劉 靜，楊正校

?

改進(jìn)ACO-SVM在網(wǎng)絡(luò)入侵檢測中的應(yīng)用

劉 靜，楊正校

（蘇州健雄職業(yè)技術(shù)學(xué)院 軟件與服務(wù)外包學(xué)院，江蘇 太倉 215411）

為了提高網(wǎng)絡(luò)入侵檢測正確率，降低特征冗余，提出一種蟻群優(yōu)化與支持向量機(jī)相結(jié)合的入侵檢測方法（ACO-SVM）。利用支持向量機(jī)的分類精度和特征子集維數(shù)加權(quán)構(gòu)造綜合適應(yīng)度指標(biāo)，利用蟻群算法的全局尋優(yōu)和多次優(yōu)解搜索能力實(shí)現(xiàn)特征子集搜索，并設(shè)計(jì)了局部細(xì)化搜索方式，實(shí)現(xiàn)特征選擇結(jié)果降維，提高算法的收斂性。

特征選擇；蟻群優(yōu)化算法；支持向量機(jī)；網(wǎng)絡(luò)入侵檢測

0 引言

隨著網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)攻擊方式多樣化，攻擊數(shù)量及其危害程度日益嚴(yán)重，網(wǎng)絡(luò)入侵檢測作為一種安全防御技術(shù)顯得越來越重要[1]。

網(wǎng)絡(luò)入侵檢測實(shí)質(zhì)是一個(gè)多模式識(shí)別問題，包含大量冗余信息和噪聲特征，如果不加篩選直接使用，會(huì)削弱分類器的性能，降低檢測速度；由于入侵特征數(shù)與檢測算法不存在線性關(guān)系，當(dāng)特征數(shù)量超過限度時(shí)，檢測算法性能變壞[2]。因此如何選擇網(wǎng)絡(luò)入侵關(guān)鍵特征，消除冗余，降低入侵檢測模型的輸入特征維度，成為網(wǎng)絡(luò)入侵檢測建模的關(guān)鍵[3]。目前針對特征選擇提出許多有效網(wǎng)絡(luò)入侵檢測算法，主要基于組合搜索策略的設(shè)計(jì)，其中遺傳算法是一種基于仿生學(xué)原理的群智能算法，因其設(shè)置靈活，全局尋優(yōu)能力強(qiáng)，成為主流特征選擇算法[4]。蟻群優(yōu)化算法[5,6]在降低特征冗余方面也有一定的優(yōu)勢。大量研究表明，在實(shí)際應(yīng)用中遺傳算法能夠有效地提取關(guān)鍵特征，但對關(guān)聯(lián)比較強(qiáng)的多組特征時(shí)。其難以獲得穩(wěn)定的特征尋優(yōu)結(jié)果，且對樣本較敏感[7]。除了特征選擇外，支持向量機(jī)[8,9]（Support Vector Machine，SVM）因其泛化能力強(qiáng)，成為網(wǎng)絡(luò)檢測的主要算法。

為了提高網(wǎng)絡(luò)入侵檢測效果，針對特征選擇問題，本文提出一種蟻群優(yōu)化算法（Ant Colony Optimi-zation，ACO）和支持向量機(jī)相結(jié)合的入侵檢測方法（ACO-SVM），并對算法進(jìn)行仿真測試。

1 入侵檢測算法框架

蟻群優(yōu)化與支持向量機(jī)相結(jié)合的入侵檢測方法采用wrapper特征選擇模型，使用基于SVM的5-fold進(jìn)行全局搜索并交叉驗(yàn)證，得到最優(yōu)特征集；根據(jù)SVM分類器進(jìn)行特征集分類判斷并更新，得到最佳分類結(jié)果特征集進(jìn)行入侵檢測，如圖1所示。

圖1 入侵檢測算法框架

2 網(wǎng)絡(luò)入侵檢測算法設(shè)計(jì)

2.1 ACO算法

ACO算法是一種模擬螞蟻覓食的過程中信息如何交流與協(xié)作的集體智能算法，具有全局搜索能力強(qiáng)、分布式計(jì)算的優(yōu)點(diǎn)，得到了廣泛應(yīng)用，具有較好的效果。在進(jìn)行網(wǎng)絡(luò)入侵檢測特征選擇時(shí)，將入侵檢測特征作為蟻群信息交換點(diǎn)，特征優(yōu)化問題則轉(zhuǎn)化為如何進(jìn)行最優(yōu)路徑選擇。

2.2 適應(yīng)度函數(shù)

網(wǎng)絡(luò)入侵特征選擇中，特征子集優(yōu)劣一般通過適應(yīng)函數(shù)來評價(jià)[10]，因此適應(yīng)度函數(shù)建立是一個(gè)十分重要環(huán)節(jié)。支持向量機(jī)（SVM）是最近發(fā)展起來的一種新的機(jī)器學(xué)習(xí)技術(shù)，具有先進(jìn)完備的理論體系和更好的泛化能力，因此本研究選擇支持向量機(jī)構(gòu)建網(wǎng)絡(luò)入侵檢測分類器，并檢測正確率[11]。入侵特征選擇目標(biāo)分為兩方面：選擇特征子集提高正確率、降低特征維度。因此對于特征子集s來講，其適應(yīng)度函數(shù)如公式1：

其中為的維數(shù)；為候選特征集的維數(shù)；Perror為分類錯(cuò)誤率。

錯(cuò)誤率權(quán)重系數(shù)如公式2：

其中，表示特征維度加1后入侵檢錯(cuò)誤率減少的百分?jǐn)?shù)。

2.3 螞蟻狀態(tài)轉(zhuǎn)移概率

螞蟻算法對特征進(jìn)行搜索時(shí)，轉(zhuǎn)移概率決定了蟻群的前進(jìn)方向，從特征i轉(zhuǎn)移到特征j的概率為式（3）：

式中，0為權(quán)值初值，為迭代次數(shù)，N為最大循環(huán)次數(shù)。

由于是動(dòng)態(tài)變化，在算法運(yùn)行初期，可以加快螞蟻搜索效率，在運(yùn)行后期，能夠加快算法的收斂速度。

2.4 局部細(xì)化搜索

假設(shè)螞蟻經(jīng)過次重要特征搜索，得到了k個(gè)特征，為了減少冗余，最優(yōu)子集u需要滿足：

S為修正當(dāng)前特征集。

2.5 更新信息素

完成一輪搜索后，螞蟻（編號）均需更新路徑信息濃度，方式如下：

式中，為增長濃度，(s)為適應(yīng)度值；為殘留因子。對于適應(yīng)度函數(shù)越小的特征子集，信息素濃度越大。為強(qiáng)化最優(yōu)路徑影響，可附加激勵(lì)：

式中，(s)為最優(yōu)特征子集的適應(yīng)度函數(shù)。

2.6 搜索終止條件

螞蟻搜索終止條件設(shè)定為：連續(xù)3次增加特征，()沒有發(fā)生太大改變，即終止。

2.7 網(wǎng)絡(luò)入侵檢測器的設(shè)計(jì)

式中，為超平面法向量，為超平面偏移向量。

二次優(yōu)化，即：

約束條件為：

對于大樣本的分類問題，SVM學(xué)習(xí)速度慢，通過引入Lagrange乘子將SVM分類問題轉(zhuǎn)化對偶問題來解決得到SVM決策函數(shù)：

由于RBF只需確定核函數(shù)寬度參數(shù)，這樣有利于參數(shù)優(yōu)化，因此，RBF核函數(shù)定義如下：

網(wǎng)絡(luò)入侵檢測是一種多分類問題，因此必須通過組合策略構(gòu)建網(wǎng)絡(luò)入侵檢測器。本文采用有向無環(huán)圖將兩分類的SVM組合在一起，構(gòu)造網(wǎng)絡(luò)入侵檢測器，具體構(gòu)造如圖2所示。

3 仿真實(shí)驗(yàn)

3.1 特征數(shù)據(jù)來源

模擬異常檢測數(shù)據(jù)集分為四類：掃描與探Probe、拒絕服務(wù)攻擊DoS、對本地超級用戶的非法訪問U2R、未經(jīng)授權(quán)的遠(yuǎn)程訪問R2L。一個(gè)連接記錄為一個(gè)完整會(huì)話，每條記錄共有41個(gè)屬性（9個(gè)離散、32個(gè)連續(xù)）。訓(xùn)練集、測試集的比例為4∶1。

3.2 特征對網(wǎng)絡(luò)入侵檢測性能影響

為了測試不同特征子集對網(wǎng)絡(luò)入侵檢測性能的影響，采采用未進(jìn)行特征選擇的SVM模型（SVM），只采用遺傳算法進(jìn)行特征選擇的SVM模型（GA- SVM）作為對比模型用支持向量機(jī)建立的網(wǎng)絡(luò)入侵檢測模型，各種模型在各個(gè)數(shù)據(jù)集上運(yùn)行10次所得結(jié)果的平均網(wǎng)絡(luò)入侵檢測正確率（%）如圖3所示。

從圖3可知，相對于傳統(tǒng)SVM，特征選擇模型（GA-SVM、ACO-SVM）的檢測正確率都得到了提高，有效消除冗余特征。改進(jìn)ACO-SVM的入侵檢測的正確率略高于GA-SVM，說明采用ACO對特征進(jìn)行選擇降，能夠找到更優(yōu)的特征子集。

圖3 不同模型性能比較

4 結(jié)束語

針對網(wǎng)絡(luò)入侵檢測中的特征集建立與降維問題，提出一種改進(jìn)蟻群優(yōu)化與支持向量機(jī)相融合的入侵檢測算法ACO-SVM。仿真結(jié)果表明，該算法能進(jìn)行選擇性降維，通過局部細(xì)化搜索，更新信息素，優(yōu)化核函數(shù)參數(shù)，提高了算法整體收斂性。

[1] Yu L, Liu H. Efficient Feature Selection via Analysis of Relevance and Redundancy[J]. Journal of Machine Learning Research, 2004(5): 1205-1224.

[2] Denning D. E. An Intrusion Detection Model[J]. IEEE Transaction on Software Engineering, 2010, 13(2): 222-232.

[3] Cheng-Lung Huang, Chieh-Jen Wang. A GA-based feature selection and parameters optimization for support vector machines[J]. Expert Systems with Applications, August 2009, 31(2): 231-240.

[4] Durga Prasad Muni, Nikhil R Pal, Jyotirmoy Das. Genetic programming for simultaneous feature selection and class-ifier design[J]. IEEE Transactions on Systems, Man, and Cybernetics- Part B, February, 2009 36(1): 106-117.

[5] 沙娓娓, 劉增力. 基于改進(jìn)蟻群算法的無線傳感器網(wǎng)絡(luò)的路由優(yōu)化[J]. 軟件，2018, 39(1): 01-04.

[6] 楊蘇影, 陳世平. 基于包簇框架平衡蟻群算法的資源分配策略[J]. 軟件，2018, 39(6): 04-08.

[7] Kennedy J, Eberhart R C. Particle swarm optimization[C]. Proc of IEEE International Conference on Neural Networks, USA: IEEE Press, 2005: 1942-1948.

[8] 聶敬云, 李春青, 李威威等. 關(guān)于遺傳算法優(yōu)化的最小二乘支持向量機(jī)在MBR 仿真預(yù)測中的研究[J]. 軟件，2015, 36(5): 40-44.

[9] 徐朝輝, 施叢叢, 呂超賢等. 基于結(jié)構(gòu)化支持向量機(jī)的泄洪聯(lián)動(dòng)設(shè)計(jì)[J]. 軟件, 2015, 36(9): 62-65

[10] 趙宏, 郭萬鵬. 深度神經(jīng)網(wǎng)絡(luò)代價(jià)函數(shù)選擇與性能評測研究[J]. 軟件, 2018, 39(1): 14-20.

[11] Montemanni R, Smith DH, Gambardella LM. Ant colony systems for large sequential ordering problems[C]. Pro-ceedings of the 2007 IEEE Swarm Intelligence Symposium, 2007: 478-482.

[12] Tu Yaping, Liu Ping, Xie Baoling, et al. Improvement for parameters of ant algorithm [J]. Journal of Chinese Computer Systems, 2010, 28(11): 1985-1987.

Improved ACO-SVM for Network Intrusion Detection

LIU Jing, YANG Zheng-xiao

(Software and service outsourcing Institute, Suzhou Chien-Shiung Institue of Technology, Taicang 215411, China)

In order to improve the detection accuracy network intrusion detection, this paper proposes a novel network intrusion detection method, namely the ACO-SVM which is based ant colony optimization algorithm and support vector machine to cope with feature selection issue for network intrusion detection. The classification accuracy of support vector machine and the selected feature dimension form the fitness function, and the ant colony optimization algorithm provides good global searching capability and multiple sub-optimal solutions, and a local refinement searching scheme is designed to exclude the redundant features and improves the convergence rate. The experimental results show that the proposed method has reduced features dimensionality greatly and improve the detection accuracy of network intrusion.

Feature selection; Ant colony optimization algorithm; Support vector machine; Network intrusion detection

TP181

A

10.3969/j.issn.1003-6970.2018.10.012

2018年江蘇省“青藍(lán)工程”項(xiàng)目資助；2018年江蘇省333高層次人才培養(yǎng)工程項(xiàng)目；2017年太倉市科技局科技計(jì)劃項(xiàng)目基礎(chǔ)研究計(jì)劃《基于攻擊原型建模的工業(yè)控制網(wǎng)絡(luò)安全技術(shù)研究》

劉靜(1979-)，女，碩士，副教授，主要研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全技術(shù)等；楊正校(1963-)，男，碩士，教授，主要研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全技術(shù)、軟件算法等。

劉靜，楊正校. 改進(jìn)ACO-SVM在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J]. 軟件，2018，39（10）：57-59