李玉霞，劉麗，沈桂蘭

1.北京聯(lián)合大學(xué)商務(wù)學(xué)院，北京 100025

2.北京聯(lián)合大學(xué)生物化學(xué)工程學(xué)院，北京 100023

基于AFSA-SVM的網(wǎng)絡(luò)入侵檢測(cè)模型

李玉霞1，劉麗2，沈桂蘭1

1.北京聯(lián)合大學(xué)商務(wù)學(xué)院，北京 100025

2.北京聯(lián)合大學(xué)生物化學(xué)工程學(xué)院，北京 100023

隨著Internet規(guī)模不斷壯大，網(wǎng)絡(luò)攻擊在數(shù)量和危害程度上均呈上升趨勢(shì)，網(wǎng)絡(luò)安全問(wèn)題日益突出。傳統(tǒng)防火墻、數(shù)據(jù)加密等被動(dòng)防御措施無(wú)法滿足現(xiàn)代網(wǎng)絡(luò)安全性要求，入侵檢測(cè)作為一種主動(dòng)防御技術(shù)，成為現(xiàn)代網(wǎng)絡(luò)安全研究中的熱點(diǎn)問(wèn)題[1]。

網(wǎng)絡(luò)入侵檢測(cè)是指從網(wǎng)絡(luò)中收集數(shù)據(jù)，然后對(duì)數(shù)據(jù)特征進(jìn)行分析，最后檢測(cè)出入侵行為，并給出入侵警報(bào)[2]。網(wǎng)絡(luò)入侵檢測(cè)實(shí)質(zhì)上是一種多分類(lèi)問(wèn)題，主要包括特征選擇、分類(lèi)器設(shè)計(jì)等步驟[3]。原始網(wǎng)絡(luò)特征中包含大量冗余信息和對(duì)檢測(cè)結(jié)果起“反作用”的噪聲特征，如果不加選擇直接使用，不僅大大削弱了分類(lèi)器的分類(lèi)性能，而且增加“維數(shù)災(zāi)難”出現(xiàn)概率，對(duì)入侵檢測(cè)結(jié)果產(chǎn)生不利影響[4]。當(dāng)前網(wǎng)絡(luò)特征選擇算法主要有：窮舉算法、遺傳算法、粒子群優(yōu)化算法、免疫算法以及相關(guān)的改進(jìn)算法[5-9]。窮舉算法計(jì)算量大，搜索效率低，不能滿足網(wǎng)絡(luò)入侵檢測(cè)的實(shí)時(shí)性；遺傳算法、粒子群優(yōu)化算法、免疫算法等存在收斂速度慢、極易陷入局部極值等缺陷，難以找到全局最優(yōu)的網(wǎng)絡(luò)狀態(tài)特征[10]。當(dāng)前入侵檢測(cè)分類(lèi)器主要基于機(jī)器學(xué)習(xí)算法進(jìn)行設(shè)計(jì)，有神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)（Support Vector Machine，SVM）等[11-12]。神經(jīng)網(wǎng)絡(luò)基于經(jīng)驗(yàn)風(fēng)險(xiǎn)最小化原則和“大樣本”理論，當(dāng)不能滿足“大樣本”要求時(shí)，易出現(xiàn)過(guò)擬合、分類(lèi)能力差等缺陷；SVM是一種專(zhuān)門(mén)針對(duì)小樣本、高維、非線性問(wèn)題的機(jī)器學(xué)習(xí)算法，較好地克服了神經(jīng)網(wǎng)絡(luò)過(guò)擬合、“維數(shù)災(zāi)”等缺陷，泛化能力優(yōu)異，成為網(wǎng)絡(luò)入侵檢測(cè)的主要分類(lèi)器，因此本研究選擇SVM建立入侵檢測(cè)分類(lèi)器。

人工魚(yú)群算法（Artificial Fish Swarm Algorithm，AFSA）是一種模擬魚(yú)群的覓食和生存活動(dòng)的智能仿生算法，具有對(duì)初值和參數(shù)選擇不敏感、魯棒性強(qiáng)、簡(jiǎn)單、易實(shí)現(xiàn)等優(yōu)點(diǎn)，在組合優(yōu)化領(lǐng)域取得了不錯(cuò)的應(yīng)用效果[13]。網(wǎng)絡(luò)入侵特征選擇實(shí)質(zhì)上是一個(gè)大規(guī)?？臻g搜索的組合優(yōu)化問(wèn)題，因此可借助于AFSA進(jìn)行求解。為了提高網(wǎng)絡(luò)入侵檢測(cè)效果，針對(duì)當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)特征選擇問(wèn)題，提出一種AFSA和SVM相融合的網(wǎng)絡(luò)入侵檢測(cè)模型（AFSA-SVM），并采用KDD CUP 99數(shù)據(jù)集對(duì)AFSA-SVM進(jìn)行仿真測(cè)試，驗(yàn)證其有效性。

1 網(wǎng)絡(luò)入侵檢測(cè)模型的工作原理

基于AFSA-SVM的網(wǎng)絡(luò)入侵模型工作原理為：首先對(duì)訓(xùn)練集數(shù)據(jù)進(jìn)行預(yù)處理，采用AFSA產(chǎn)生初始特征子集，利用SVM建立入侵檢測(cè)分類(lèi)器對(duì)特征子集的優(yōu)劣進(jìn)行評(píng)估，然后通過(guò)魚(yú)群的覓食、聚群及追尾行為，快速找到最優(yōu)特征子集，并根據(jù)選擇的最優(yōu)特征子集對(duì)訓(xùn)練集和測(cè)試集進(jìn)行特征約簡(jiǎn)，最后將特征約簡(jiǎn)后的訓(xùn)練集送到SVM進(jìn)行訓(xùn)練，建立網(wǎng)絡(luò)入侵檢測(cè)模型，并對(duì)特征約簡(jiǎn)后的測(cè)試集進(jìn)行檢測(cè)。AFSA-SVM的框架如圖1所示。

圖1 AFSA-SVM入侵檢測(cè)框架

2 改進(jìn)人工魚(yú)群算法

2.1 基本人工魚(yú)群算法

人工魚(yú)群算法（AFSA）模仿魚(yú)群的覓食和追尾行為，搜索能力強(qiáng)，且搜索速度快，魚(yú)群的幾種典型行為如下：

（1）覓食行為。設(shè)人工魚(yú)當(dāng)前狀態(tài)為Xi，隨機(jī)在其視野范圍內(nèi)選擇一個(gè)狀態(tài)Xj，如果食物密度Yi＜Yj，則向此方向前進(jìn)一步，否則，重新隨機(jī)選擇狀態(tài)Xj，判斷是否滿足前進(jìn)條件；反復(fù)試探nj次后，如果仍然不能滿足前進(jìn)條件，那么就隨機(jī)移動(dòng)一步。用數(shù)學(xué)表達(dá)式表示為：

式中，Rand（）為（0，1）范圍內(nèi)的隨機(jī)數(shù)；Step為移動(dòng)步長(zhǎng)。

（2）聚群行為。設(shè)人工魚(yú)當(dāng)前狀態(tài)為Xi，其視野范圍內(nèi)的伙伴數(shù)目為nf、中心位置為Xc。若Yc/nf＞δYi，δ為擁擠度因子，那么表明伙伴中心有較多的食物，并且不太擁擠，則朝伙伴中心移動(dòng)一步，否則執(zhí)行覓食行為。其數(shù)學(xué)表達(dá)式如下：

（3）追尾行為。設(shè)人工魚(yú)當(dāng)前狀態(tài)為Xi，其視野范圍內(nèi)食物濃度最高Yj的人工魚(yú)位置為Xmax。若Yj/nf＞δYi，則表示伙伴Xmax具有較高的食物濃度并且其周?chē)惶珦頂D，則朝伙伴Xj前進(jìn)一步，否則執(zhí)行覓食行為。

（4）隨機(jī)行為。人工魚(yú)在視野范圍內(nèi)隨機(jī)選擇一個(gè)狀態(tài)，然后向該方向移動(dòng)，屬于覓食行為的缺省行為。

（5）公告板。公告牌是用于記錄最優(yōu)人工魚(yú)的狀態(tài)。

AFSA也是一種隨機(jī)搜索算法，對(duì)于復(fù)雜問(wèn)題，同樣存在尋優(yōu)后期搜索效率低、易陷入局部最優(yōu)解等缺陷[14]。

2.2 人工魚(yú)群算法的改進(jìn)

混沌現(xiàn)象是非線性動(dòng)力學(xué)系統(tǒng)中特有的一種現(xiàn)象，具有隨機(jī)性、遍歷性和確定性，因此在AFSA中引入混沌，能夠有效地避免算法長(zhǎng)時(shí)間位于局部極小附近，提高算法的全局收斂性和搜索效率?；煦缱兞康腡ent映射為：

根據(jù)Tent映射，人工魚(yú)i按照如下的步驟在可行域中產(chǎn)生混沌點(diǎn)列：

（1）將人工魚(yú)狀態(tài)Xi的每一維Xik，k=1，2，…，n，按式（5）映射到[0，1]區(qū)間上：

式中，ak，bk分別表示第k維變量Xik的最小值與最大值。（2）式（5）迭代M次后，產(chǎn)生混沌序列

（3）根據(jù)式（6）將混沌序列中狀態(tài)值映射到原空間。

（4）由這些混沌序列可以得到Xi經(jīng)過(guò)Tent映射后的混沌點(diǎn)序列為：

在AFSA優(yōu)化后期，人工魚(yú)隨機(jī)行為降低了算法的優(yōu)化精度和優(yōu)化效率，為此引入反饋機(jī)制。反饋策略即為人工魚(yú)定義一個(gè)反饋行為：人工魚(yú)以一定的概率向公告牌記錄的最優(yōu)狀態(tài)游動(dòng)，因此讓人工魚(yú)以概率pf0執(zhí)行隨機(jī)行為，而以概率1-pf0執(zhí)行反饋行為，以保證新算法的優(yōu)化后期可以得到更好的優(yōu)化精度和效率。并使pf0按式（8）減?。?/p>

式中，θ為反饋概率的衰減因子。

3 AFSA-SVM入侵檢測(cè)模型

3.1 編碼規(guī)則

對(duì)于給定含有m維特征的網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)集D，特征選擇的目的是選擇出一個(gè)滿足目標(biāo)函數(shù)最優(yōu)的特征子集R，本研究采用二進(jìn)制編碼規(guī)則，那么人工魚(yú)位置狀態(tài)x每一維的值用二進(jìn)制表示，選中的特征取為1，否則為0。

3.2 食物密度

食物密度是人工魚(yú)位置優(yōu)劣的評(píng)價(jià)依據(jù)，即特征子集性能評(píng)價(jià)標(biāo)準(zhǔn)，入侵特征選擇目標(biāo)包括兩個(gè)方面：（1）網(wǎng)絡(luò)入侵檢測(cè)率更高；（2）特征維數(shù)盡量最少，則目標(biāo)函數(shù)（食物密度）由所選特征子集的大小和檢測(cè)率兩部分組成。食物密度計(jì)算公式如下：

式中，d為選取特征子集的維數(shù)；D為入侵檢測(cè)原始特征維數(shù)；Perror表示5折交叉驗(yàn)證SVM訓(xùn)練模型的檢測(cè)率；λ為檢測(cè)正確率權(quán)重系數(shù)。

由于車(chē)體受到會(huì)車(chē)氣動(dòng)流場(chǎng)的直接作用，且支撐車(chē)體的空氣彈簧對(duì)壓力變化較為敏感，因此需要首先研究車(chē)體在會(huì)車(chē)過(guò)程中的動(dòng)態(tài)響應(yīng)。車(chē)體的側(cè)滾角θ與橫移量Y在會(huì)車(chē)過(guò)程中的響應(yīng)曲線分別如圖6和圖7所示。觀察圖6可知，車(chē)體側(cè)滾角的變化趨勢(shì)與會(huì)車(chē)流場(chǎng)壓力的變化趨勢(shì)相反，即當(dāng)車(chē)體右側(cè)流場(chǎng)壓力增加時(shí)，車(chē)體發(fā)生逆時(shí)針側(cè)滾運(yùn)動(dòng)，同時(shí)導(dǎo)致了轉(zhuǎn)向架左側(cè)空氣彈簧內(nèi)壓升高，而右側(cè)空氣彈簧內(nèi)壓下降。由圖7可知，交會(huì)車(chē)速越高，車(chē)體橫移量越大；車(chē)體在交會(huì)初始正壓力波的推動(dòng)下首先向左側(cè)橫移，此后壓力波出現(xiàn)兩個(gè)負(fù)峰值點(diǎn)，車(chē)體受吸引作用向右側(cè)橫移，最后在車(chē)尾通過(guò)觀測(cè)點(diǎn)時(shí)正壓力波的作用下，車(chē)體又逐漸回復(fù)至平衡位置。

3.3 視野范圍

若視野范圍(Fv)太小，易出現(xiàn)Fv內(nèi)沒(méi)有人工魚(yú)伙伴，隨機(jī)性覓食概率太大，導(dǎo)致算法搜索盲目性增強(qiáng)，但是若Fv太大，聚群行為和追尾行為概率增大，不利于探索新的可行解空間區(qū)域。本研究通過(guò)人工魚(yú)狀態(tài)差異位的個(gè)數(shù)來(lái)表示兩個(gè)狀態(tài)之間的相似程度。如果兩個(gè)狀態(tài)間的相似度越高，表示人工魚(yú)位置間的差異就越小。人工魚(yú)當(dāng)前位置Xi的可見(jiàn)域Fv定義為：

式中，xik表示人工魚(yú)當(dāng)前位置Xi的第k維的值，

3.4 AFSA-SVM入侵檢測(cè)步驟

（1）收集網(wǎng)絡(luò)狀態(tài)信息，提取網(wǎng)絡(luò)狀態(tài)特征。

（2）初始化人工魚(yú)參數(shù)，主要有位置、移動(dòng)步長(zhǎng)Step、種群規(guī)模n、擁擠度因子δ、反饋概率Pfb、反饋概率的衰減因子θ、最大迭代次數(shù)max_iterate等。

（3）在可行域范圍內(nèi)隨機(jī)生成n條人工魚(yú)，并設(shè)置初始迭代次數(shù)passed_iterate=0。

（4）對(duì)初始魚(yú)群的個(gè)體當(dāng)前位置食物濃度值（FC）進(jìn)行計(jì)算，然后對(duì)它們進(jìn)行排序，選擇FC值最大的人工魚(yú)個(gè)體進(jìn)入公告板。

（5）評(píng)價(jià)某條人工魚(yú)的覓食、追尾和聚群行為所得的結(jié)果，若執(zhí)行某個(gè)行為后，人工魚(yú)的狀態(tài)優(yōu)于當(dāng)前狀態(tài)，則該人工魚(yú)向此方向前進(jìn)一步，接著轉(zhuǎn)到（8）執(zhí)行。

（6）產(chǎn)生一個(gè)隨機(jī)數(shù)r，若r＜Pfb，則人工魚(yú)執(zhí)行隨機(jī)行為，否則執(zhí)行反饋行為，向公告牌中最優(yōu)方向移動(dòng)一步。

（7）根據(jù)式（5）～（7）對(duì)所有最優(yōu)人工魚(yú)狀態(tài)進(jìn)行混沌搜索，得到當(dāng)前解域范圍內(nèi)的最好的人工魚(yú)狀態(tài)。

（8）更新公告牌，將（7）中得到的最好人工魚(yú)狀態(tài)記入公告牌。

（9）根據(jù)式（8）更新反饋概率。

（10）判斷算法結(jié)束條件，如果達(dá)到最大迭代次數(shù)，則結(jié)束算法，并輸出公告牌中的人工魚(yú)狀態(tài)，即為最優(yōu)特征子集，否則passed_iterate=passed_iterate+1，轉(zhuǎn)（6）執(zhí)行。

（11）根據(jù)最優(yōu)特征子集對(duì)訓(xùn)練集和測(cè)試集進(jìn)行特征約簡(jiǎn)，得到約簡(jiǎn)后的訓(xùn)練集和測(cè)試集。

（12）將特征約簡(jiǎn)后的訓(xùn)練集送到SVM進(jìn)行訓(xùn)練，建立網(wǎng)絡(luò)入侵檢測(cè)模型。

（13）將約簡(jiǎn)后的測(cè)試集輸入到網(wǎng)絡(luò)入侵檢測(cè)模型進(jìn)行測(cè)試，以驗(yàn)證模型的性能。

4 仿真實(shí)驗(yàn)

4.1 數(shù)據(jù)源

在P4雙核2.8 GHz CPU、2 GB內(nèi)存，Windows XP環(huán)境下，采用Matlab 2009實(shí)現(xiàn)仿真實(shí)驗(yàn)。數(shù)據(jù)來(lái)自網(wǎng)絡(luò)入侵標(biāo)準(zhǔn)測(cè)試集KDD CUP 99數(shù)據(jù)集，其包括四種入侵類(lèi)型：DoS、Probe、U2R和R2L，同時(shí)包括正常樣本[15]。每一個(gè)樣本共有41個(gè)特征，7個(gè)符號(hào)型字段和34個(gè)數(shù)值型字段。將樣本分為“Normal”或是“Attack”，即將四種入侵都?xì)w類(lèi)為“Attack”，這樣可將多分類(lèi)問(wèn)題的網(wǎng)絡(luò)入侵檢測(cè)變?yōu)槎捣诸?lèi)問(wèn)題，從而能更好地關(guān)注特征選擇的效果。從KDD CUP 99數(shù)據(jù)集中隨機(jī)選取10 000個(gè)樣本，正常樣本和異常樣本各5 000個(gè)，并選擇8 000個(gè)作為訓(xùn)練集，2 000個(gè)作為測(cè)試集。

4.2 對(duì)比模型及評(píng)價(jià)標(biāo)準(zhǔn)

選擇粒子群優(yōu)化算法選擇特征的SVM模型（PSO-SVM），遺傳算法選擇特征的SVM模型（GA-SVM）、原始特征的SVM模型（SVM）作為對(duì)比模型。模型性能評(píng)價(jià)標(biāo)準(zhǔn)為：檢測(cè)率（TPR）、平均訓(xùn)練時(shí)間和檢測(cè)時(shí)間。TPR定義如下：

4.3 各模型選擇的特征子集

采用SVM、PSO-SVM、GA-SVM、AFSA-SVM進(jìn)行特征子集選擇，得到最優(yōu)特征子集見(jiàn)表1。從表1可知，采用特征選擇方法，有效消除了冗余或無(wú)用特征，可以降低特征維數(shù)，大大地壓縮了特征空間，因此在訓(xùn)練集和測(cè)試集輸入到分類(lèi)器進(jìn)行學(xué)習(xí)之前，對(duì)特征進(jìn)行選擇是必須的。

表1 各模型選擇的特征數(shù)

4.4 特征歸一化處理

由于網(wǎng)絡(luò)入侵特征值采用不同度量單位，在SVM訓(xùn)練過(guò)程，如果某些特征占了主導(dǎo)地位，就會(huì)掩蓋其他一些特征對(duì)檢測(cè)結(jié)果的貢獻(xiàn)，為了消除該現(xiàn)象的出現(xiàn)，對(duì)特征值進(jìn)行歸一化處理。數(shù)據(jù)歸一化的Matlab代碼為：

4.5 檢測(cè)率對(duì)比

根據(jù)選擇最優(yōu)特征子集對(duì)訓(xùn)練集和測(cè)試集進(jìn)行約簡(jiǎn)處理，然后將訓(xùn)練集輸入到SVM進(jìn)行學(xué)習(xí)和建模，最后采用建立的模型對(duì)測(cè)試集進(jìn)行檢測(cè)，得到的結(jié)果見(jiàn)表2。

表2 各模型的檢測(cè)率對(duì)比

從表2可知，相對(duì)沒(méi)有進(jìn)行特征選擇的SVM，特征選擇模型（AFSA-SVM、GA-SVM、PSO-SVM）的檢測(cè)率得到了顯著提高，主要是因?yàn)樘卣鬟x擇可以剔除冗余和不重要的特征，獲得一些對(duì)檢測(cè)結(jié)果起至關(guān)重要的關(guān)鍵特征，提高了檢測(cè)率。同時(shí)從表2可知，相對(duì)于GA-SVM、PSO-SVM，AFSA-SVM檢測(cè)率更高，這歸結(jié)于AFSA能夠更加有助于特征選擇，獲得的特征子集可以更加準(zhǔn)確描述網(wǎng)絡(luò)狀態(tài)變化趨勢(shì)，對(duì)比結(jié)果表明，將AFSA-SVM用于網(wǎng)絡(luò)入侵檢測(cè)是可行的，可以獲得更優(yōu)的檢測(cè)結(jié)果。

4.6 訓(xùn)練時(shí)間和檢測(cè)時(shí)間比較

PSO-SVM、GA-SVM、AFSA-SVM、SVM的訓(xùn)練時(shí)間和測(cè)試時(shí)間見(jiàn)表3。從表3可知，AFSA-SVM的訓(xùn)練時(shí)間和檢測(cè)時(shí)間均少于對(duì)比模型，檢測(cè)效率最高，這說(shuō)明AFSA有效地提高了尋找最優(yōu)特征子集的能力，加快了算法收斂速度，AFSA-SVM可以更好地滿足網(wǎng)絡(luò)入侵檢測(cè)的實(shí)時(shí)性要求。

表3 不同模型的訓(xùn)練時(shí)間和檢測(cè)時(shí)間對(duì)比s

5 結(jié)束語(yǔ)

針對(duì)網(wǎng)絡(luò)數(shù)據(jù)中存在大量的無(wú)關(guān)特征、冗余特征，導(dǎo)致網(wǎng)絡(luò)入侵檢測(cè)出現(xiàn)檢測(cè)速度慢，檢測(cè)率低等難問(wèn)題，提出一種基于AFSA-SVM的網(wǎng)絡(luò)入侵檢測(cè)模型。仿真結(jié)果表明，相對(duì)于其他入侵檢測(cè)模型，AFSA-SVM可以有效剔除網(wǎng)絡(luò)數(shù)據(jù)中的無(wú)關(guān)特征和冗余特征，選擇與檢測(cè)結(jié)果關(guān)聯(lián)程度較高的特征子集，降低了特征維數(shù)，進(jìn)一步提高了入侵檢測(cè)效率和檢測(cè)率，可以滿足特征變化復(fù)雜和攻擊行為層出不窮的實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)。

[1]唐正軍，李建華.入侵檢測(cè)技術(shù)[M].北京：清華大學(xué)出版社，2004. [2]井小沛，汪厚祥，聶凱，等.面向入侵檢測(cè)的基于IMGA和MKSVM的特征選擇算法[J].計(jì)算機(jī)科學(xué)，2012，39（7）：96-100.

[3]Yu L，Liu H.Efficient feature selection via analysis of relevance and redundancy[J].Journal of Machine Learning Research，2004，5：1205-1224.

[4]Denning D E.An intrusion detection model[J].IEEE Transactions on Software Engineering，2010，13（2）：222-232.

[5]Hang C L，Wang C J.A GA-based feature selection and parameters optimization for support vector machines[J].Expert Systems with Applications，2009，31（2）：231-240.

[6]何紹榮，梁金明，何志勇.基于互信息和關(guān)系積理論的特征選擇方法[J].計(jì)算機(jī)工程，2010，36（13）：257-259.

[7]陳友，程學(xué)旗，李洋，等.基于特征選擇的輕量級(jí)入侵檢測(cè)系統(tǒng)[J].軟件學(xué)報(bào)，2007（7）：1639-1651.

[8]郭文忠，陳國(guó)龍，陳慶良，等.基于粒子群優(yōu)化算法和相關(guān)性分析的特征子集選擇[J].計(jì)算機(jī)科學(xué)，2008，35（2）：144-146.

[9]高海華，楊輝華，王行愚.基于BPSO-SVM的網(wǎng)絡(luò)入侵特征選擇和檢測(cè)[J].計(jì)算機(jī)工程，2006，32（8）：37-39.

[10]陳仕濤，陳國(guó)龍，郭文忠，等.基于粒子群優(yōu)化和鄰域約簡(jiǎn)的入侵檢測(cè)日志數(shù)據(jù)特征選擇[J].計(jì)算機(jī)研究與發(fā)展，2010，47（7）：1261-1267.

[11]Hong J，Su M Y，Chen Y H，et a1.A novel intrusion detection system based on hierarchical clustering and support vector machines[J].Expert Systems with Applications，2011，38：306-313.

[12]Khan L，Awad M，Thuraisingham B.A new intrusion detection system using support vector machines and hierarchical clustering[J].The VLDB Journal，2007，16：507-521.

[13]Tan F，F(xiàn)u X Z，Zhang Y Q，et a1.A genetic algorithm based method for feature subset selection[J].Soft Computing，2008，12（2）：111-120.

[14]江銘炎，袁東風(fēng).人工魚(yú)群算法及其應(yīng)用[M].北京：科學(xué)出版社，2012.

[15]陳友，沈華偉，李洋.一種高效的面向入侵檢測(cè)系統(tǒng)的特征選擇算法[J].計(jì)算機(jī)學(xué)報(bào)，2007，30（8）：1398-1408.

LI Yuxia1,LIU Li2,SHEN Guilan1

1.Business College,Beijing Union University,Beijing 100025,China
2.College of Biochemical Engineering,Beijing Union University,Beijing 100023,China

Feature selection is a core problem for network intrusion detection,in order to improve the detection rate of network intrusion,a network intrusion detection model（AFSA-SVM）is proposed based on Artificial Fish Swarm Algorithm and Support Vector Machine.The feature subset is coded as the position of adult fish,and the detection rate of 5 cross validation for SVM training model is taken as evaluation criteria of the feature subset,and then the fish feeding,clustering and rear-end behavior are imitated to find the optimal feature subset.The intrusion detection model is built based on the optimal feature subset.The simulation experiment is carried out on the KDD CUP 99 data.The results show that,compared with the Particle Swarm Optimization algorithm,Genetic Algorithm and all features,the proposed algorithm has improved detection efficiency and the detection rate of the network intrusion,so it is an efficient intrusion detection model.

feature selection;Artificial Fish Swarm Algorithm（AFSA）;Support Vector Machine（SVM）;intrusion detection

特征選擇是網(wǎng)絡(luò)入侵檢測(cè)研究中的核心問(wèn)題，為了提高網(wǎng)絡(luò)入侵檢測(cè)率，提出一種人工魚(yú)群算法（AFSA）和支持向量機(jī)（SVM）相融合的網(wǎng)絡(luò)入侵檢測(cè)模型（AFSA-SVM）。將網(wǎng)絡(luò)特征子集編碼成人工魚(yú)的位置，以5折交叉驗(yàn)證SVM訓(xùn)練模型檢測(cè)率作為特征子集優(yōu)劣的評(píng)價(jià)標(biāo)準(zhǔn)，通過(guò)模擬魚(yú)群的覓食、聚群及追尾行為找到最優(yōu)特征子集，SVM根據(jù)最優(yōu)特征子集進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)，并采用KDD CUP 99數(shù)據(jù)集進(jìn)行仿真測(cè)試。仿真結(jié)果表明，相對(duì)于粒子群優(yōu)化算法、遺傳算法和原始特征法，AFSA-SVM提高了入侵檢測(cè)效率和檢測(cè)率，是一種有效的網(wǎng)絡(luò)入侵檢測(cè)模型。

特征選擇；人工魚(yú)群算法；支持向量機(jī)；網(wǎng)絡(luò)入侵檢測(cè)

A

TP181

10.3778/j.issn.1002-8331.1303-0046

LI Yuxia,LIU Li,SHEN Guilan.Network intrusion detection model based on improved Artificial Fish Swarm Algorithm and Support Vector Machine.Computer Engineering and Applications,2013,49（24）：74-77.

李玉霞（1970—），女，副教授，研究方向?yàn)樗惴ㄔO(shè)計(jì)、計(jì)算機(jī)應(yīng)用技術(shù)；劉麗（1960—），女，副教授，研究方向?yàn)樗惴ㄔO(shè)計(jì)、計(jì)算機(jī)應(yīng)用技術(shù)；沈桂蘭（1979—），女，博士，副教授，研究方向?yàn)樗惴ㄔO(shè)計(jì)、電子商務(wù)、信息安全。

2013-03-06

2013-04-25

1002-8331（2013）24-0074-04

CNKI出版日期：2013-07-22http://www.cnki.net/kcms/detail/11.2127.TP.20130722.0920.001.html