改進(jìn)最小二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測

馬磊娟， 王林生

(河南工業(yè)職業(yè)技術(shù)學(xué)院，南陽 473009)

?

改進(jìn)最小二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測

馬磊娟， 王林生*

(河南工業(yè)職業(yè)技術(shù)學(xué)院，南陽 473009)

非法入侵直接危害到網(wǎng)絡(luò)的安全，為了解決傳統(tǒng)網(wǎng)絡(luò)入侵檢測模型存在的缺陷，提高網(wǎng)絡(luò)入侵檢測的準(zhǔn)確性，提出了一種改進(jìn)最小二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測模型。收集網(wǎng)絡(luò)入侵檢測數(shù)據(jù)，并提取其中的特征，采用最小二乘支持向量機(jī)作為入侵檢測的分類器，實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)的檢測，并引入布谷鳥搜索算法對最小二乘支持向量機(jī)的參數(shù)選擇進(jìn)行改進(jìn)，選擇KDDCup99數(shù)據(jù)集作為實(shí)驗對象。結(jié)果表明，改進(jìn)最小二乘支持向量機(jī)可以建立正確率的網(wǎng)絡(luò)入侵檢測模型，降低了網(wǎng)絡(luò)入侵檢測的錯誤率，可以保證網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)系統(tǒng)； 非法入侵； 網(wǎng)絡(luò)分類器； 布谷鳥搜索算法； 檢測模型

0 引言

網(wǎng)絡(luò)在人們生活的每一個角落都存在，網(wǎng)絡(luò)安全問題引起了們的高度關(guān)注[1]。被動的網(wǎng)絡(luò)安全防范技術(shù)主要為防火墻，但其無法識別一些新的入侵行為，網(wǎng)絡(luò)入侵檢測能夠發(fā)現(xiàn)一些非法用戶的行為，可以有效提高網(wǎng)絡(luò)系統(tǒng)的安全性[2]。

近幾十年來，出現(xiàn)大量的網(wǎng)絡(luò)入侵檢測模型，它們大致可以劃分為2種類型，其中一種為網(wǎng)絡(luò)入侵的誤用檢測模型，該類檢測模型只能檢測已經(jīng)存在的入侵行為，無法發(fā)現(xiàn)變異或者新型的入侵行為，這樣局限性十分明顯，無法應(yīng)用于實(shí)際的網(wǎng)絡(luò)安全保證中[3]。另一種為異常入侵檢測模型，該類模型可以發(fā)現(xiàn)能夠到新型入侵行為，實(shí)際應(yīng)用價值相對較高，在網(wǎng)絡(luò)入侵檢測得到了廣泛的應(yīng)用[4]。在異常檢測模型，支持向量機(jī)作為一種最常的分類器構(gòu)建算法，比其它模型具有更高的檢測正確率。然而支持向量機(jī)學(xué)習(xí)過程十分費(fèi)時，網(wǎng)絡(luò)入侵建模的效率相當(dāng)?shù)?，不能滿足大規(guī)模網(wǎng)絡(luò)安全分析的要求，同時也無法適應(yīng)網(wǎng)絡(luò)入侵檢測的實(shí)時性[5,6]。為了解決支持向量機(jī)的學(xué)習(xí)速度慢缺陷，有學(xué)者提出了最小二乘支持向量機(jī)，并將其應(yīng)用于網(wǎng)絡(luò)入侵檢測中，縮短了網(wǎng)絡(luò)入侵檢測建模的時間，提高了網(wǎng)絡(luò)入侵檢測的速度，而且網(wǎng)絡(luò)入侵檢測的正確率也沒有降低[7,8]。在實(shí)際應(yīng)用中，最小二乘支持向機(jī)的參數(shù)優(yōu)化是一個待解決的難題，一旦參數(shù)確定不合理，無法建立高性能的網(wǎng)絡(luò)入侵檢測模型，為此有學(xué)者采用遺傳算法、粒子群算法對最小二乘支持向量機(jī)參數(shù)優(yōu)化問題進(jìn)行求解，但是遺傳算法、粒子群算法自身的參數(shù)也難以確定，從而影響網(wǎng)絡(luò)入侵檢測的性能[10-12]。

為了解決傳統(tǒng)網(wǎng)絡(luò)入侵檢測模型存在的缺陷，提高網(wǎng)絡(luò)入侵檢測的準(zhǔn)確性，提出了一種改進(jìn)最小二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測模型。首先收集網(wǎng)絡(luò)入侵檢測數(shù)據(jù)，并提取其中的特征，然后采用最小二乘支持向量機(jī)作為入侵檢測的分類器，實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)的檢測，并引入布谷鳥搜索算法[13]對最小二乘支持向量機(jī)的參數(shù)選擇進(jìn)行改進(jìn)，最后選擇KDD Cup 99數(shù)據(jù)集作為實(shí)驗對象。結(jié)果表明，改進(jìn)最小二乘支持向量機(jī)可以建立正確率的網(wǎng)絡(luò)入侵檢測模型，降低了網(wǎng)絡(luò)入侵檢測的錯誤率，具有較高的實(shí)際應(yīng)用價值。

1 LSSVM和MCS算法

1.1 LSSVM

設(shè)網(wǎng)絡(luò)入侵訓(xùn)練集為{(xi,yi)}，最小二乘支持向量機(jī)(LSSVM)通過非線性映射Φ( )對它進(jìn)行變換，然后進(jìn)行線回歸，可以描述為式(1)。

f(x)=wTφ(x)+b

(1)

式中，ω和b表示最小二乘支持向量朵的權(quán)和偏置向量。

要對式(1)進(jìn)行求解，首先要找到最優(yōu)變量的ω和b值，而對式(1)進(jìn)行求解，引入松弛變量ξi，那式式(1)可以轉(zhuǎn)為式(2)。

s.t.

yi-wTφ(x)+b=ei

(2)

式中，γ表示最小二乘支持向量機(jī)的正則化參數(shù)；ei為最小二乘支持向量的分類誤差。

為了加快優(yōu)變量的ω和b值的求解速度，采用拉格朗日函數(shù)得到對偶問題，即式(3)。

(3)

式中，αi為拉格朗日乘子。

根據(jù)Mercer條件，采用K(xi,xj)=φ(xi)Tφ(xj)，那么網(wǎng)絡(luò)入侵分類的函數(shù)為式(4)。

(4)

采用徑向基函數(shù)構(gòu)建模LSSVM，則有式(5)。

(5)

式中，σ為寬度，參數(shù)。

參數(shù)γ和σ對網(wǎng)絡(luò)入侵的結(jié)果有著直接影響，LSVM參數(shù)可以建立如下的目標(biāo)函數(shù)：

s.t.

(6)

1.2 布谷鳥搜索算法

⊕L(λ),i=1,2,…,N

(7)

式中，α為步長控制量，⊕為點(diǎn)積，L(λ)為飛行步長路徑，其滿足如下條件為式(8)。

Lévy～u=t-λ, 1≤λ≤3

(8)

由于基本布谷鳥搜索算法的工作效率低，為此采用慣性權(quán)重w對鳥巢位置進(jìn)行更新為式(9)。

⊕L(λ),i=1,2,…,N

(9)

慣性權(quán)重w的變化方式為：

(10)

式中，iter為當(dāng)前迭代次數(shù)。

2 改進(jìn)最小二乘支持向量機(jī)的入侵檢測模型

2.1 參數(shù)對網(wǎng)絡(luò)入侵檢測結(jié)果的影響

為了分析最小二乘支持向量機(jī)參數(shù)對入侵結(jié)果的作用，選不同參數(shù)γ和σ下的網(wǎng)絡(luò)入侵檢測正確率，結(jié)果如表1所示。

表1 不同參數(shù)γ和σ值下的入侵檢測率

對表1的入侵檢測正確率進(jìn)行分析可以發(fā)現(xiàn)，不同參數(shù)γ和σ值下，入侵檢測正確率變化比較大，為此對參數(shù)γ和σ值進(jìn)行優(yōu)化，找到最優(yōu)的參數(shù)γ和σ值是必要的，可以提高網(wǎng)絡(luò)入侵檢測精度。

2.2 網(wǎng)絡(luò)入侵檢測的步驟

(1) 收集網(wǎng)絡(luò)入侵檢測數(shù)據(jù)并提取網(wǎng)絡(luò)入侵的特征。

(2) 通過專家估計參數(shù)γ和σ的取值區(qū)間。

(3) 設(shè)Pa=0.6，對鳥巢位置進(jìn)行反編碼，得到參數(shù)γ和σ的值，并對網(wǎng)入侵檢測的訓(xùn)練集進(jìn)行學(xué)習(xí)，得到適應(yīng)度值。

最小乘支持向量機(jī)只能對2個類型的分類問題進(jìn)行求解，而網(wǎng)絡(luò)入侵檢測是多分類問題，所以采用一定的方式建立入侵檢測器，如如圖1所示。

圖1 入侵檢測分類器的結(jié)構(gòu)

3 網(wǎng)絡(luò)入侵檢測效果的測試與分析

3.1 實(shí)驗樣本分布

為了測試改進(jìn)最小二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測效果，選擇KDD Cup 99作為測試對象，并選擇標(biāo)準(zhǔn)最小二乘支持向量機(jī)(LSSVM)和遺傳算法優(yōu)化最小二乘支持向量機(jī)(GA-LSSVM)在相同實(shí)驗環(huán)境下進(jìn)行對比測試，比較它們的入侵檢測率、入侵誤檢率以及平均檢測時間。從KDD Cup 99中選擇部分?jǐn)?shù)據(jù)進(jìn)行具體實(shí)驗，它們分布具體如表2所示。

表2 不同網(wǎng)絡(luò)入侵類型的樣本數(shù)量

首先確定每一種模型的LSSVM參數(shù)，結(jié)果如表3所示。

表3 不同模型的參數(shù)

然后根據(jù)表3的LSSVM參數(shù)建立網(wǎng)絡(luò)入侵檢測模型。

3.2 結(jié)果與分析

為了保證實(shí)驗結(jié)果的公平性，全部模型均執(zhí)行10次，統(tǒng)計平均值作為網(wǎng)絡(luò)入侵檢測的最終實(shí)驗結(jié)果，具體結(jié)果如圖2～圖4所示。

圖2 檢測正確率的比較

圖3 誤檢率的比較

圖4 平均檢測時間比較

對網(wǎng)絡(luò)入侵檢測的實(shí)驗結(jié)果進(jìn)行對比和分析，可發(fā)現(xiàn)

(1) 相對于LSSVM，GA-LSSVM的入侵檢測性能得到了大幅度提長，這是因為通過GA對LSSVM的參數(shù)γ和σ進(jìn)行優(yōu)化，克服經(jīng)驗方法確定參數(shù)γ和σ的缺陷，提高了網(wǎng)絡(luò)入侵正確率，減少了網(wǎng)絡(luò)入侵檢測的誤檢率。

(2) 在所有模型，本文模型的網(wǎng)絡(luò)入侵檢測效果最佳，這說明采用布鳥搜索算法對LSSVM的參數(shù)γ和σ進(jìn)行優(yōu)化，解決了GA存在的不足，建立了更優(yōu)的網(wǎng)絡(luò)入侵檢測模型。

(3) 本文模型的入侵檢測時間最短，提高了網(wǎng)絡(luò)入侵檢測的速度，可以滿足網(wǎng)絡(luò)入侵的實(shí)時性。

5 總結(jié)

為了改善網(wǎng)絡(luò)入侵效果，針對網(wǎng)絡(luò)入侵分類器構(gòu)建過程存在的問題，提出了改進(jìn)最小二乘支持的網(wǎng)絡(luò)入侵檢測模型，采用改進(jìn)布谷鳥搜索算法對最小二乘支持向量機(jī)的參數(shù)進(jìn)行優(yōu)化，建立更優(yōu)的網(wǎng)絡(luò)入侵檢測分類器，采用經(jīng)典數(shù)據(jù)集——KDD Cup 99對模型的有效性和優(yōu)越性進(jìn)行測試，結(jié)果表明，改進(jìn)最小二乘支持向量機(jī)較好的克服了當(dāng)前入侵檢測模型存在的局限性，建立了入侵檢測效果好的網(wǎng)絡(luò)入侵檢測模型，網(wǎng)絡(luò)入侵檢測的誤檢率明顯減少，而且網(wǎng)絡(luò)入侵檢測速度可以滿足網(wǎng)絡(luò)安全實(shí)際應(yīng)用的要求，可以應(yīng)用于網(wǎng)絡(luò)安全的保障中。

[1] 唐正軍,李建華. 入侵檢測技術(shù)[M]. 北京;清華大學(xué)出版社,2004.

[2] 金波, 林家駿, 王行愚. 入侵檢測技術(shù)評述[J]. 華東理工大學(xué)學(xué)報, 2000,26(2):1910-1919.

[3] Denning D E. An Intrusion Detection Model [J]. IEEE Transaction on Software Engineering, 2010, 13(2): 222-232.

[4] 陳仕濤,陳國龍,郭文忠,等. 基于粒子群優(yōu)化和鄰域約簡的入侵檢測日志數(shù)據(jù)特征選擇[J]. 計算機(jī)研究與發(fā)展,2010,47(7);1261-1267.

[5] 周荃, 王崇駿. 基于人工智能技術(shù)的網(wǎng)絡(luò)入侵檢測的若干方法[J]. 計算機(jī)應(yīng)用研究, 2007, 24(5): 144-148.

[6] 胡明霞. 基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測算法[J]. 計算機(jī)工程,2012,38(6 ):148-150.

[7] 段丹青,陳松喬,楊衛(wèi)平,等. 使用粗糙集和支持向量機(jī)檢測入侵[J]. 小型微型計算機(jī)系統(tǒng),2008,29(4): 627-630.

[8] 閆新娟,譚敏生,嚴(yán)亞周,呂明娥. 基于隱馬爾科夫模型和神經(jīng)網(wǎng)絡(luò)的入侵檢測研究[J]. 計算機(jī)應(yīng)用與軟件,2012,29(2):294-297.

[9] 李洋,方濱興,郭莉,等. 基于TCM-KNN和遺傳算法的網(wǎng)絡(luò)異常檢測技術(shù)[J].通信學(xué)報, 2007, 28(12): 48-52.

[10] 姜春茂,張國印,李志聰. 基于遺傳算法優(yōu)化SVM的嵌入式網(wǎng)絡(luò)系統(tǒng)異常網(wǎng)絡(luò)流量異常檢測[J]. 計算機(jī)應(yīng)用與軟件,2011,28(2):287-289.

[11] Yang Wu, Fang Bin-xing, Yun Xiao-chun, et al. Research and implementation of a high-performance distributed intrusion detection system [J]. Journal of Beijing University of Posts and Telecom mutilations, 2004, 27(3):83-86.

[12] 嚴(yán)岳松,倪桂強(qiáng),繆志敏等. 基于SVDD的半監(jiān)督入侵檢測研究[J]. 微電子學(xué)與計算機(jī), 2012, 26(10): 128-130.

[13] 張晶, 吳虎勝. 改進(jìn)二進(jìn)制布谷鳥搜索算法求解多維背包問題[J].計算機(jī)應(yīng)用, 2015, 35(1): 183-188.

Networkintrusiondetectionbyusingimprovedleastsquaressupportvectormachine

MaLeijuan,WangLinsheng

(HenanPolytechnicInstitute,Nanyang473009,China)

The illegal intrusion directly endangers the security of the network. In order to solve the defects of the traditional network intrusion detection model, improve the accuracy of network intrusion detection, an improved least squares support vector machine model is proposed for network intrusion detection. The first is to collect network intrusion detection data and extract the feature. The least squares support vector machine is used as a classifier to detect intrusion detection, network status. Cuckoo search algorithm is introduced to improve the parameters of least squares support vector machine. Finally the KDD Cup 99 data set is chosen as the experimental object. The results show that the improved least squares support vector machine (SVM) can establish the correct network intrusion detection model, reduce the error rate of network intrusion detection, and ensure the network security.

Network system; Illegal intrusion; Network classifier; Cuckoo search algorithm; Detection model

馬磊娟(1981-)，女，南陽人，碩士，講師，研究方向：電子信息科學(xué)與技術(shù)。 *通信作者：王林生(1981-)，男，南陽人, 碩士, 副教授, 研究方向：智能控制技術(shù)。

1007-757X(2017)07-0076-04

TP

A

2017.04.05)