基于機器學習算法的網(wǎng)絡入侵檢測

張夏

摘 要： 網(wǎng)絡入侵的頻率越來越高，嚴重危害了網(wǎng)絡安全。為了獲得高正確率的網(wǎng)絡入侵檢測結(jié)果，針對當前網(wǎng)絡入侵檢測模型的局限性，提出基于機器學習算法的網(wǎng)絡入侵檢測模型，通過機器學習算法中性能優(yōu)異的支持向量機構建“一對一”的網(wǎng)絡入侵檢測分類器，采用當前標準網(wǎng)絡入侵檢測數(shù)據(jù)庫對模型的有效性進行驗證，網(wǎng)絡入侵檢測正確率高達95%以上，檢測誤差遠遠低于實際應用范圍，可以應用于實際的網(wǎng)絡安全管理中。

關鍵詞： 網(wǎng)絡安全； 入侵行為； 機器學習算法； 入侵檢測； 分類器； 檢測誤差

中圖分類號： TN915.08?34 文獻標識碼： A 文章編號： 1004?373X（2018）03?0124?04

Abstract： The frequent network intrusion endangers the network security seriously. In order to obtain the network intrusion detection results with high accuracy， a network intrusion detection model based on machine learning algorithm is proposed for the limitations of the current network intrusion detection model. The support vector machine of machine learning algorithm is used to construct the one?to?one network intrusion detection classifier. The standard network intrusion detection database is used to verify the effectiveness of the model with experiment. The network intrusion detection rate is higher than 95%， the detection error is far below the actual application range. The model can be applied to the practical network security management.

Keywords： network security； intrusion behavior； machine learning algorithm； intrusion detection； classifier； detection error

0 引 言

隨著網(wǎng)絡應用的不斷推廣，網(wǎng)絡安全問題受到了人們的高度關注。傳統(tǒng)網(wǎng)絡安全防范技術主要有數(shù)據(jù)加密、殺毒軟件等，這些都是被動防范方式，無法抵擋外來的入侵行為，這樣網(wǎng)絡安全性就無法得到有效保護[1]。主動網(wǎng)絡安全防范技術主要為入侵檢測，可以對網(wǎng)絡安全狀態(tài)進行實時檢測，發(fā)現(xiàn)一些非法的入侵行為，網(wǎng)絡入侵成為當前研究的重點[2?3]。

當前對網(wǎng)絡入侵檢測的研究已經(jīng)很深入，出現(xiàn)了許多性能較優(yōu)的網(wǎng)絡入侵檢測模型。當前網(wǎng)絡入侵檢測模型大致可以分為誤用檢測和異常檢測兩大類。誤用檢測是最原始的入侵檢測技術，其構建一種網(wǎng)絡入侵檢測的數(shù)據(jù)庫，將待檢測行為與數(shù)據(jù)庫中的入侵行為進行匹配，如果匹配就將其劃分到相應的入侵類別中，反之就是正常行為[4?5]。在實際應用中，誤用檢測模型只能檢測到已經(jīng)存在的入侵行為，無法檢測到一些新的入侵行為，因此，當有新的入侵行為時，該模型就無能為力了，實際應用價值較低[5]。相對于誤用檢測技術，異常檢測技術屬于模式識別，通過一定的規(guī)則對入侵行為進行分析，可以檢測到一些新的、從來沒有出現(xiàn)過的入侵行為，實際應用價值相對較高，成為當前網(wǎng)絡安全領域研究的一個重要方向[6?8]。在網(wǎng)絡入侵的異常檢測過程中，入侵行為的分類器選擇十分關鍵，當前主要有神經(jīng)網(wǎng)絡進行網(wǎng)絡入侵行為分類器的構建，而神經(jīng)網(wǎng)絡是一種基于大數(shù)據(jù)理論的建模方法，要求訓練樣本足夠多，這就增加了網(wǎng)絡入侵檢測的成本，同時網(wǎng)絡入侵實際是一種小樣本，難以滿足大樣本的要求，因此，神經(jīng)網(wǎng)絡的網(wǎng)絡入侵檢測結(jié)果不太穩(wěn)定，檢測正確率時高時低，檢測結(jié)果不太可信[9]。近年來，隨著機器學習理論研究的不斷深入，出現(xiàn)了一種新型建模技術——支持向量機，相對神經(jīng)網(wǎng)絡，支持向量機對訓練樣本數(shù)量要求沒有那么高，而且學習性能也不比神經(jīng)網(wǎng)絡差，為此有學者將其引入到網(wǎng)絡入侵檢測的應用中[10]。在基于支持向量機的網(wǎng)絡入侵檢測建模過程中，存在以下難題：支持向量機參數(shù)的確定，當前對于參數(shù)確定問題，有學者采用梯度下降算法、遺傳算法進行尋優(yōu)得到，但是梯度下降算法的尋優(yōu)時間長，影響網(wǎng)絡入侵檢測的效率；遺傳算法的遺傳算子設置沒有統(tǒng)一的理論指導，易獲得局部最優(yōu)的參數(shù)值，影響網(wǎng)絡入侵的檢測結(jié)果[11]。

為了獲得高正確率的網(wǎng)絡入侵檢測結(jié)果，針對當前網(wǎng)絡入侵檢測模型的局限性，提出基于蟻群算法確定支持向量機參數(shù)的網(wǎng)絡入侵檢測模型，通過機器學習算法——支持向量機構建“一對多”的網(wǎng)絡入侵檢測分類器，采用蟻群算法確定最優(yōu)參數(shù)，采用當前標準網(wǎng)絡入侵檢測數(shù)據(jù)庫對模型的有效性進行測試，網(wǎng)絡入侵檢測正確率高達95%以上，檢測誤差遠遠低于實際應用范圍。

1 相關理論

1.1 支持向量機

支持向量機是由Vapnik等提出的一種性能優(yōu)異、專門針對小樣本的機器學習算法，與神經(jīng)網(wǎng)絡的工作原理不同，其根據(jù)結(jié)構風險最小化原理進行建模，是一種二分類算法，通過找到一個最優(yōu)平面，將全部訓練樣本劃分為兩類：一類位于平面上方；另一類位于平面下方。同時使樣本盡可能遠離最優(yōu)平面，處于最優(yōu)平面上的樣本稱之為支持向量，其工作原理如圖1所示。endprint

對于含有個樣本的集合采用函數(shù)對樣本進行映射，然后在映射空間進行樣本的分類，則有：

要找到最優(yōu)分類平面，必須找到最優(yōu)與值，而對于式（1）進行直接求解，得到最優(yōu)與值十分困難，為此基于結(jié)構風險最小化原理，設置如下約束條件：

1.2 參數(shù)對網(wǎng)絡入侵檢測的影響分析

對支持向量機的工作原理進行分析可以發(fā)現(xiàn)，參數(shù)和對其學習性能的影響十分重要。選擇一個訓練樣本，分析不同參數(shù)條件下，網(wǎng)絡入侵檢測的正確率，結(jié)果如表1所示。對表1進行分析可知，即使環(huán)境和數(shù)據(jù)均相同，不同參數(shù)的入侵檢測正確率差別仍然很大，因此需要選擇參數(shù)和的最優(yōu)值。

1.3 蟻群算法

蟻群算法是一種較常用的搜索優(yōu)化算法。蟻群在覓食過程中，在路徑上遺留下信息素，其他螞蟻通過信息素進行爬行路徑識別，信息素濃度越高，螞蟻經(jīng)過該路徑的數(shù)量就越多，其他螞蟻選擇該條路徑的概率就越高，基本工作原理如圖2所示。

設螞蟻數(shù)為那么就可以得到如下計算公式：

式中表示節(jié)點上的螞蟻數(shù)。

在時刻，節(jié)點和的路徑殘留信息素濃度為：

式中為的信息素濃度。

蟻群算法的初始工作階段，螞蟻選擇下一個節(jié)點的轉(zhuǎn)移概率為：

式中：為節(jié)點轉(zhuǎn)移到的局部啟發(fā)信息；為未訪問的節(jié)點集合；和為權重參數(shù)。

經(jīng)過一段時間后，蟻群完成一次路徑搜索，需要更新路徑上的信息素，具體為：

式中：為信息素的揮發(fā)度；為路徑上的信息素增量；為信息素之和，其表達式為：

式中：為常量；為本次循環(huán)的總時間。

2 網(wǎng)絡入侵模型的構建

在網(wǎng)絡入侵檢測中，LSSVM參數(shù)優(yōu)化問題可以采用下式進行表示：

網(wǎng)絡入侵檢測的步驟如下：

Step1：對網(wǎng)絡狀態(tài)信息進行收集，提取網(wǎng)絡入侵檢測的特征，并對特征進行如下處理：

式中和分別為最大和最小值。

Step2：將支持向量機參數(shù)看作蟻群爬行的一條路徑，根據(jù)每一組參數(shù)對網(wǎng)絡入侵檢測訓練樣本進行建模，得到不同的檢測正確率。

Step3：通過蟻群的信息素更新操作和節(jié)點轉(zhuǎn)移，實現(xiàn)路徑爬行，最后通過路徑尋優(yōu)找到最優(yōu)的參數(shù)組合。

Step4：根據(jù)最優(yōu)的參數(shù)組合建立最優(yōu)的網(wǎng)絡入侵檢測模型。

由于支持向量機針對兩個類別的分類問題，而網(wǎng)絡入侵行為有很多種類型，如：拒絕服務攻擊、未授權遠程訪問攻擊、端口掃描攻擊等。本文采用一種“一對一”的方式構建多分類器，如圖3所示。

3 實驗結(jié)果與分析

選擇省理工學院的KDD Cup的網(wǎng)絡入侵檢測數(shù)據(jù)集作為測試對象，包括4種網(wǎng)絡入侵行為：DoS，Probe，U2R和R2L。由于該數(shù)據(jù)集的規(guī)模十分龐大，為此，從中隨機選取10%的數(shù)據(jù)進行具體實驗。為了使本文模型（ACO?SVM）實驗結(jié)果具有說服力，采用BP神經(jīng)網(wǎng)絡（BPNN）、遺傳算法優(yōu)化SVM（GA?SVM）的網(wǎng)絡入侵檢測模型作為對比模型，采用如下指標作為實驗結(jié)果評價標準：

仿真實驗結(jié)果如圖4所示。從圖4可知，在所有模型中，ACO?SVM的網(wǎng)絡入侵檢測正確率最高，其次為GA?SVM，網(wǎng)絡入侵檢測正確率最低者為BPNN，同時誤報率也最低，這表明ACO?SVM可以比較精確地實現(xiàn)網(wǎng)絡入侵行為的識別，獲得比較理想的檢測結(jié)果。同時從圖4b）可以看出，ACO?SVM網(wǎng)絡入侵檢測用時最少，可以滿足網(wǎng)絡入侵檢測的效率要求，網(wǎng)絡入侵檢測結(jié)果的優(yōu)越性十分明顯。

4 結(jié) 語

網(wǎng)絡入侵檢測的建模是一種重要網(wǎng)絡安全防范技術，當前網(wǎng)絡入侵檢測模型無法準確刻畫入侵行為，導致網(wǎng)絡入侵檢測不理想，為此設計了基于機器學習算法的網(wǎng)絡入侵檢測模型，通過支持向量機對網(wǎng)絡入侵檢測特征和網(wǎng)絡入侵行為之間的映射關系進行擬合，建立反應兩者關系的網(wǎng)絡入侵檢測模型。實驗結(jié)果表明，該模型不僅可以精確地對網(wǎng)絡入侵行為進行識別，而且檢測的速度相當快，獲得了比其他模型更優(yōu)的網(wǎng)絡入侵檢測結(jié)果，具有廣泛的應用前景。

參考文獻

[1] DENNING D E. An intrusion detection model [J]. IEEE transactions on software engineering， 2010， 13（2）： 222?232.

[2] SUNG A H. Identify important features for intrusion detection using support vector machines and neural networks [C]// Proceedings of 2003 IEEE Symposium on Application and the Internet. Orlando： IEEE， 2013： 209?217.

[3] 李響.基于經(jīng)驗模態(tài)分解的局域網(wǎng)絡入侵檢測算法[J].西南師范大學學報（自然科學版），2016，41（8）：132?137.

LI Xiang. Local network intrusion detection algorithm based on empirical mode decomposition [J]. Journal of Southwestern Normal University （natural science edition）， 2016， 41（8）： 132?137.

[4] 沈夏炯，王龍，韓道軍.人工蜂群優(yōu)化的BP神經(jīng)網(wǎng)絡在入侵檢測中的應用[J].計算機工程，2016，42（2）：190?194.

SHEN Xiajiong， WANG Long， HAN Daojun. BP neural network artificial bee colony optimization in the application of intrusion detection [J]. Computer engineering， 2016， 42（2）： 190?194.endprint

[5] 魏旻，王一帆，李玉，等.基于WIA?PA網(wǎng)絡的周界入侵檢測系統(tǒng)設計與實現(xiàn)[J].重慶郵電大學學報（自然科學版），2013，25（2）：148?153.

WEI Min， WANG Yifan， LI Yu， et al. WIA?PA network based perimeter intrusion detection system design and implementation [J]. Journal of Chongqing University of Post and Telecommunications （natural science edition）， 2013， 25（2）： 148?153.

[6] VILAPLANA V， MARQUES F， SALEMBIER P. Binary partition trees for object detection [J]. IEEE transactions on image processing， 2010， 17（11）： 2201?2216.

[7] HONG J， SU M Y， CHEN Y H， et a1. A novel intrusion detection system based on hierarchical clustering and support vector machines [J]. Expert systems with applications， 2011（38）： 306?313.

[8] MUNI D P， PAL N R， DAS J. Genetic programming for simultaneous feature selection and classifier design [J]. IEEE transactions on systems， man， and cybernetics： part B， 2009， 36（1）： 106?117.

[9] KENNEDY J， EBERHART R C. Particle swarm optimization [C]// Proceedings of 2005 IEEE International Conference on Neural Networks. Perth： IEEE， 2005： 1942?1948.

[10] 楊宏宇，趙明瑞，謝麗霞.基于自適應進化神經(jīng)網(wǎng)絡算法的入侵檢測[J].計算機工程與科學，2014，36（8）：1469?1475.

YANG Hongyu， ZHAO Mingrui， XIE Lixia. Intrusion detection based on adaptive evolutionary neural network algorithm [J]. Computer engineering and science， 2014， 36（8）： 1469?1475.

[11] 江峰，王春平，晉惠芬.基于相對決策熵的決策樹算法及其在入侵檢測中的應用[J].計算機科學，2012，39（4）：223?226.

JIANG Feng， WANG Chunping， JIN Huifen. Decision tree algorithm based on relative decision entropy and its application in intrusion detection [J]. Computer science， 2012， 39（4）： 223?226.

[12] 龔儉，王卓然，蘇琪，等.面向網(wǎng)絡安全事件的入侵檢測與取證分析[J].華中科技大學學報（自然科學版），2016，44（11）：30?33.

GONG Jian， WANG Zhuoran， SU Qi， et al. Intrusion detection and forensics analysis for network security incidents [J]. Journal of Huazhong University of Science and Technology （natural science edition）， 2016， 44（11）： 30?33.endprint