李治國(guó)

（91550部隊(duì)遼寧大連116023）

隨著科技的進(jìn)步和互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)逐漸成為社會(huì)基礎(chǔ)設(shè)施建設(shè)中不可或缺的重要組成部分，使人們的生產(chǎn)生活更加便捷[1-2]。然而，網(wǎng)絡(luò)的開(kāi)放性和脆弱性也意味著網(wǎng)絡(luò)不可避免地存在漏洞及安全隱患。一旦惡意攻擊者利用這些漏洞發(fā)動(dòng)網(wǎng)絡(luò)攻擊或入侵，就有可能使國(guó)家和個(gè)人蒙受信息泄露、數(shù)據(jù)篡改等嚴(yán)重后果[3-5]。因此，在網(wǎng)絡(luò)入侵類(lèi)型和方法發(fā)展日益多樣化的當(dāng)下，如何有效提升入侵檢測(cè)效果，防止網(wǎng)絡(luò)入侵的發(fā)生，是應(yīng)時(shí)刻關(guān)注的問(wèn)題。

網(wǎng)絡(luò)入侵檢測(cè)過(guò)程中，如何對(duì)特征及其最優(yōu)子集進(jìn)行選擇將對(duì)入侵檢測(cè)效果產(chǎn)生較大的影響。網(wǎng)絡(luò)入侵檢測(cè)相關(guān)的特征選擇算法中，按照原理不同可分為兩類(lèi)：窮舉搜索算法和群智能優(yōu)化算法[6-8]。前者由于復(fù)雜程度大，故所需的計(jì)算量較大且耗時(shí)久，無(wú)法滿足實(shí)時(shí)檢測(cè)的要求；而后者算法中的粒子群算法雖具有優(yōu)異的性能，但其極易進(jìn)入局部極值的缺陷難以克服。因此，也難以直接應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)之中[9]。目前，基于粒子群算法提出的協(xié)同量子粒子群CQPSO算法通過(guò)引入量子行為的改進(jìn)，有效改善了上述問(wèn)題，并使粒子群算法具備較強(qiáng)的魯棒性和可操作性，為特征選擇算法的使用提供了新的選擇[10]。

此外，如何構(gòu)建合理有效的分類(lèi)器也將直接影響網(wǎng)絡(luò)入侵的檢測(cè)效果。目前，構(gòu)建的分類(lèi)器主要有支持向量機(jī)SVM、神經(jīng)網(wǎng)絡(luò)、最小二乘支持向量機(jī)LSSVM等[11-12]。其中，神經(jīng)網(wǎng)絡(luò)需要大量的樣本，若樣本數(shù)不達(dá)標(biāo)，則其檢測(cè)效果較差。因此，其應(yīng)用具有局限性；支持向量機(jī)具有優(yōu)秀的性能表現(xiàn)，但其訓(xùn)練過(guò)程的效率較低，故不能應(yīng)用于實(shí)時(shí)性要求較高的領(lǐng)域（如軍事安全等），應(yīng)用局限性較大[13]；至于LLSVM，則對(duì)上述兩種分類(lèi)器的優(yōu)點(diǎn)進(jìn)行了有效綜合，其具有較快的訓(xùn)練速度和較強(qiáng)的泛化能力，作為分類(lèi)器具有一定的應(yīng)用潛力[14]。

因此，為了提高網(wǎng)絡(luò)入侵的檢測(cè)效果，在最大程度上防止網(wǎng)絡(luò)入侵行為的發(fā)生。本文將協(xié)同量子粒子群CQPSO算法以及最小二乘支持向量機(jī)LSSVM進(jìn)行了有機(jī)結(jié)合，建立了CQPSO-LSSVM網(wǎng)絡(luò)入侵檢測(cè)模型。經(jīng)過(guò)仿真測(cè)試實(shí)驗(yàn)，該模型運(yùn)行良好，能對(duì)網(wǎng)絡(luò)入侵進(jìn)行有效檢測(cè)，且滿足了設(shè)計(jì)要求，具有一定的應(yīng)用價(jià)值。

1　CQPSO-LSSVM入侵檢測(cè)原理

文中CQPSO-LSSVM模型的檢測(cè)原理，如下圖1所示。具體描述為：首先預(yù)處理采集到的網(wǎng)絡(luò)數(shù)據(jù)，之后利用CQPSO算法和LSSVM對(duì)特征子集與入侵檢測(cè)分類(lèi)器進(jìn)行選擇、構(gòu)建。

圖1　本文CQPSO-LSSVM入侵檢測(cè)模型工作流程

2　CQPSO算法分析

2.1　QPSO算法

假設(shè)某粒子群含有N個(gè)個(gè)體，其第i個(gè)粒子所處的位置Xi和速度Vi，可分別描述為Xi=（xi1,xi2,…,xiD）和Vi=（vi1,vi2,…,viD）；個(gè)體與粒子群的歷史最優(yōu)位置，可分別描述為Pi=（pi1,pi2,…,piD）和Pg=（pg1,pg2,…,pgD）。因此，粒子群優(yōu)化PSO算法的相應(yīng)粒子更新策略可表述為

其中，c1（c2）代表的是學(xué)習(xí)因子；r1（r2）代表的是隨機(jī)數(shù)；t和ω分別代表的是迭代次數(shù)及慣性權(quán)重。

為了有效提升PSO算法的檢測(cè)性能和效果，引入量子行為改進(jìn)，改進(jìn)后的量子粒子群QPSO算法的應(yīng)用條件為

鑒于量子粒子沒(méi)有速度向量卻存在空間飛行行為，記量子粒子的狀態(tài)為Φ。對(duì)其薛定諤方程進(jìn)行求解，并對(duì)其的概率分布進(jìn)行計(jì)算

其中，L表示的是δ勢(shì)阱對(duì)應(yīng)的特征長(zhǎng)度。

借助蒙特卡洛模擬法對(duì)粒子的位置進(jìn)行更新

其中，u代表的是隨機(jī)數(shù)（u∈（0，1））。

mbest的相應(yīng)計(jì)算公式可描述為

因此，mbest和xij之間的距離可表示為

式中的β表示的是收縮擴(kuò)張系數(shù)。將各變量與式（4）聯(lián)立，得到最終的粒子更新公式為

2.2　協(xié)同搜索策略

協(xié)同搜索策略的核心為協(xié)同進(jìn)化，即在問(wèn)題解空間內(nèi)，將種群進(jìn)行合理有效地劃分，從而避免單一種群搜索策略的使用。最終使種群在多次迭代后，不會(huì)出現(xiàn)早熟問(wèn)題（多樣性下降導(dǎo)致）。本文為了使子群之間能夠及時(shí)進(jìn)行信息共享，創(chuàng)建了相應(yīng)的種群基因庫(kù)[15-16]。

2.3　粒子的學(xué)習(xí)行為

為了有效增強(qiáng)粒子群的搜索能力，文中將式（2）進(jìn)行改進(jìn)，讓粒子在進(jìn)化中可實(shí)現(xiàn)互相學(xué)習(xí)

上式中的lrand代表的是隨機(jī)數(shù)（lrand∈（0，1）），s表示了其他子群；k則表示了s子群下的某一粒子的序號(hào)，lc則代表的是學(xué)習(xí)概率參數(shù)。

此外，需要對(duì)各子群中粒子的lc采取一定的策略，以實(shí)現(xiàn)種群搜索能力及粒子發(fā)展的最終平衡：

其中，lcMAX（lcMIN）代表的是學(xué)習(xí)參數(shù)的最大值（最小值），α則表示的是某比0大的常數(shù)。

至此，將上述搜索策略與QPSO算法（具有學(xué)習(xí)行為）相結(jié)合，即可得到本文網(wǎng)絡(luò)入侵檢測(cè)模型的核心算法——協(xié)同量子粒子群（CQPSO）算法。

文中選用3種測(cè)試函數(shù)（屬于標(biāo)準(zhǔn)的Benchmark函數(shù)）對(duì)CQPSO算法性能進(jìn)行檢測(cè)和驗(yàn)證，分別為

對(duì)比實(shí)驗(yàn)的算法選用的QPSO算法，將子群規(guī)模設(shè)置為4，粒子群設(shè)置為18，β設(shè)置為由1.0向0.4的線性下降。相關(guān)的測(cè)試結(jié)果，可見(jiàn)圖2所示。有圖易知，在確保相同收斂精度的情況下，本文算法相較于QPSO算法具有更快的收斂速度，且性能、穩(wěn)定性與可靠性更優(yōu)。

3　CQPSO-LSSVM入侵檢測(cè)具體步驟和分析

1）對(duì)網(wǎng)絡(luò)狀態(tài)信息進(jìn)行采集，經(jīng)預(yù)處理后得到對(duì)應(yīng)的特征向量。

2）對(duì)N個(gè)粒子的初始當(dāng)前位置Xi進(jìn)行隨機(jī)生成，并對(duì)適應(yīng)值f（Xi）進(jìn)行計(jì)算，取個(gè)體最優(yōu)pi=Xi。

3）劃分粒子群（s個(gè)），并通過(guò)計(jì)算，獲得各子群內(nèi)適應(yīng)值最優(yōu)所對(duì)應(yīng)的粒子序號(hào)得到各子群所對(duì)應(yīng)的最優(yōu)解以基因比例Rgene為依據(jù)，將適應(yīng)值最優(yōu)的各子群中的粒子挑選出來(lái)，建立相應(yīng)的種群基因庫(kù)。

圖2　算法性能對(duì)比結(jié)果

4）對(duì)βt和βti（i∈[1,s]）進(jìn)行計(jì)算，并在各子群中計(jì)算lc以確定qi，之后對(duì)粒子的位置進(jìn)行更新。

5）對(duì)各粒子的適應(yīng)值、各子群和種群的最優(yōu)解（pi、pg和pgpop）進(jìn)行更新。

6）若此時(shí)已達(dá)到進(jìn)化周期，則對(duì)種群基因庫(kù)進(jìn)行更新。并以死亡比例Rdead為依據(jù)，對(duì)劣質(zhì)粒子進(jìn)行替換。

7）跳轉(zhuǎn)至步驟4），在完成迭代前對(duì)上述步驟不斷重復(fù)。

8）求解pgpop，獲得最優(yōu)特征子集，并以此確定本文的入侵檢測(cè)模型。

4　仿真測(cè)試實(shí)驗(yàn)

文中仿真測(cè)試實(shí)驗(yàn)的硬件平臺(tái)（Windows 7電腦）配置為：Inter Core i7-4790（3.60 GHz）處理器，16 G DDR4內(nèi)存，1 T機(jī)械硬盤(pán)。仿真測(cè)試實(shí)驗(yàn)基于VC++語(yǔ)言，仿真對(duì)象使用的是KDD CUP 99數(shù)據(jù)集（各條記錄具備41個(gè)特征，見(jiàn)表1所示），該數(shù)據(jù)集的樣本數(shù)據(jù)，可見(jiàn)表2所示。

表1　本文所用KDD CUP 99數(shù)據(jù)集中各條記錄的特征

表2　仿真測(cè)試實(shí)驗(yàn)樣本數(shù)據(jù)

為了驗(yàn)證本文建立的CQPSO-LSSVM網(wǎng)絡(luò)入侵檢測(cè)模型的性能，文中以漏報(bào)率、誤報(bào)率、檢測(cè)率和運(yùn)行速度作為考察指標(biāo)，并與PSO-LSSVM、QPSOLSSVM模型的入侵檢測(cè)效果進(jìn)行了對(duì)比。由于網(wǎng)絡(luò)入侵變化范圍較大、特征較多，故在測(cè)試前先對(duì)特征值執(zhí)行預(yù)處理操作，以提高入侵檢測(cè)的效果。

其中，xi和分別代表的是預(yù)處理前、后的特征值；max（xi）則代表的是各xi特征值中的最大值。

最終的測(cè)試結(jié)果（漏報(bào)率、誤報(bào)率、檢測(cè)率以及運(yùn)行速度），可見(jiàn)圖3～5所示。

圖3　各模型在誤報(bào)率指標(biāo)上的對(duì)比結(jié)果

圖4　各模型在誤報(bào)率指標(biāo)上的對(duì)比結(jié)果

1）從總體趨勢(shì)來(lái)看，QPSO-LSSVM網(wǎng)絡(luò)入侵檢測(cè)模型的檢測(cè)效果比PSO-LSSVM模型好。其具有更低的漏報(bào)率和誤報(bào)率，更高的檢測(cè)率以及更快的運(yùn)行速度。經(jīng)過(guò)分析認(rèn)為改進(jìn)量子行為的QPSOLSSVM具有相對(duì)更優(yōu)的特征子集，對(duì)網(wǎng)絡(luò)入侵檢測(cè)效果的提高起到了關(guān)鍵作用。

2）本文的CQPSO-LSSVM網(wǎng)絡(luò)入侵檢測(cè)模型相較于其他兩類(lèi)模型具有更優(yōu)的入侵檢測(cè)結(jié)果，表現(xiàn)為最低的漏報(bào)率和誤報(bào)率，最高的檢測(cè)率以及最短的運(yùn)行時(shí)間，從而反映出較好的檢測(cè)性能。經(jīng)過(guò)分析認(rèn)為融入?yún)f(xié)同策略能有效改善QPSO算法陷入局部極值的缺陷，進(jìn)而提高算法的收斂速度，并提供更好的入侵檢測(cè)效果，滿足目前網(wǎng)絡(luò)入侵檢測(cè)的實(shí)時(shí)性要求。

圖5　各模型在檢測(cè)率指標(biāo)上的對(duì)比結(jié)果

圖6　各模型在運(yùn)行速度指標(biāo)上的對(duì)比結(jié)果

5　結(jié)束語(yǔ)

為了有效提升網(wǎng)絡(luò)入侵的檢測(cè)率和檢測(cè)速度，盡可能地預(yù)防網(wǎng)絡(luò)入侵行為的發(fā)生，本文基于協(xié)同量子粒子群CQPSO算法以及最小二乘支持向量機(jī)LSSVM，建立了CQPSO-LSSVM網(wǎng)絡(luò)入侵檢測(cè)模型。該模型利用CQPSO算法對(duì)網(wǎng)絡(luò)入侵的相關(guān)特征進(jìn)行選擇，從而減少后續(xù)LSSVM所需處理的輸入特征給數(shù)，有效降低計(jì)算量。經(jīng)過(guò)仿真測(cè)試實(shí)驗(yàn)，該模型檢測(cè)效果良好，具有較高的檢測(cè)率、較低的誤報(bào)率和漏報(bào)率，且檢測(cè)速率較快，能夠滿足網(wǎng)絡(luò)入侵檢測(cè)的實(shí)時(shí)性與準(zhǔn)確性的要求。