基于改進PSO的SVM算法在數(shù)據(jù)庫入侵檢測中的應用研究

吳紀蕓　陳志德

摘要摘要：隨著數(shù)據(jù)庫應用越來越廣泛，數(shù)據(jù)庫信息泄露和篡改事件逐漸顯現(xiàn)出來，數(shù)據(jù)庫安全問題備受關注。入侵檢測能夠主動發(fā)現(xiàn)數(shù)據(jù)庫中的各種攻擊行為，彌補傳統(tǒng)安全技術的不足，但由于現(xiàn)階段大部分入侵檢測技術工作量巨大，因而未能智能地進行檢測判斷?；谠搯栴}，提出一種基于改進PSO的SVM算法對數(shù)據(jù)庫進行智能入侵檢測，利用改進PSO算法對SVM算法的懲罰因子和核函數(shù)參數(shù)進行尋優(yōu)，利用尋優(yōu)后的SVM對數(shù)據(jù)庫操作進行分類，判斷其是否屬于正常操作行為。

關鍵詞關鍵詞：改進PSO；入侵檢測；數(shù)據(jù)庫安全；支持向量機

DOIDOI：10.11907/rjdk.1431074

中圖分類號：TP309.2

文獻標識碼：A文章編號文章編號：16727800（2015）004013403

0引言

隨著數(shù)據(jù)庫應用的逐漸普及，信息泄漏和信息篡改事件也逐漸顯現(xiàn)出來，數(shù)據(jù)庫安全問題備受關注。相關數(shù)據(jù)表明，僅2013年一年，CNVD就通報了將近136個數(shù)據(jù)庫系統(tǒng)漏洞，占信息安全漏洞總數(shù)的1.8%[12]。2012年，中國發(fā)生多起數(shù)據(jù)庫安全事件，大約50多個網(wǎng)站的上千萬條數(shù)據(jù)從數(shù)據(jù)庫中泄露[3]。入侵指任何試圖危害資源完整性、可信度和可獲取性的動作[4]。入侵檢測指發(fā)現(xiàn)入侵行為的存在或出現(xiàn)的動作，即發(fā)現(xiàn)和記錄數(shù)據(jù)庫中未經(jīng)授權的行為和異?；顒覽5]。當數(shù)據(jù)庫操作行為與正常行為特征存在明顯差異時，認為數(shù)據(jù)庫受到入侵，則立即發(fā)出警告。入侵檢測能夠及時發(fā)現(xiàn)數(shù)據(jù)庫的各種攻擊行為并試圖作出積極響應，彌補傳統(tǒng)安全技術的不足。因此，入侵檢測成為數(shù)據(jù)庫安全領域研究的熱點課題。

入侵檢測由James P.Anderson首次提出。1987年，Denning[6]首次闡述了入侵檢測模型框架。1984年，他又實現(xiàn)了一個實時入侵檢測系統(tǒng)模型[7]。1998年末和1999年初，麻省理工學院的林肯實驗室在DARPA的資助下對開發(fā)的入侵檢測系統(tǒng)進行了對比評價[8]。如何將入侵檢測系統(tǒng)應用于數(shù)據(jù)庫中已有相關研究，Sin Yeung Lee等[9]于2002年提出了一種建筑學框架DIDAFIT，即通過指紋識別處理的數(shù)據(jù)庫入侵檢測模型。

已有許多研究者提出數(shù)據(jù)庫入侵檢測系統(tǒng)模型，提出的模型能夠按照預設定的規(guī)則，檢測數(shù)據(jù)行為，并判斷數(shù)據(jù)是否正常[1011]。但這些技術仍存在一些問題，因為數(shù)據(jù)庫數(shù)據(jù)量很大，如果對數(shù)據(jù)進行逐項分析檢測，將會大大增加不必要的工作量。針對這一點，本文利用智能優(yōu)化算法進行數(shù)據(jù)庫的入侵檢測，以提高數(shù)據(jù)檢測效率。

本文利用改進的粒子群優(yōu)化算法對支持向量機參數(shù)進行尋優(yōu)，再用參數(shù)尋優(yōu)后的支持向量機對數(shù)據(jù)庫操作進行分類，判斷其是否為正常行為。本文提出的改進粒子群優(yōu)化算法能夠適用于實際應用中，最優(yōu)解能夠適用于多約束條件，并重新激活失去全局或局部搜索能力的粒子。而對于支持向量機而言，將數(shù)據(jù)樣本分成6類，即正常操作、口令入侵、特權提升、漏洞入侵、SQL注入、竊取備份，分別標記為1、2、3、4、5、6。其中除了正常操作外，其余5個都屬于異常入侵行為。利用改進粒子群算法進行支持向量機參數(shù)尋優(yōu)后，檢測精確度有所提高，算法收斂速度也相應提升。

1改進PSO的SVM算法及其應用

數(shù)據(jù)庫入侵檢測實際上是多分類問題，支持向量機（SVM）已經(jīng)成功運用于入侵檢測中，但是分類性能與支持向量機的參數(shù)息息相關。而粒子群優(yōu)化（PSO）算法作為一種智能優(yōu)化算法，具有良好的全局尋優(yōu)能力。但傳統(tǒng)的粒子群優(yōu)化算法不能夠很好地適應實際應用環(huán)境，因此，運用改進的粒子群優(yōu)化算法選擇支持向量機參數(shù)，并利用參數(shù)優(yōu)化后的分類算法檢測入侵操作。

1.2改進的PSO算法

與傳統(tǒng)粒子群優(yōu)化算法相比較，本文算法有兩大突出改進之處：

①最優(yōu)解受多項約束條件限制。例如，加大懲罰參數(shù)能使得訓練分類模型的準確率提高，但過高的懲罰參數(shù)會造成過學習狀態(tài)，只要不滿足約束條件的解，無論其適應度函數(shù)值如何都不予以接受，必須將其作適當修改；

②在進化過程中粒子群的多樣性可能丟失。在進化過程中即使位置非常接近gBest但速度趨近于0時，代表該粒子失去全局或局部搜索能力，即成為不活動粒子。失去全局搜索能力的粒子只能在一個很小的空間內(nèi)“飛行”，而失去局部搜索能力的粒子在進化過程中對其適應值不產(chǎn)生影響[14]。因此，對于速度趨近于0的粒子應重新進行初始化。

改進的粒子群優(yōu)化算法主要計算步驟如下：

（1）懲罰因子和核函數(shù)參數(shù)初始化。在滿足約束條件的情況下對懲罰因子和核函數(shù)參數(shù)進行初始化，通常是在允許的范圍內(nèi)隨機產(chǎn)生。設定學習因子c1和c2，懲罰因子和核函數(shù)參數(shù)的個體最佳取值pBest[i]設置為初始取值c1[i]和g1[i]，計算對應的適應度值F1[i]。全局最優(yōu)值取當前適應度值，并且將此輪迭代的懲罰因子和核函數(shù)參數(shù)取值記錄在gBest[i]中。

（2）懲罰因子和核函數(shù)參數(shù)評價。計算懲罰因子和核函數(shù)參數(shù)的適應度值，如果優(yōu)于該變量的個體極值，則將pBest[i]設置為該變量的當前取值，且更新個體極值。如果所有變量中最大的個體極值大于當前全局極值，則在gBest[i]中記錄每個變量的取值，并且更新全局極值。

（3）變量更新。利用式（1）對每一個變量的取值和取值變化速率進行更新。

（4）不活動變量重新初始化。當?shù)趇個變量的變化速率接近于0時，重新調(diào)整該變量的取值X[i]，調(diào)整增量為一個區(qū)間范圍內(nèi)的隨機數(shù)α。用minX[i]和maxX[i]記錄從最近初始化到現(xiàn)在的投標價格最小值和最大值，α為minX[i]-maxX[i]2，maxX[i]-minX[i]2范圍內(nèi)的隨機數(shù)。

（5）與約束條件沖突的變量處理。若更新過的變量與約束條件沖突，則將其變化速率和取值更改為原值。

（6）結束條件檢驗。如果當前迭代次數(shù)達到了預先設定的最大次數(shù)，則停止迭代，輸出最優(yōu)解，否則轉到步驟（2）。

改進的粒子群優(yōu)化算法流程如圖1所示。

1.3基于PSO的SVM算法

數(shù)據(jù)庫入侵檢測實際上是一個多分類問題，因為存在多種數(shù)據(jù)庫入侵攻擊類型，最常見的有口令入侵、特權提升、漏洞入侵、SQL注入、竊取備份[15]。因此，利用SVM的n類分類算法解決分類問題。

本文將數(shù)據(jù)庫操作劃分為6個類型，即正常操作、口令入侵、特權提升、漏洞入侵、SQL注入、竊取備份，分別標記為1、2、3、4、5、6。其中除了正常操作外，其余5個都屬于異常入侵行為。將每個類別的操作各取300個樣本，每種類別各取一半作為訓練樣本，另一半作為測試樣本，則有900個訓練樣本和900個測試樣本。利用可訓練的機器學習方法支持向量機（SVM）訓練模型，找到能夠正確區(qū)分這6類訓練樣本數(shù)據(jù)的超平面。這6類樣本是非線性可分的，如果運用一般的線性變換，會導致問題陷入“維數(shù)災難”，使得計算復雜而不可行。因此，支持向量機利用輸入空間的核函數(shù)取代了高維特征空間中的內(nèi)積運算，將低維輸入空間中的數(shù)據(jù)通過非線性函數(shù)映射到高維屬性空間，將分類問題轉化到屬性空間進行。

選擇適當?shù)暮撕瘮?shù)，可以使輸入空間線性不可分問題在屬性空間轉化成線性可分問題。采用徑向基（RBF）核函數(shù)，支持向量機能夠實現(xiàn)徑向基函數(shù)神經(jīng)網(wǎng)絡功能。對于RBF核函數(shù)而言，需要確定兩個參數(shù)即懲罰因子c和核函數(shù)參數(shù)g。由于不同的參數(shù)組合會影響實驗的準確度，因此采用改進PSO算法對SVM的懲罰參數(shù)c和核函數(shù)參數(shù)g進行尋優(yōu)?；赑SO的SVM算法流程如圖2所示。

2算法應用步驟

本文主要采用SVM多類分類算法對數(shù)據(jù)庫入侵檢測進行多類分類，并采用改進的PSO算法對SVM的懲罰因子c和核函數(shù)參數(shù)g進行尋優(yōu)，提高分類精度。其主要應用步驟如下：

（1）數(shù)據(jù)預處理。 ①異常值移除處理。利用盒圖分離出數(shù)據(jù)中的離群數(shù)據(jù)（這些離群點就是異常數(shù)據(jù)），移除這些異常數(shù)據(jù)從而避免因人為因素或數(shù)據(jù)采集不當而造成整體特征特性的偏差；②歸一化處理。樣本的各維數(shù)據(jù)經(jīng)過某種算法處理后其大小都限制在一定范圍內(nèi)，避免了奇異樣本數(shù)據(jù)引起網(wǎng)絡訓練時間增加，甚至可能引起網(wǎng)絡無法收斂等問題；③降維處理。將樣本數(shù)據(jù)從輸入空間通過線性或非線性變換映射到一個低維空間，從而獲得一個關于原數(shù)據(jù)集的低維表示，避免降低程序收斂速度和增加算法的時間復雜度。

（2）SVM算法參數(shù)尋優(yōu)。利用改進的PSO算法對SVM算法中的懲罰因子c和核函數(shù)參數(shù)g進行尋優(yōu)。

（3）訓練階段。假設入侵檢測結果有n個類型，則用SVM多分類的分類方法，利用訓練樣本輸入分類器，得到分類模型。

（4）測試階段。利用訓練好的分類器進行數(shù)據(jù)測試，得到測試結果。

3結語

針對現(xiàn)階段大部分入侵檢測技術工作量巨大且未能智能地進行檢測判斷等問題，本文提出一種基于改進PSO的SVM算法對數(shù)據(jù)庫進行智能入侵檢測。該方法利用改進PSO算法對SVM算法的懲罰因子和核函數(shù)參數(shù)進行尋優(yōu)，利用尋優(yōu)后的SVM對數(shù)據(jù)庫操作進行分類，判斷其是否屬于正常操作行為。其中，改進的PSO算法較適用于實際應用場景，最優(yōu)值對多約束條件皆適用，而對于失去全局或局部搜索能力的粒子，則需對其進行重新初始化。對于支持向量機而言，將數(shù)據(jù)樣本分成6類，即正常操作、口令入侵、特權提升、漏洞入侵、SQL注入、竊取備份，分別標記為1、2、3、4、5、6。其中除了正常操作外，其余5個都屬于異常入侵行為。利用改進粒子群算法進行支持向量機參數(shù)尋優(yōu)后，檢測精確度有所提高，同時也加快了算法的收斂速度。

參考文獻參考文獻：

[1]國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心.2012年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告[R].北京：國家互聯(lián)網(wǎng)應急中心，2012.

[2]國家信息安全漏洞共享平臺漏洞列表[EB/OL].[2014218].http：//www.cnvd.org.cn/.

[3]楊磊.數(shù)據(jù)庫安全審計檢測系統(tǒng)的設計與實現(xiàn)[D].北京：北京交通大學， 2014.

[4]酈敏智，基于云模型的數(shù)據(jù)挖掘在入侵檢測系統(tǒng)中的應用[D].廣州：華南理工大學，2004.

[5]阮耀平，易江波.計算機系統(tǒng)入侵檢測模型與方法[J].計算機工程，1999，25（7）：6365.

[6]DOROTHY E，DENNING.An intrusiondetection model[J].IEEE Transactions on Software Engineering，1987，13（2）：2334.

[7]DENNING D.An intrusion detection model[J].IEEE Transactions on Software Engineering，1987，13（2）：222232.

[8]MCHUGH J.Testing intrusion detection systems： a critique of the 1998 and 1999 DARPA intrusion detection system evaluations as performed by Lincoln Laboratory[J].ACM transactions on Information and system Security，2000， 3（4）：262294.

[9]LEE S，LOW W，WONG P.Learning fingerprints for a database intrusion detection system[J]. Computer Security ESORICS，2002，2002（2）： 264279.

[10]盧碩珽.數(shù)據(jù)庫入侵檢測系統(tǒng)的設計與分析[D].廣州：中山大學， 2010.

[11]張洪斌，李娜.多信息源數(shù)據(jù)庫入侵檢測系統(tǒng)[J].電子商務，2011（11）：3233.

[12]楊維， 李歧強.粒子群優(yōu)化算法綜述[J].中國工程科學，2004，6（5）：8794.

[13]林祝亮，馮遠靜.基于粒子群算法的無線傳感網(wǎng)絡覆蓋優(yōu)化策略[J].計算機仿真，2009（4）：190193.

[14]楊俊杰，周建中，吳瑋，等.改進粒子群優(yōu)化算法在負荷經(jīng)濟分配中的應用[J].電網(wǎng)技術， 2005，29（2）：14.

[15]百度百科.http：//baike.baidu.com/view/2273681.htmfr=Aladdin.

責任編輯（責任編輯：孫娟）