基于小生境遺傳算法的網(wǎng)絡(luò)入侵節(jié)點智能檢測方法

中圖分類號：TP393 文獻標(biāo)志碼：A 文章編號：1671-5489（2025）04-1099-06

Intelligent Detection Method for Network Intrusion Nodes Based on Niche Genetic Algorithm

WANG Jiangang （College ofScience，Xi'an Shiyou University，Xi'an 7loo65，China）

Abstract： In order to reduce the risk of network intrusion，the author proposed an intelligent detection method for network intrusion nodes based on niche genetic algorithm. Firstly，aggregation processing was implemented for the attack behavior of network intrusion，a two-person attack and defense game model was used to analyze the attack and defense status of the network. By comparing the utility strength of attack and defense，a comprehensive analysis of the network's security was carried out. Based on the analysis results，the localization of the attack source was achieved through convolutional neural networks. Secondly，based on rough set theory，the fitness function for network intrusion node detection was determined by using niche genetic algorithm. According to the intelligent detection rules of network intrusion nodes，an inteligent detection model for network intrusion nodes was established to obtain the final detection results. Experimental results show that this method can effectively improve the accuracy of locating intrusion attack sources and detecting intrusion nodes. The macro F₁ score of the detection results of this method is greater than O.96，indicating that this method can effectively achieve the design expectations.

Keywords： niche genetic algorithm； network intrusion； intrusion node；rough set theory； fitnessfunction;intrusion detection

隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全挑戰(zhàn)愈發(fā)嚴(yán)峻[1-2]，網(wǎng)絡(luò)入侵事件呈現(xiàn)顯著增長的趨勢，因此，如何有效且精準(zhǔn)地檢測網(wǎng)絡(luò)入侵節(jié)點已成為網(wǎng)絡(luò)安全領(lǐng)域需要解決的主要問題之一．傳統(tǒng)網(wǎng)絡(luò)人侵檢測方法大部分依賴于固定的規(guī)則和模式，難以有效應(yīng)對日益多變的網(wǎng)絡(luò)攻擊方法[3-4]．而智能檢測方法可采用機器學(xué)習(xí)和深度學(xué)習(xí)等技術(shù)完成對未知人侵行為的有效檢測．例如，馬澤煊等[5]將WaveNet和BiGRU有效融合進行網(wǎng)絡(luò)入侵檢測，但該方法對較復(fù)雜的網(wǎng)絡(luò)攻擊檢測準(zhǔn)確度偏低.陳晨等[6通過 PSOGWO算法對支持向量機（SVM）中的參數(shù)進行優(yōu)化處理，獲取最優(yōu)檢測模型，利用模型完成人侵檢測，但該方法中的SVM對數(shù)據(jù)的分布和質(zhì)量較敏感，尤其是數(shù)據(jù)較集中或出現(xiàn)異常值時，會影響 SVM的性能，進而影響最終檢測結(jié)果．劉金碩等[7通過聯(lián)邦學(xué)習(xí)框架同時將自動編碼模型的深度神經(jīng)網(wǎng)絡(luò)（DNN）作為通用模型，構(gòu)建網(wǎng)絡(luò)入侵檢測模型進行檢測，但該方法的收斂速度不理想，會影響最終的檢測性能．Wang等[8通過深度學(xué)習(xí)算法實現(xiàn)網(wǎng)絡(luò)入侵檢測，但該方法的檢測結(jié)果準(zhǔn)確性偏低．為提高對網(wǎng)絡(luò)入侵節(jié)點的檢測準(zhǔn)確性，本文結(jié)合小生境遺傳算法，提出一種新的網(wǎng)絡(luò)入侵節(jié)點智能檢測方法.

網(wǎng)絡(luò)入侵節(jié)點智能檢測方法設(shè)計

本文首先通過聚合處理網(wǎng)絡(luò)人侵的攻擊行為數(shù)據(jù)，簡化分析復(fù)雜度．其次，利用雙人攻防對弈模型深入分析網(wǎng)絡(luò)的安全狀態(tài)，比較攻擊與防御的效用，為全面評估網(wǎng)絡(luò)安全性提供依據(jù)．再次，借助卷積神經(jīng)網(wǎng)絡(luò)精確定位攻擊源，為后續(xù)的入侵節(jié)點檢測提供關(guān)鍵信息．在此基礎(chǔ)上，結(jié)合粗糙集理論輔助處理數(shù)據(jù)，并利用小生境遺傳算法優(yōu)化檢測過程，確定適應(yīng)度函數(shù)，構(gòu)建智能檢測模型.最后，通過該模型獲得網(wǎng)絡(luò)入侵節(jié)點的檢測結(jié)果，為網(wǎng)絡(luò)安全管理提供有力支持.

1. 1 網(wǎng)絡(luò)入侵攻擊源定位

1. 1. 1 網(wǎng)絡(luò)入侵攻擊行為聚合處理

當(dāng)網(wǎng)絡(luò)遭受攻擊時，需充分考慮其時空變化特性．因此，本文用自回歸系數(shù)法 ? 確定網(wǎng)絡(luò)中的隨機變量，通過對網(wǎng)絡(luò)狀態(tài)的動態(tài)分析，能更準(zhǔn)確把握網(wǎng)絡(luò)受攻擊時的變化規(guī)律，從而更有效地應(yīng)對各種攻擊場景.

考慮到網(wǎng)絡(luò)的實際特點，將網(wǎng)絡(luò)行為分量表示為 N（s，t_k） ，在網(wǎng)絡(luò)各分簇中設(shè)定攻擊行為的平均數(shù)量為 Ψ_c ，則網(wǎng)絡(luò)入侵攻擊行為聚合結(jié)果可表示為

其中 β_s 表示網(wǎng)絡(luò)攻擊源相關(guān)函數(shù)， θ_s 表示網(wǎng)絡(luò)攻擊源短期時變過程， s 表示網(wǎng)絡(luò)節(jié)點集合， κ 表示特定分布下的加性高斯白噪聲.

1. 1. 2 網(wǎng)絡(luò)攻防狀態(tài)分析

網(wǎng)絡(luò)中的近似形式狀態(tài)方程為

其中 表示網(wǎng)絡(luò)中攻擊源對應(yīng)的特征矢量， f_xk 表示狀態(tài)方程， G 表示網(wǎng)絡(luò)拓撲.

為有效簡化聚合過程，在網(wǎng)絡(luò)受到攻擊后，設(shè)各鏈路出現(xiàn)數(shù)據(jù)丟失及發(fā)送錯誤的概率一致．在設(shè)定時間段內(nèi)，可將網(wǎng)絡(luò)攻擊源的聚合結(jié)果 x_k 表示為

其中 u 表示網(wǎng)絡(luò)節(jié)點的數(shù)量， b_s 和 b_j 分別表示攻擊源節(jié)點在設(shè)定時隙采集到感知數(shù)據(jù)的均值和方差，J 表示發(fā)送數(shù)據(jù)包集合的數(shù)量.

當(dāng)網(wǎng)絡(luò)遭受攻擊時，數(shù)據(jù)丟失的風(fēng)險急劇上升，顯著削弱了網(wǎng)絡(luò)的安全性和穩(wěn)定性，嚴(yán)重影響了

整體網(wǎng)絡(luò)的可信賴性．為此，采取評估網(wǎng)絡(luò)安全的方法判定網(wǎng)絡(luò)的安全性．若評估結(jié)果顯示網(wǎng)絡(luò)存在安全風(fēng)險，則必須立即對網(wǎng)絡(luò)攻擊源進行精準(zhǔn)定位.

本文利用雙人攻防博弈模型對網(wǎng)絡(luò)安全進行深度評估，將網(wǎng)絡(luò)的安全防御和攻擊行為設(shè)定為博弈主體．在該模型中，假設(shè)攻擊方從網(wǎng)絡(luò)的某一特定節(jié)點發(fā)起攻擊，攻擊者攻擊網(wǎng)絡(luò)與防御者抵御攻擊時各自的效用函數(shù) τ₁ 和 τ₂ 定義為

其中 P_j¹ 和 P_j² 分別表示第 j 處網(wǎng)絡(luò)的安全漏洞和維度信息， λ 表示網(wǎng)絡(luò)受到攻擊時的正面影響，g 表示網(wǎng)絡(luò)針對 ?_Pj 處攻擊選擇第 k 個防御策略對網(wǎng)絡(luò)產(chǎn)生的負面影響.

在此基礎(chǔ)上，判斷網(wǎng)絡(luò)是否安全，若 τ₁?τ₂ ，則說明網(wǎng)絡(luò)處于安全狀態(tài)；若 τ₁gt;τ₂ ，則說明當(dāng)前網(wǎng)絡(luò)不安全，需要對網(wǎng)絡(luò)攻擊源進行定位.

1.1.3 網(wǎng)絡(luò)攻擊源定位

本文通過卷積神經(jīng)網(wǎng)絡(luò)實現(xiàn)對網(wǎng)絡(luò)攻擊源的定位．在定位過程中，需有效解決網(wǎng)絡(luò)中的大量非線性問題．因此，采用 f（x） 作為卷積神經(jīng)網(wǎng)絡(luò)的激活函數(shù)：

f（x）=max{0，x}，

其中 x 表示卷積神經(jīng)網(wǎng)絡(luò)的輸入樣本，max表示輸入樣本中的最大值．將網(wǎng)絡(luò)輸出結(jié)果轉(zhuǎn)換為多維矩陣的形式，通過多維矩陣進行卷積計算，表示為

其中 C_out 和 I_out 分別表示卷積神經(jīng)網(wǎng)絡(luò)輸出的寬度和高度， I₀，C₀ 分別表示卷積核的高度和寬度，I_in ， C_in 分別表示卷積層的高度和寬度.

在完成卷積處理后，直接將樣本數(shù)據(jù)輸入池化層中，池化層處理中，大幅度降低了數(shù)據(jù)特征的維度，有效實現(xiàn)了數(shù)據(jù)的壓縮和精煉．經(jīng)過池化層處理的數(shù)據(jù)被傳遞至全連接層，該層負責(zé)更深入地分析網(wǎng)絡(luò)數(shù)據(jù)的類別特征，實現(xiàn)更細致的分類劃分．同時，該流程還推動了網(wǎng)絡(luò)的正向傳播，使整個網(wǎng)絡(luò)能更高效地進行學(xué)習(xí)和推理．不斷重復(fù)上述操作，每完成一次迭代后，需計算其網(wǎng)絡(luò)損失，同時判定其是否達到最小值．損失函數(shù) R 定義為

其中 y 表示網(wǎng)絡(luò)預(yù)測輸出值， d 表示網(wǎng)絡(luò)期望輸出值.

由于網(wǎng)絡(luò)攻擊源應(yīng)源自相同位置，因此將式（7）中的損失函數(shù)設(shè)定固定值1作為判別標(biāo)準(zhǔn)，即R_min=1 ．一旦滿足 R=R_min 的條件，網(wǎng)絡(luò)即能迅速且準(zhǔn)確地定位并直接輸出攻擊源數(shù)據(jù)．若不滿足該條件，則需啟動反向傳播機制，對網(wǎng)絡(luò)的偏差量進行精確計算，并對連接權(quán)重進行求導(dǎo)調(diào)整，計算過程如下：

其中 q 和 ω 分別表示網(wǎng)絡(luò)偏差量和連接權(quán)重．通過式（8）進行反向傳播，再利用式（7）進行正向傳播，假設(shè) R_min=1 ，則繼續(xù)進行迭代計算；反之，則終止迭代，同時輸出網(wǎng)絡(luò)入侵攻擊源定位結(jié)果，實現(xiàn)對網(wǎng)絡(luò)攻擊源的定位處理.

1. 2 方法設(shè)計

在確定網(wǎng)絡(luò)入侵攻擊源位置后，基于粗糙集約簡理論，利用小生境遺傳算法精準(zhǔn)地構(gòu)建入侵檢測的適應(yīng)度函數(shù)[9]，再確定檢測規(guī)則，以檢測規(guī)則為依據(jù)組建網(wǎng)絡(luò)人侵節(jié)點智能檢測模型，從而實現(xiàn)對入侵行為的精確檢測.

在該過程中，粗糙集理論在處理不確定性和模糊性方面具有獨特優(yōu)勢，其能描述并處理數(shù)據(jù)的粗糙性和不確定性，有助于更準(zhǔn)確地識別網(wǎng)絡(luò)入侵節(jié)點，小生境遺傳算法則可以在此基礎(chǔ)上進行全局搜索和優(yōu)化，通過選擇、交叉和變異操作，找到最合適的網(wǎng)絡(luò)人侵節(jié)點檢測規(guī)則．這種結(jié)合可提高網(wǎng)絡(luò)入侵節(jié)點檢測的準(zhǔn)確性和效率，使檢測結(jié)果更可靠.

為全面分析網(wǎng)絡(luò)中的入侵?jǐn)?shù)據(jù)，首先，將所有相關(guān)數(shù)據(jù)整合到一個統(tǒng)一的信息表中，并通過決策值與其對應(yīng)的關(guān)系進行精確匹配[10]．其次，為進一步提升檢測的準(zhǔn)確性和效率，引人辨識度矩陣進行細致的分類檢測，以確保每種入侵行為都能得到精準(zhǔn)識別并有效應(yīng)對：

其中 D_θ 表示策略參數(shù)變量， E_ι 表示約簡辨識度， s 表示識別檢測陣列．基于此，組建模糊判別矩陣H^R 為

H^R=H_ij^R×ψ（D_θE_t）×R，

其中 H_ij^R 表示模糊屬性．完成上述操作后，即形成初始網(wǎng)絡(luò)入侵節(jié)點檢測小生境遺傳算法，步驟如下：

1）輸入決策表并進行辨識CORE計算.2）確定辨別矩陣.3）備選網(wǎng)絡(luò)入侵屬性信息.4）為構(gòu)建粗糙集，引入小生境遺傳算法進行離散化處理，進而獲取最優(yōu)解，操作步驟為：① 篩選合適的樣本數(shù)據(jù)輸入到網(wǎng)絡(luò)中，同時對全部樣本數(shù)據(jù)進行離散化處理，形成網(wǎng)絡(luò)入侵檢測規(guī)則表；② 對 ① 得到的網(wǎng)絡(luò)人侵檢測規(guī)則表進行約簡，獲取最小屬性規(guī)則集；③ 如果計算的種群個體適應(yīng)度滿足設(shè)定終止條件，則輸出規(guī)則；反之，則需進行選擇等操作，直至其適應(yīng)度取值滿足終止條件時停止操作.

完成上述操作后，根據(jù)得到的網(wǎng)絡(luò)入侵檢測規(guī)則，給出滿足輸出需求的檢測決策變量：

其中 η 表示決策因子， t 表示進化次數(shù)， Z_k 和 Y_k 分別表示交叉因子和目標(biāo)決策變量.

由目標(biāo)決策變量可知，在網(wǎng)絡(luò)入侵節(jié)點智能檢測過程中易受變異算子影響形成檢測誤差．為有效解決該問題，需先構(gòu)建一個智能化的網(wǎng)絡(luò)入侵節(jié)點檢測模型，再用模型對網(wǎng)絡(luò)人侵攻擊信息進行精準(zhǔn)評估．在實際操作中，對原始網(wǎng)絡(luò)人侵節(jié)點的分類至關(guān)重要，因此需先構(gòu)建入侵檢測向量．為提升檢測的準(zhǔn)確性，采用極值理論構(gòu)建概率密度分布函數(shù)，并確保該函數(shù)具有較強的魯棒性．根據(jù)以上分析，將模型的比例參數(shù) r 定義為

其中 h_j 和 l_j 分別表示網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)適配因子和變動因子， 5 表示攻擊樣本對應(yīng)的權(quán)重值．根據(jù)上述參數(shù)組建網(wǎng)絡(luò)入侵節(jié)點智能檢測模型 V ，通過模型完成檢測：

其中表示網(wǎng)絡(luò)內(nèi)待檢測節(jié)點數(shù)量， ρ_s 表示入侵概率權(quán)重.

2 實驗及結(jié)果分析

為驗證基于小生境遺傳算法網(wǎng)絡(luò)入侵節(jié)點智能檢測方法的有效性，分別將其與文獻[5]和文獻[6]的方法進行實驗比較．搭建實驗平臺的相關(guān)參數(shù)如下：處理器為IntelCorei5，操作系統(tǒng)為Windows10，顯卡為GTX590，內(nèi)存為128GB，Python3.7.6，Tensorflow2.0.0，Keras2.3.1，工具包

采用Imbalanced learn.

2.1 網(wǎng)絡(luò)入侵攻擊源定位性能測試

分別在以下4種不同環(huán)境下進行網(wǎng)絡(luò)入侵攻擊源定位處理.

1）高負載環(huán)境：在該環(huán)境下，網(wǎng)絡(luò)流量較大，包含大量正常請求和可能的入侵攻擊．模擬在網(wǎng)絡(luò)負載較高情況下進行入侵節(jié)點智能檢測，考察本文方法對檢測性能的影響2）低負載環(huán)境：在低負載環(huán)境中，網(wǎng)絡(luò)流量相對較少，人侵節(jié)點可能更難被檢測到．該環(huán)境下可以評估本文方法在低負載情況下的檢測效果.3）動態(tài)環(huán)境：該環(huán)境下網(wǎng)絡(luò)流量、攻擊類型、攻擊強度等會不斷變化，模擬網(wǎng)絡(luò)環(huán)境的持續(xù)變化，測試本文方法在動態(tài)環(huán)境下的適應(yīng)性和穩(wěn)定性.4）混合環(huán)境：在混合環(huán)境中，同時存在不同種類的網(wǎng)絡(luò)流量和攻擊，包括常見的DDoS攻擊、SQL注入攻擊、惡意軟件傳播等．通過在該環(huán)境下進行測試，可以評估本文方法對多樣化攻擊的適應(yīng)能力.

不同網(wǎng)絡(luò)測試環(huán)境下本文方法的入侵攻擊源定位結(jié)果如圖1所示．由圖1可見，采用本文方法可精準(zhǔn)定位網(wǎng)絡(luò)人侵攻擊源所在位置，獲取高準(zhǔn)確率的定位結(jié)果，為后續(xù)網(wǎng)絡(luò)入侵節(jié)點智能檢測提供參考.

2.2 網(wǎng)絡(luò)入侵節(jié)點智能檢測性能測試

實驗選取宏 F₁ 分?jǐn)?shù)macro- ?F₁ 作為測試指標(biāo)對各檢測方法的整體性能進行分析，該指標(biāo)定義為

其中Precision表示精確率，Recall表示召回率， n 表示測試類別數(shù)， F_1n 表示第 n 類的 F₁ 分?jǐn)?shù)．宏 F₁ 分?jǐn)?shù)取值越接近于1，說明檢測性能越好．圖2為不同檢測方法的宏 F₁ 分?jǐn)?shù)測試結(jié)果．由圖2可見，本文方法在宏 F₁ 分?jǐn)?shù)上表現(xiàn)更佳，數(shù)值始終大于0.96，更接近于1，表明了其在精確率和召回率方面

的優(yōu)越性．而其他兩種方法宏 F₁ 分?jǐn)?shù)偏低，顯然存在優(yōu)化和完善的空間.

分別采用3種不同方法進行網(wǎng)絡(luò)入侵節(jié)點智能檢測，實驗結(jié)果如圖3所示．由圖3可見，采用文獻[5]和文獻[6]方法進行入侵節(jié)點檢測時，分別出現(xiàn)了誤檢以及漏檢的情況，無法有效確保網(wǎng)絡(luò)的安全運行，而采用本文方法可精準(zhǔn)檢測人侵檢測，充分驗證了本文方法在入侵檢測方面的優(yōu)越性能.

綜上所述，針對傳統(tǒng)入侵檢測方法存在的不足，本文提出了一種基于小生境遺傳算法的網(wǎng)絡(luò)入侵節(jié)點智能檢測方法．實驗結(jié)果表明，該方法可有效且精準(zhǔn)定位網(wǎng)絡(luò)人侵攻擊源，同時還可有效提升宏 F₁ 分?jǐn)?shù)，獲取高準(zhǔn)確率的入侵節(jié)點檢測結(jié)果，有效確保網(wǎng)絡(luò)的正常運行.

參考文獻

[1］李晶，黃杰，朱國威，等．基于自適應(yīng)一維CNN的網(wǎng)絡(luò)入侵檢測方法［J]．武漢大學(xué)學(xué)報（工學(xué)版），2022，55（11）：1176-1185.（LI J，HUANG J， ZHU G W，et al. Network Intrusion Detection Method Based onAdaptive One-Dimensional CNN[J]. Engineering Journal of Wuhan University，2022，55（11）：1176-1185.）

[2]胡向東，李之涵．基于膠囊網(wǎng)絡(luò)的工業(yè)互聯(lián)網(wǎng)入侵檢測方法［J]．電子學(xué)報，2022，50（6）：1457-1465.（HU XD，LI Z H. Intrusion Detection Method Based on Capsule Network for Industrial Internet [J].ActaElectronica Sinica，2022，50（6）：1457-1465.）

[3]馬明艷，陳偉，吳禮發(fā)．基于CNN-BiLSTM網(wǎng)絡(luò)的入侵檢測方法［J]．計算機工程與應(yīng)用，2022，58（10）：116-124.（MA M Y，CHEN W，WU L F. CNN-BiLSTM Network Based Intrusion Detection Method [J].Computer Engineering and Applications，2022，58（10）：116-124.）

[4]李珊珊，李兆玉，賴雪梅，等．基于概率神經(jīng)網(wǎng)絡(luò)的增量式入侵檢測方法[J]．計算機仿真，2022，39（9）：476-482.（LI S S，LI Z Y，LAI X M，etal. Incremental Intrusion Detection Method Based on Probabilistic NeuralNetworks [J]. Computer Simulation，2022，39（9）：476-482.）

[5］馬澤煊，李進，路艷麗，等．融合WaveNet 和 BiGRU的網(wǎng)絡(luò)入侵檢測方法［J]．系統(tǒng)工程與電子技術(shù)，2022，44（8）：2652-2660.（MA Z X，LIJ，LU YL，et al. Network Intrusion Detection Method Based on WaveNet andBiGRU [J]. Systems Engineering and Electronics，2022，44（8）：2652-2660.）

[6］陳晨，劉曙，王藝菲，等．基于PSOGWO-SVM的網(wǎng)絡(luò)入侵檢測方法［J]．空軍工程大學(xué)學(xué)報（自然科學(xué)版），2022，23（2）： 97-105. （CHEN C，LIU S，WANG Y F，et al. A Network Intrusion Detection Method Based onPSOGWO-SVM[J]. Journal of Air Force Engineering University（Natural Science Edition），2022，23（2）：97-105.）

[7]劉金碩，詹岱依，鄧娟，等．基于深度神經(jīng)網(wǎng)絡(luò)和聯(lián)邦學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測［J]．計算機工程，2023，49（1）：15-21.（LIUJS， ZHAN D Y， DENG J，et al. Network Intrusion Detection Based on Deep Neural Network andFederated Learning[J].Computer Engineering，2023，49（1）：15-21.）

[8]WANG W，JIAN SL，TAN Y S，et al. Robust Unsupervised Network Intrusion Detection with Self-supervisedMasked Context Reconstruction [J]. Computers amp; Security，2023，128：103131-1-103131-11.

[9]黃學(xué)臻，翟翟，周琳，等．基于輕量級密集神經(jīng)網(wǎng)絡(luò)的車載自組網(wǎng)入侵檢測方法［J]．電子技術(shù)應(yīng)用，2022，48（7）： 67-73.（HUANG X Z， ZHAI Z， ZHOU L， et al. Intrusion Detection Method for VANET Based on LightDense Neural Network [J]. Application of Electronic Technique，2022，48（7）： 67-73.）

[10］張安琳，張啟坤，黃道穎，等．基于CNN與 BiGRU融合神經(jīng)網(wǎng)絡(luò)的入侵檢測模型[J]．鄭州大學(xué)學(xué)報（工學(xué)版），2022，43（3）： 37-43. （ZHANG A L， ZHANG Q K，HUANG D Y，et al. Intrusion Detection Model Based onCNN and BiGRU Fused Neural Network [J]. Journal of Zhengzhou University（Engineering Science），2022，43（3）：37-43.）

（責(zé)任編輯：韓嘯）