（山西臨汾市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì) 山西041000）

1 引言

隨著互聯(lián)網(wǎng)用戶(hù)的增加引發(fā)了全球?qū)π畔踩年P(guān)注，入侵檢測(cè)在保護(hù)數(shù)據(jù)免受我們網(wǎng)絡(luò)或系統(tǒng)中發(fā)生的任何入侵者方面發(fā)揮著重要作用，它通過(guò)觀察和分析系統(tǒng)中發(fā)生的事件來(lái)檢測(cè)問(wèn)題[1]。由此開(kāi)發(fā)的入侵檢測(cè)系統(tǒng)（IDS）可以定義為幫助我們對(duì)網(wǎng)絡(luò)中任何可疑入侵行為進(jìn)行預(yù)測(cè)、發(fā)現(xiàn)、報(bào)警和響應(yīng)的任何工具，方法和資源[2]，具有監(jiān)視分析用戶(hù)與系統(tǒng)的活動(dòng)、檢查系統(tǒng)配置與漏洞、識(shí)別已知攻擊行為并報(bào)警、統(tǒng)計(jì)分析異常行為、識(shí)別違反安全策略的用戶(hù)行為、對(duì)系統(tǒng)日志的管理維護(hù)等功能。在2017年IETF[3]提出的網(wǎng)絡(luò)入侵檢測(cè)體系結(jié)構(gòu)中，系統(tǒng)包含三個(gè)模塊：傳感器模塊，分析模塊和管理模塊，如圖1所示。在這個(gè)架構(gòu)中，主要是定義用于入侵檢測(cè)系統(tǒng)的組件之間的標(biāo)準(zhǔn)通信，該體系結(jié)構(gòu)定義了針對(duì)ISP的交換消息的格式：入侵檢測(cè)消息交換格式（IDMEF），其隱式中包含數(shù)據(jù)模型。

圖1 IDS的體系結(jié)構(gòu)

入侵檢測(cè)通常是基于簽名或行為兩種方法，兩種方法的優(yōu)缺點(diǎn)見(jiàn)表1。基于簽名的檢測(cè)方法是在已知的攻擊和系統(tǒng)漏洞的累積知識(shí)，基于啟發(fā)式規(guī)則搜索任何利用漏洞的嘗試并發(fā)出警報(bào)[4]。一般情況下，未明確被稱(chēng)為攻擊的行為都被認(rèn)為是合法的，因此基于簽名方法的IDS 通常具有較低的誤警率[5]。但基于簽名的方法僅能檢測(cè)已知的攻擊，無(wú)法應(yīng)對(duì)環(huán)境不斷變化情況下的新型攻擊，僅檢測(cè)已知的攻擊，這需要規(guī)則數(shù)據(jù)庫(kù)進(jìn)行頻繁更新。基于行為方法的入侵檢測(cè)技術(shù)[6-7]假設(shè)可以通過(guò)觀察與正常行為或系統(tǒng)或用戶(hù)的預(yù)測(cè)相關(guān)的行為異常來(lái)檢測(cè)入侵。首先，從通過(guò)各種手段收集的信息引用中提取正常行為的模型，然后入侵檢測(cè)系統(tǒng)將該模型與當(dāng)前活動(dòng)進(jìn)行比較，如果檢測(cè)到偏差，則將觸發(fā)警報(bào)。一般來(lái)說(shuō)，這種方法可將隨著環(huán)境變化情況下的新型攻擊行為考慮在內(nèi)，因此基于行為分析的入侵檢測(cè)方法通常具有較低的漏警率，但檢測(cè)準(zhǔn)確率還有待提升[8]。

表1 行為與簽名方法的比較

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)流量的不斷增長(zhǎng)和黑客技術(shù)的不斷發(fā)展，都對(duì)入侵檢測(cè)系統(tǒng)（IDS）的性能提出了更高的要求。針對(duì)上述問(wèn)題，本文以提高入侵檢測(cè)技術(shù)的檢測(cè)準(zhǔn)確率、降低誤警率和漏警率以及提高檢測(cè)效率為技術(shù)目標(biāo)，提出了一種基于行為分析的入侵檢測(cè)系統(tǒng)，通過(guò)將多類(lèi)RBF神經(jīng)網(wǎng)絡(luò)與加速粒子群優(yōu)化相結(jié)合的混合檢測(cè)方法，以提高入侵檢測(cè)率。

2 入侵檢測(cè)方法

入侵檢測(cè)行為或異常是基于攻擊導(dǎo)致資源異常使用或用戶(hù)表現(xiàn)出奇怪行為的假設(shè)。因此，諸多學(xué)者經(jīng)提出了免疫學(xué)方法、機(jī)器學(xué)習(xí)方法等來(lái)學(xué)習(xí)正常行為，以便能夠檢測(cè)任何顯著的偏差。在入侵檢測(cè)過(guò)程中，每個(gè)連接可以分為正常流量或入侵流量，因此可以將其視為分類(lèi)問(wèn)題。近年來(lái)，入侵檢測(cè)問(wèn)題得益于混合機(jī)器學(xué)習(xí)以提高異常行為的檢測(cè)率，本文提出了一種基于多類(lèi)RBF神經(jīng)網(wǎng)絡(luò)的混合方法，其參數(shù)和子集由APSO 優(yōu)化。

2.1 加速粒子群優(yōu)化算法

粒子群優(yōu)化算法（PSO）也稱(chēng)鳥(niǎo)群覓食算法，是由R.C.Eberhart和J.Kennedy 開(kāi)發(fā)的一種新的進(jìn)化算法，它從隨機(jī)解出發(fā)，通過(guò)迭代尋找最優(yōu)解，是以種群為基礎(chǔ)的隨即搜索和優(yōu)化的過(guò)程，具有廣泛的應(yīng)用領(lǐng)域，例如神經(jīng)網(wǎng)絡(luò)訓(xùn)練、工程優(yōu)化等[9]。

粒子群優(yōu)化算法（PSO）通過(guò)更新其位置和速度可以移動(dòng)到最佳位置的粒子（候選解）。粒子的運(yùn)動(dòng)速度可以通過(guò)慣性的重量、認(rèn)知學(xué)習(xí)因子和社會(huì)學(xué)習(xí)因素的值來(lái)更新。每個(gè)粒子是給定區(qū)域D上的最佳函數(shù)f(x)的整體勢(shì)，被認(rèn)為是D維空間中的點(diǎn)并且表示為粒子的速度矢量為此外，最佳先前位置將被粒子的最佳適應(yīng)值替換為并且該區(qū)域中迄今為止的最佳位置是根據(jù)方程（1）和（2）更新第i個(gè)粒子的速度和位置：

標(biāo)準(zhǔn)粒子群優(yōu)化使用當(dāng)前的gBest和pBest。使用單個(gè)best的目標(biāo)主要是為了改善質(zhì)量解決方案的多樣性，然而這種多樣性可以使用一些隨機(jī)性來(lái)模擬。其次，使用單個(gè)best 并沒(méi)有較好的理由，除非所關(guān)注的優(yōu)化問(wèn)題是高度非線性和多模態(tài)的。目前，標(biāo)準(zhǔn)的PSO算法還存在很多的缺陷，如容易發(fā)生早熟、收斂速度慢、后期搜索性能和個(gè)體尋優(yōu)能力降低等。因此在本文中，使用APSO方差，可以加速算法的收斂，僅使用全局最佳特征[11]。因此，在加速粒子群優(yōu)化算法（APSO）中，速度矢量由更簡(jiǎn)單的公式生成：

2.2 RBF神經(jīng)網(wǎng)絡(luò)

RBF神經(jīng)網(wǎng)絡(luò)簡(jiǎn)稱(chēng)徑向基函數(shù)神經(jīng)網(wǎng)絡(luò)，作為一種分類(lèi)模型，包含輸入層、隱層、輸出層三層神經(jīng)網(wǎng)絡(luò)，其基本思想是用RBF 作為隱單元的“基”構(gòu)成隱藏層空間，隱藏層對(duì)輸入矢量進(jìn)行變換，將低維的模式輸入數(shù)據(jù)變換到高維空間內(nèi)，使得在低維空間內(nèi)的線性不可分問(wèn)題在高維空間內(nèi)線性可分[12]。RBF神經(jīng)網(wǎng)絡(luò)在逼近能力、分類(lèi)能力和學(xué)習(xí)速度等方面都優(yōu)于BP神經(jīng)網(wǎng)絡(luò)，結(jié)構(gòu)簡(jiǎn)單、訓(xùn)練簡(jiǎn)潔、學(xué)習(xí)收斂速度快，能夠逼近任意非線性函數(shù)，克服局部極小值問(wèn)題。

徑向基神經(jīng)網(wǎng)絡(luò)的激活函數(shù)可表示為：

其中xp徑向基神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)可得到網(wǎng)絡(luò)的輸出為：

當(dāng)然，采用最小二乘的損失函數(shù)表示：

3 IDS 架構(gòu)優(yōu)化

本章旨在通過(guò)APSO 算法優(yōu)化網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS）架構(gòu)，并通過(guò)檢測(cè)RBF神經(jīng)網(wǎng)絡(luò)多類(lèi)別的最優(yōu)參數(shù)和特征子集來(lái)提高分類(lèi)模型的準(zhǔn)確性。APSO對(duì)于特征選擇很有吸引力，在這個(gè)粒子群中，當(dāng)它們?cè)趩?wèn)題空間中飛行時(shí)會(huì)發(fā)現(xiàn)最佳特征組合。APSO 特征選擇意味著從一組原始變量中選擇相關(guān)變量的最佳子集，其有效改善了性能分類(lèi)（學(xué)習(xí)時(shí)間，速度和泛化能力），此外也增加了數(shù)據(jù)的可理解性。從人工智能的角度來(lái)看，基于RBF神經(jīng)網(wǎng)絡(luò)模型創(chuàng)建分類(lèi)器意味著為數(shù)據(jù)創(chuàng)建模板，并且能夠使得模型盡可能簡(jiǎn)單、可操作。

由于本文所使用的數(shù)據(jù)集具有41個(gè)特征，分類(lèi)器模型要處理的數(shù)據(jù)量較大，無(wú)法保證在合理的時(shí)間內(nèi)完成建模與分類(lèi)操作，需要減少部分低重要性的特征空間，因此本文使用APSO 算法來(lái)選擇對(duì)模型分類(lèi)預(yù)測(cè)影響最大的最佳特征集。

為了實(shí)現(xiàn)我們提出的方法，使用RBF神經(jīng)網(wǎng)絡(luò)將樣本映射到更高維的數(shù)據(jù)中，與線性核不同，它可以處理類(lèi)標(biāo)簽與屬性之間的非線性關(guān)系的情況，是影響模型選擇復(fù)雜性的超參數(shù)數(shù)量。RBF內(nèi)核函數(shù)為：

RBF內(nèi)核有兩個(gè)參數(shù)：一是C（懲罰參數(shù)）：該參數(shù)對(duì)于所有SVM內(nèi)核都是通用的，它權(quán)衡了培訓(xùn)示例的錯(cuò)誤分類(lèi)與決策面的簡(jiǎn)單性；二是（gamma 參數(shù)），它是RBF內(nèi)核函數(shù)的一個(gè)特定參數(shù)，定義了單個(gè)訓(xùn)練示例的影響程度。C值的選擇對(duì)分類(lèi)結(jié)果的影響取決于兩個(gè)主要情況：如果C太大，那么在培訓(xùn)階段分類(lèi)準(zhǔn)確率將非常高，而在測(cè)試階段分類(lèi)準(zhǔn)確率將非常低；如果C太小，分類(lèi)準(zhǔn)確率就會(huì)降低。參數(shù)對(duì)分類(lèi)結(jié)果的影響比C顯著，因?yàn)樗闹涤绊懥颂卣骺臻g中的劃分結(jié)果。參數(shù)值過(guò)大時(shí)，支持向量的影響范圍只包括支持向量本身，沒(méi)有合適的正則化C來(lái)防止過(guò)擬合風(fēng)險(xiǎn)，而過(guò)小的值將無(wú)法擬合數(shù)據(jù)的形狀和復(fù)雜度，將會(huì)導(dǎo)致欠擬合。因此必須使用APSO優(yōu)化用作輸入屬性的參數(shù)（C和）；準(zhǔn)確地說(shuō)，要建立基于APSO-RBF的入侵檢測(cè)系統(tǒng)，必須執(zhí)行以下主要流程，如圖2所示。

圖2 IDS 架構(gòu)優(yōu)化

在比較多個(gè)預(yù)測(cè)模型的精確度時(shí)，通常使用k 折交叉驗(yàn)證技術(shù)來(lái)減少隨機(jī)抽樣產(chǎn)生的誤差。研究將數(shù)據(jù)隨機(jī)分為10個(gè)子集，每次迭代使用9個(gè)子集來(lái)訓(xùn)練多類(lèi)RBF神經(jīng)網(wǎng)絡(luò)，1個(gè)子集用于訓(xùn)練多類(lèi)別分類(lèi)器，驗(yàn)證模型的子集。為了評(píng)估每一個(gè)粒子，本文在函數(shù)擬合中使用了準(zhǔn)確率，如果適合度大于pbest，pbest 將收到適合度；如果pbest 優(yōu)于gbest，gbest 將收到pbest。最后，使用公式（1）和（2）更新粒子速度和位置。這一過(guò)程持續(xù)10次，直到APSO 找到最佳參數(shù)，計(jì)算精度并評(píng)估粒子參數(shù)（C和）。k 折交叉驗(yàn)證技術(shù)僅用于尋找SVM的最佳參數(shù)，而不用于生成最佳模型。多類(lèi)RBF神經(jīng)網(wǎng)絡(luò)分類(lèi)器是由多個(gè)單一的RBF神經(jīng)網(wǎng)絡(luò)分類(lèi)器組合而成，它構(gòu)造n個(gè)分類(lèi)器，其中n是類(lèi)別的數(shù)目，得出的假設(shè)公式如下：

其中fo va(x)是全局預(yù)測(cè)函數(shù)，fi(x)是每個(gè)分類(lèi)器的預(yù)測(cè)函數(shù)，因此，通過(guò)將ith類(lèi)中的所有示例標(biāo)記為正，將余數(shù)標(biāo)記為負(fù)，來(lái)訓(xùn)練ith分類(lèi)器。

4 實(shí)驗(yàn)案例分析

4.1 數(shù)據(jù)集選擇

許多與IDS相關(guān)的數(shù)據(jù)集已經(jīng)被研究人員用來(lái)開(kāi)發(fā)基于行為方法的解決方案，最流行的KDD99數(shù)據(jù)集[13]，雖然年代有些久遠(yuǎn)，但仍然是網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域的事實(shí)基準(zhǔn)，為基于計(jì)算智能的網(wǎng)絡(luò)入侵檢測(cè)研究奠定基礎(chǔ)。由于KDD99數(shù)據(jù)集包含大量的冗余記錄，易導(dǎo)致學(xué)習(xí)算法偏向于頻繁記錄，從而防止他們從不常見(jiàn)的記錄中學(xué)習(xí)，這些記錄通常對(duì)網(wǎng)絡(luò)有害，例如U2R和R2L攻擊。為了解決這些問(wèn)題，我們從完整的KDD99數(shù)據(jù)集中選擇一些記錄，并且不包含KDD99缺點(diǎn)，其中每個(gè)連接都是單個(gè)行數(shù)向量由41個(gè)特征組成。該數(shù)據(jù)集中提供的攻擊類(lèi)別分為四類(lèi)，即拒絕服務(wù)攻擊、探測(cè)、遠(yuǎn)程用戶(hù)攻擊和用戶(hù)到根攻擊。在這項(xiàng)研究中，我們使用處理后的KDD99數(shù)據(jù)集來(lái)訓(xùn)練和預(yù)測(cè)網(wǎng)絡(luò)入侵檢測(cè)模型，并對(duì)模型結(jié)果進(jìn)行比較。

4.2 實(shí)驗(yàn)結(jié)果比較

所有的實(shí)驗(yàn)都是在Linux CentOS 7下運(yùn)行的24 CPU Intel Core 2.13GHz、48GB RAM計(jì)算站上進(jìn)行的，以評(píng)估該模型的性能。然后，使用Java語(yǔ)言對(duì)實(shí)驗(yàn)進(jìn)行編碼。由于數(shù)據(jù)集包含41個(gè)特征，分類(lèi)器使用這些特征并不能提供最佳的結(jié)果，反而會(huì)引起對(duì)模型的過(guò)度學(xué)習(xí)。因此采用APSO 算法選擇最佳特性，共選擇出15個(gè)最佳特征作為模型訓(xùn)練使用數(shù)據(jù)。

為了對(duì)本文提出的APSO-RBF 算法進(jìn)行評(píng)估，共使用了入侵檢測(cè)研究中的四個(gè)性能指標(biāo)。準(zhǔn)確性表示所有類(lèi)別被正確分類(lèi)的概率；檢測(cè)率為正確分類(lèi)的正常行為和網(wǎng)絡(luò)入侵行為的數(shù)量除以驗(yàn)證數(shù)據(jù)集的總數(shù)；誤警率為被錯(cuò)誤分類(lèi)為網(wǎng)絡(luò)入侵行為的正常行為的總數(shù)除以所有正常行為的總數(shù)；漏警率則為被錯(cuò)誤分類(lèi)為正常行為的網(wǎng)絡(luò)入侵總數(shù)除以實(shí)際為網(wǎng)絡(luò)入侵的總數(shù)。

表2 一對(duì)多分類(lèi)的混淆矩陣

表3 標(biāo)準(zhǔn)度量的混淆矩陣

本文在測(cè)試集上評(píng)估所提出的入侵檢測(cè)方法的性能，并且使用訓(xùn)練集來(lái)訓(xùn)練模型。表2和3為模型訓(xùn)練集混淆矩陣，從表中來(lái)看，實(shí)現(xiàn)了91.03%的實(shí)例分類(lèi)正確率和93.61%的入侵檢測(cè)率。

表4 算法性能比較

表4比較了APSO 優(yōu)化的RBF神經(jīng)網(wǎng)絡(luò)模型（APSO-RBF）、蟻群優(yōu)化的RBF神經(jīng)網(wǎng)絡(luò)模型（ACO-RBF）和遺傳算法優(yōu)化的支持向量機(jī)模型（GA-SVM）共三個(gè)模型的性能。為了進(jìn)行統(tǒng)計(jì)分析，使用10 倍交叉驗(yàn)證對(duì)每種算法進(jìn)行10次實(shí)驗(yàn)，最后，采用為測(cè)試集的總體驗(yàn)證提供最佳實(shí)驗(yàn)結(jié)果的模型。結(jié)果表明，與遺傳算法和蟻群算法相比，APSO-RBF 算法具有更好的性能，尤其是穩(wěn)定性。

圖3 各算法模型準(zhǔn)確率比較

為了檢驗(yàn)本文所提APSO-RBF神經(jīng)網(wǎng)絡(luò)方法的有效性，本文使用了決策樹(shù)、Autoencoder、RBF-SVM 等算法在相同的訓(xùn)練數(shù)據(jù)集上進(jìn)行訓(xùn)練。從圖3各算法模型準(zhǔn)確率比較的結(jié)果表明，本文所提出的方法提高了IDS的檢測(cè)性能，比其他檢測(cè)方法相對(duì)更為可靠。

5 結(jié)論

本文提出了一個(gè)基于程序行為分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，即采用多類(lèi)RBF神經(jīng)網(wǎng)絡(luò)與加速粒子群優(yōu)化（APSO）相結(jié)合的混合檢測(cè)方法，以提高入侵檢測(cè)率。在本文中通過(guò)使用APSO 算法解決了以往算法不能解決的兩個(gè)問(wèn)題：一是，在網(wǎng)絡(luò)入侵行為特征數(shù)量較大的情況下，通過(guò)檢測(cè)或搜索對(duì)模型預(yù)測(cè)有很大影響的多數(shù)特征，減少RBF神經(jīng)網(wǎng)絡(luò)的特征向量空間，確保了在沒(méi)有過(guò)度計(jì)算密集型模型的情況下具有良好的預(yù)測(cè)能力；二是成功地優(yōu)化了使用的RBF神經(jīng)網(wǎng)絡(luò)參數(shù)（C，），減少了模型欠擬合或者過(guò)擬合的風(fēng)險(xiǎn)。另外，本文還使用了RBF神經(jīng)網(wǎng)絡(luò)模型優(yōu)化分類(lèi)器，使模型可以處理類(lèi)標(biāo)簽與屬性之間的非線性關(guān)系的情況。本文采用KDD99數(shù)據(jù)集進(jìn)行入侵檢測(cè)系統(tǒng)的檢測(cè)性能實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明所提出的APSO-RBF 混合入侵檢測(cè)法使得IDS 檢測(cè)性能優(yōu)于在同一數(shù)據(jù)集上測(cè)試的其他現(xiàn)有機(jī)器學(xué)習(xí)方法。