姜濱

關(guān)鍵詞： 網(wǎng)絡(luò)入侵; 檢測(cè)模型; 特征選擇; 分類器設(shè)計(jì); 主成分分析; 網(wǎng)絡(luò)安全

中圖分類號(hào)： TN915.08?34 ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)： 1004?373X（2019）01?0087?04

Abstract： The intrusion detection acts as one of the most important ways to ensure the network security. Since the current network intrusion detection model can′t get the desired effect of network intrusion detection， a network intrusion detection model based on feature selection was designed. The research status of the network intrusion detection is analyzed， and then the deficiency of current network intrusion detection model is pointed out. The network state information is acquired. The original network characteristics are extracted， and then the principal component analysis is used to select the important characteristics. The extreme learning machine is introduced to establish the classifier of network intrusion detection. The KDD CUP99 dataset is adopted to analyze the model. The analysis results show that the method can improve the network intrusion detection rate greatly， and has low false detection rate and misdetection rate for network intrusion detection， and the overall detection effect of the network intrusion detection model is superior to other network intrusion detection models.

Keywords： network intrusion; detection model; feature selection; classifier design; principal component analysis; network security

0 ?引 ?言

隨著通信技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)進(jìn)入了千家萬(wàn)戶，網(wǎng)絡(luò)給人們的生活帶來(lái)了便利，但是由于網(wǎng)絡(luò)自身安全漏洞出現(xiàn)了網(wǎng)絡(luò)安全問(wèn)題[1?2]。最常用的網(wǎng)絡(luò)安全保護(hù)措施為防火墻、數(shù)據(jù)加密、身份認(rèn)證，它們是一種被動(dòng)防御技術(shù)，無(wú)法抵御外來(lái)的非法入侵，這樣難以保障網(wǎng)絡(luò)安全。入侵檢測(cè)系統(tǒng)是一種主動(dòng)防御技術(shù)，屬于網(wǎng)絡(luò)安全的第二道防線，可以對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行有效識(shí)別，因此網(wǎng)絡(luò)入侵檢測(cè)的研究成為一個(gè)熱點(diǎn)[3]。

許多研究人員投入了大量的時(shí)間和精力對(duì)網(wǎng)絡(luò)入侵問(wèn)題進(jìn)行探索和分析，提出了大量的網(wǎng)絡(luò)入侵檢測(cè)模型。當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)模型劃分為定性模型和定量模型兩類，定性模型主要通過(guò)專家系統(tǒng)進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)，專家根據(jù)一些規(guī)則建立相應(yīng)的網(wǎng)絡(luò)入侵特征數(shù)據(jù)庫(kù)，待檢測(cè)的網(wǎng)絡(luò)訪問(wèn)行為特征與網(wǎng)絡(luò)入侵特征數(shù)據(jù)庫(kù)進(jìn)行模式區(qū)配，如果匹配成功，那么就將其劃分到相應(yīng)的類別中[4]。該類模型的網(wǎng)絡(luò)入侵檢測(cè)優(yōu)劣直接與專家建立的規(guī)則相關(guān)，網(wǎng)絡(luò)入侵檢測(cè)不科學(xué)。定量模型主要根據(jù)一些機(jī)器學(xué)習(xí)算法建立網(wǎng)絡(luò)入侵檢測(cè)模型，網(wǎng)絡(luò)入侵檢測(cè)科學(xué)，而且網(wǎng)絡(luò)入侵檢測(cè)結(jié)果可靠?；诙糠治龅木W(wǎng)絡(luò)入侵檢測(cè)模型分為誤用入侵檢測(cè)模型和異常入侵檢測(cè)模型。其中，誤用入侵檢測(cè)模型能夠檢測(cè)已知的網(wǎng)絡(luò)入侵行為，對(duì)新的、變異的網(wǎng)絡(luò)入侵行為無(wú)能為力，實(shí)際應(yīng)用價(jià)值低[5?6]。異常入侵檢測(cè)模型能夠識(shí)別到新的、變異的網(wǎng)絡(luò)入侵行為，成為學(xué)者們關(guān)注的焦點(diǎn)[7?8]。異常入侵檢測(cè)實(shí)際是一種模式識(shí)別問(wèn)題，網(wǎng)絡(luò)訪問(wèn)行為特征提取十分關(guān)鍵，通常情況下人們盡可能多的提取網(wǎng)絡(luò)訪問(wèn)行為特征，但是太多的網(wǎng)絡(luò)訪問(wèn)行為特征導(dǎo)致入侵檢測(cè)的分類器輸入向量過(guò)多，分類器過(guò)于復(fù)雜，因此影響網(wǎng)絡(luò)入侵檢測(cè)的效率，無(wú)法滿足大規(guī)模異常入侵檢測(cè)的實(shí)時(shí)性[9?11]。同時(shí)，每一種網(wǎng)絡(luò)訪問(wèn)行為特征對(duì)網(wǎng)絡(luò)入侵檢測(cè)結(jié)果的影響不一樣，當(dāng)前假設(shè)它們的作用相同，因此建立的網(wǎng)絡(luò)入侵檢測(cè)模型并非最優(yōu)[12]。

針對(duì)傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)模型難以準(zhǔn)確識(shí)別異常入侵行為，以提高網(wǎng)絡(luò)入侵檢測(cè)效果為目標(biāo)，設(shè)計(jì)了基于特征選擇的網(wǎng)絡(luò)入侵檢測(cè)模型。首先提取網(wǎng)絡(luò)入侵的原始特征，并采用主成分分析選擇主要的特征，然后極限學(xué)習(xí)機(jī)建立網(wǎng)絡(luò)入侵檢測(cè)的分類器，并采用粒子群優(yōu)化算法模型的參數(shù)，最后采用KDD CUP99數(shù)據(jù)集進(jìn)行仿真實(shí)驗(yàn)以分析本文模型的性能。

1 ?網(wǎng)絡(luò)入侵檢測(cè)原理

入侵通常是指在未授權(quán)情況下，一些非法用戶盜取網(wǎng)絡(luò)中的一些隱私信息、重要資料，或者對(duì)這些信息修改和破壞，而網(wǎng)絡(luò)入侵檢測(cè)是指采用一定理論和算法對(duì)網(wǎng)絡(luò)入侵行為學(xué)習(xí)，建立一個(gè)能夠?qū)θ肭中袨檫M(jìn)行識(shí)別的檢測(cè)模型，并可以對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效檢測(cè)，根據(jù)檢測(cè)可以進(jìn)行攔截或放行，網(wǎng)絡(luò)入侵檢測(cè)模型的工作原理如圖1所示。

3.2 ?結(jié)果與分析

本文模型和對(duì)比模型均運(yùn)行10次，統(tǒng)計(jì)的檢測(cè)率、誤檢率、漏檢率、訓(xùn)練時(shí)間的平均值結(jié)果如圖4～圖7所示，從圖4～圖7的實(shí)驗(yàn)結(jié)果可知：

1） 相對(duì)于對(duì)比模型，本文模型的網(wǎng)絡(luò)入侵檢測(cè)率得到一定的改善，有效降低了誤檢率、漏檢率，網(wǎng)絡(luò)入侵檢測(cè)率遠(yuǎn)遠(yuǎn)高于網(wǎng)絡(luò)實(shí)際應(yīng)用要求，這主要是因?yàn)椴捎弥鞒煞址治鰷p少了一些無(wú)用、冗余特征網(wǎng)絡(luò)入侵檢測(cè)過(guò)程和檢測(cè)結(jié)果的干擾，可以更加準(zhǔn)確地描述網(wǎng)絡(luò)入侵行為與特征間的映射關(guān)系，使網(wǎng)絡(luò)入侵檢測(cè)結(jié)果更優(yōu)。

2） 本文網(wǎng)絡(luò)入侵檢測(cè)模型的時(shí)間短于對(duì)比模型，入侵檢測(cè)速度快，入侵檢測(cè)的分類器更加簡(jiǎn)單，實(shí)時(shí)性更好。

4 ?結(jié) ?論

入侵檢測(cè)是網(wǎng)絡(luò)管理過(guò)程中的一項(xiàng)關(guān)鍵技術(shù)，設(shè)計(jì)基于特征選擇的入侵檢測(cè)模型，采用KDD CUP99數(shù)據(jù)集進(jìn)行仿真實(shí)驗(yàn)。由實(shí)驗(yàn)結(jié)果可知：

1） 特征直接影響網(wǎng)絡(luò)入侵檢測(cè)的結(jié)果，特征數(shù)量過(guò)大會(huì)導(dǎo)致網(wǎng)絡(luò)入侵檢測(cè)分類的輸入維數(shù)高，易出現(xiàn)“維數(shù)災(zāi)”等難題，嚴(yán)重影響網(wǎng)絡(luò)入侵的建模效率。

2） 采用主成分分析對(duì)網(wǎng)絡(luò)入侵檢測(cè)特征進(jìn)行選擇，減少了網(wǎng)絡(luò)入侵特征數(shù)量，消除了特征之間的信息冗余，減少了無(wú)用網(wǎng)絡(luò)入侵檢測(cè)的干擾，提高了網(wǎng)絡(luò)入侵檢測(cè)的效率。

3） 采用極限學(xué)習(xí)機(jī)建立的網(wǎng)絡(luò)入侵檢測(cè)分類可以描述網(wǎng)絡(luò)訪問(wèn)的各種行為，可獲得較高正確率的網(wǎng)絡(luò)入侵檢測(cè)結(jié)果。

4） 引入粒子群算法對(duì)網(wǎng)絡(luò)入侵檢測(cè)的分類器參數(shù)進(jìn)行優(yōu)化，解決人為設(shè)置參數(shù)的盲目性問(wèn)題，進(jìn)一步改善了網(wǎng)絡(luò)入侵檢測(cè)的效果，保障網(wǎng)絡(luò)系統(tǒng)安全。

參考文獻(xiàn)

[1] 毛勇，周曉波，夏錚，等.特征選擇算法研究綜述[J].模式識(shí)別與人工智能，2007，20（2）：211?218.

MAO Yong， ZHOU Xiaobo， XIA Zheng， et al. A survey for study of feature selection algorithms [J]. Pattern recognition and artificial intelligence， 2007， 20（2）： 211?218.

[2] MOHAMMAD M N， SULEIMAN N， MUSHI O A. A novel intrusion detection system by using intelligent data mining in weak environment [J]. Procedia computer science， 2011， 3（1）： 1237?1242.

[3] SHEN Furao， YU Hui， SAKURAI K， et al. An incremental online semi?supervised active learning algorithm based on a self?organizing incremental neural network [J]. Neural computing and applications， 2011， 20（1）： 1061?1074.

[4] 李響.基于經(jīng)驗(yàn)?zāi)B(tài)分解的局域網(wǎng)絡(luò)入侵檢測(cè)算法[J].西南師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2016，41（8）：132?137.

LI Xiang. Local network intrusion detection algorithm based on empirical mode decomposition [J]. Journal of Southwest China Normal University （natural science foundation）， 2016， 41（8）： 132?137.

[5] 牟琦，畢孝儒，厙向陽(yáng).基于GQPSO算法的網(wǎng)絡(luò)入侵特征選擇方法[J].計(jì)算機(jī)工程，2011，37（14）：103?105.

MOU Qi， BI Xiaoru， SHE Xiangyang. Feature selection me?thod for network intrusion based on GQPSO algorithm [J]. Computer engineering， 2011， 37（14）： 103?105.

[6] 龔儉，王卓然，蘇琪，等.面向網(wǎng)絡(luò)安全事件的入侵檢測(cè)與取證分析[J].華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2016，44（11）：30?33.

GONG Jian， WANG Zhuoran， SU Qi， et al. Intrusion detection and forensic analysis for network security incidents [J]. Journal of Huazhong University of Science and Technology （natural science edition）， 2016， 44（11）： 30?33.

[7] 魏吳，王一帆，李玉，等.基于WIA?PA網(wǎng)絡(luò)的周界入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2013，25（2）：148?153.

WEI Wu， WANG Yifan， LI Yu， et al. Design and implementation of perimeter intrusion detection system based on WIA?PA industrial wireless network [J]. Journal of Chongqing University of Posts and Telecommunications （natural science edition）， 2013， 25（2）： 148?153.

[8] 沈夏炯，王龍，韓道軍.人工蜂群優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)工程，2016，42（2）：190?194.

SHEN Xiajiong， WANG Long， HAN Daojun. Application of BP neural network optimized by artificial bee colony in intrusion detection [J]. Computer engineering， 2016， 42（2）： 190?194.

[9] 江峰，王春平，晉惠芬.基于相對(duì)決策熵的決策樹算法及其在入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)科學(xué)，2012，39（4）：223?226.

JIANG Feng， WANG Chunping， JIN Huifen. Relative decision entropy based decision tree algorithm and its application in intrusion detection [J]. Computer science， 2012， 39（4）： 223?226.

[10] 楊宏宇，趙明瑞，謝麗霞.基于自適應(yīng)進(jìn)化神經(jīng)網(wǎng)絡(luò)算法的入侵檢測(cè)[J].計(jì)算機(jī)工程與科學(xué)，2014，36（8）：1469?1475.

YANG Hongyu， ZHAO Mingrui， XIE Lixia. Intrusion detection based on the adaptive evolutionary neural network algorithm [J]. Computer engineering & science， 2014， 36（8）： 1469?1475.

[11] 趙悅，程子傲，陳雷，等.移動(dòng)Ad?Hoc網(wǎng)絡(luò)葉節(jié)點(diǎn)簇降低能源節(jié)約入侵檢測(cè)[J].控制工程，2016，23（7）：1137?1141.

ZHAO Yue， CHENG Ziao， CHEN Lei， et al. Leaf node cluster reduce algorithm of mobile Ad?Hoc network based energy saving for intrusion detection [J]. Control engineering of China， 2016， 23（7）： 1137?1141.

[12] 袁開銀，費(fèi)嵐.混合粒子群優(yōu)化算法選擇特征的網(wǎng)絡(luò)入侵檢測(cè)[J].吉林大學(xué)學(xué)報(bào)（理學(xué)版），2016，54（2）：309?313.

YUAN Kaiyin， FEI Lan. Detection of network intrusion based on hybrid particle swarm optimization algorithm selection features [J]. Journal of Jilin University （science edition）， 2016， 54（2）： 309?313.