下處理：

式中和分別為最大和最小值。

Step2：將支持向量機(jī)參數(shù)看作蟻群爬行的一條路徑，根據(jù)每一組參數(shù)對(duì)網(wǎng)絡(luò)入侵檢測(cè)訓(xùn)練樣本進(jìn)行建模，得到不同的檢測(cè)正確率。

Step3：通過(guò)蟻群的信息素更新操作和節(jié)點(diǎn)轉(zhuǎn)移，實(shí)現(xiàn)路徑爬行，最后通過(guò)路徑尋優(yōu)找到最優(yōu)的參數(shù)組合。

Step4：根據(jù)最優(yōu)的參數(shù)組合建立最優(yōu)的網(wǎng)絡(luò)入侵檢測(cè)模型。

由于支持向量機(jī)針對(duì)兩個(gè)類別的分類問(wèn)題，而網(wǎng)絡(luò)入侵行為有很多種類型，如：拒絕服務(wù)攻擊、未授權(quán)遠(yuǎn)程訪問(wèn)攻擊、端口掃描攻擊等。本文采用一種“一對(duì)一”的方式構(gòu)建多分類器，如圖3所示。

3 實(shí)驗(yàn)結(jié)果與分析

選擇省理工學(xué)院的KDD Cup的網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)集作為測(cè)試對(duì)象，包括4種網(wǎng)絡(luò)入侵行為：DoS，Probe，U2R和R2L。由于該數(shù)據(jù)集的規(guī)模十分龐大，為此，從中隨機(jī)選取10%的數(shù)據(jù)進(jìn)行具體實(shí)驗(yàn)。為了使本文模型（ACO?SVM）實(shí)驗(yàn)結(jié)果具有說(shuō)服力，采用BP神經(jīng)網(wǎng)絡(luò)（BPNN）、遺傳算法優(yōu)化SVM（GA?SVM）的網(wǎng)絡(luò)入侵檢測(cè)模型作為對(duì)比模型，采用如下指標(biāo)作為實(shí)驗(yàn)結(jié)果評(píng)價(jià)標(biāo)準(zhǔn)：

仿真實(shí)驗(yàn)結(jié)果如圖4所示。從圖4可知，在所有模型中，ACO?SVM的網(wǎng)絡(luò)入侵檢測(cè)正確率最高，其次為GA?SVM，網(wǎng)絡(luò)入侵檢測(cè)正確率最低者為BPNN，同時(shí)誤報(bào)率也最低，這表明ACO?SVM可以比較精確地實(shí)現(xiàn)網(wǎng)絡(luò)入侵行為的識(shí)別，獲得比較理想的檢測(cè)結(jié)果。同時(shí)從圖4b）可以看出，ACO?SVM網(wǎng)絡(luò)入侵檢測(cè)用時(shí)最少，可以滿足網(wǎng)絡(luò)入侵檢測(cè)的效率要求，網(wǎng)絡(luò)入侵檢測(cè)結(jié)果的優(yōu)越性十分明顯。

4 結(jié) 語(yǔ)

網(wǎng)絡(luò)入侵檢測(cè)的建模是一種重要網(wǎng)絡(luò)安全防范技術(shù)，當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)模型無(wú)法準(zhǔn)確刻畫(huà)入侵行為，導(dǎo)致網(wǎng)絡(luò)入侵檢測(cè)不理想，為此設(shè)計(jì)了基于機(jī)器學(xué)習(xí)算法的網(wǎng)絡(luò)入侵檢測(cè)模型，通過(guò)支持向量機(jī)對(duì)網(wǎng)絡(luò)入侵檢測(cè)特征和網(wǎng)絡(luò)入侵行為之間的映射關(guān)系進(jìn)行擬合，建立反應(yīng)兩者關(guān)系的網(wǎng)絡(luò)入侵檢測(cè)模型。實(shí)驗(yàn)結(jié)果表明，該模型不僅可以精確地對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行識(shí)別，而且檢測(cè)的速度相當(dāng)快，獲得了比其他模型更優(yōu)的網(wǎng)絡(luò)入侵檢測(cè)結(jié)果，具有廣泛的應(yīng)用前景。

參考文獻(xiàn)

[1] DENNING D E. An intrusion detection model [J]. IEEE transactions on software engineering， 2010， 13（2）： 222?232.

[2] SUNG A H. Identify important features for intrusion detection using support vector machines and neural networks [C]// Proceedings of 2003 IEEE Symposium on Application and the Internet. Orlando： IEEE， 2013： 209?217.

[3] 李響.基于經(jīng)驗(yàn)?zāi)B(tài)分解的局域網(wǎng)絡(luò)入侵檢測(cè)算法[J].西南師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2016，41（8）：132?137.

LI Xiang. Local network intrusion detection algorithm based on empirical mode decomposition [J]. Journal of Southwestern Normal University （natural science edition）， 2016， 41（8）： 132?137.

[4] 沈夏炯，王龍，韓道軍.人工蜂群優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)工程，2016，42（2）：190?194.

SHEN Xiajiong， WANG Long， HAN Daojun. BP neural network artificial bee colony optimization in the application of intrusion detection [J]. Computer engineering， 2016， 42（2）： 190?194.endprint

[5] 魏旻，王一帆，李玉，等.基于WIA?PA網(wǎng)絡(luò)的周界入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2013，25（2）：148?153.

WEI Min， WANG Yifan， LI Yu， et al. WIA?PA network based perimeter intrusion detection system design and implementation [J]. Journal of Chongqing University of Post and Telecommunications （natural science edition）， 2013， 25（2）： 148?153.

[6] VILAPLANA V， MARQUES F， SALEMBIER P. Binary partition trees for object detection [J]. IEEE transactions on image processing， 2010， 17（11）： 2201?2216.

[7] HONG J， SU M Y， CHEN Y H， et a1. A novel intrusion detection system based on hierarchical clustering and support vector machines [J]. Expert systems with applications， 2011（38）： 306?313.

[8] MUNI D P， PAL N R， DAS J. Genetic programming for simultaneous feature selection and classifier design [J]. IEEE transactions on systems， man， and cybernetics： part B， 2009， 36（1）： 106?117.

[9] KENNEDY J， EBERHART R C. Particle swarm optimization [C]// Proceedings of 2005 IEEE International Conference on Neural Networks. Perth： IEEE， 2005： 1942?1948.

[10] 楊宏宇，趙明瑞，謝麗霞.基于自適應(yīng)進(jìn)化神經(jīng)網(wǎng)絡(luò)算法的入侵檢測(cè)[J].計(jì)算機(jī)工程與科學(xué)，2014，36（8）：1469?1475.

YANG Hongyu， ZHAO Mingrui， XIE Lixia. Intrusion detection based on adaptive evolutionary neural network algorithm [J]. Computer engineering and science， 2014， 36（8）： 1469?1475.

[11] 江峰，王春平，晉惠芬.基于相對(duì)決策熵的決策樹(shù)算法及其在入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)科學(xué)，2012，39（4）：223?226.

JIANG Feng， WANG Chunping， JIN Huifen. Decision tree algorithm based on relative decision entropy and its application in intrusion detection [J]. Computer science， 2012， 39（4）： 223?226.

[12] 龔儉，王卓然，蘇琪，等.面向網(wǎng)絡(luò)安全事件的入侵檢測(cè)與取證分析[J].華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2016，44（11）：30?33.

GONG Jian， WANG Zhuoran， SU Qi， et al. Intrusion detection and forensics analysis for network security incidents [J]. Journal of Huazhong University of Science and Technology （natural science edition）， 2016， 44（11）： 30?33.endprint