基于智能優(yōu)化算法選擇特征的網(wǎng)絡(luò)入侵檢測(cè)

趙悅品++孫潔麗

摘 要： 為了改善網(wǎng)絡(luò)入侵檢測(cè)的效果，提出一種智能優(yōu)化算法選擇特征的網(wǎng)絡(luò)入侵檢測(cè)模型。首先采用智能優(yōu)化算法對(duì)網(wǎng)絡(luò)入侵特征進(jìn)行選擇，得到對(duì)檢測(cè)結(jié)果有重要貢獻(xiàn)的特征，去除無效特征；然后采用支持向量機(jī)建立入侵檢測(cè)分類器，最后采用KDD99數(shù)據(jù)集對(duì)模型性能進(jìn)行分析。結(jié)果表明，該模型提高了網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確率，而且檢測(cè)速度可以滿足網(wǎng)絡(luò)安全實(shí)際應(yīng)用的要求。

關(guān)鍵詞： 智能優(yōu)化算法； 網(wǎng)絡(luò)入侵檢測(cè)； 支持向量機(jī)； 入侵行為； 特征選擇

中圖分類號(hào)： TN915.08?34； TP391 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）23?0086?04

Network intrusion detection based on selection feature of

intelligent optimization algorithm

ZHAO Yuepin1， 2， SUN Jieli1

（1. Hebei University of Economics and Business， Shijiazhuang 050061， China； 2. Hebei Jiaotong Vocational and Technical College， Shijiazhuang 050091， China）

Abstract： In order to improve the effect of network intrusion detection， a network intrusion detection model based on selection feature of intelligent optimization algorithm is proposed. The intelligent optimization algorithm is used to select the network intrusion features to obtain the important contribution feature for the detection result， and remove the invalid features. The support vector machine is employed to establish the classifier of intrusion detection. The KDD99 dataset is adopted to analyze the model performance. The results show that the model can improve the accuracy of network intrusion detection， and its detection speed can meet the requirement of network security practical application.

Keywords： intelligent optimization algorithm； network intrusion detection； support vector machine； intrusion behavior； feature selection

0 引 言

隨著互聯(lián)網(wǎng)應(yīng)用的日益廣泛，網(wǎng)絡(luò)的安全性、可靠性引起了人們的廣泛關(guān)注[1]。由于互聯(lián)網(wǎng)絡(luò)的開放性，人們網(wǎng)絡(luò)安全意識(shí)淡薄，網(wǎng)絡(luò)入侵十分頻繁，再加上網(wǎng)絡(luò)入侵手段的多樣化，因此如何提高網(wǎng)絡(luò)入侵的檢測(cè)率，保證網(wǎng)絡(luò)正常通信和數(shù)據(jù)傳輸安全成為網(wǎng)絡(luò)管理領(lǐng)域研究中的重大課題[2?3]。

許多研究人員對(duì)網(wǎng)絡(luò)安全問題中的入侵檢測(cè)技術(shù)進(jìn)行了一系列探索，提出了大量的網(wǎng)絡(luò)入侵檢測(cè)模型[3]。當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)模型主要有兩類：傳統(tǒng)方法和現(xiàn)代方法。傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)模型基于專家系統(tǒng)等實(shí)現(xiàn)[3?5]，它們屬于線性的網(wǎng)絡(luò)入侵檢測(cè)分析模型，對(duì)于小規(guī)模網(wǎng)絡(luò)有效，然而當(dāng)前網(wǎng)絡(luò)向大規(guī)模、超大規(guī)模方向發(fā)展，網(wǎng)絡(luò)入侵行為日益復(fù)雜，入侵行為的類型與特征間呈現(xiàn)出十分復(fù)雜的變化關(guān)系，傳統(tǒng)模型無法準(zhǔn)確描述網(wǎng)絡(luò)入侵行為變化的特點(diǎn)，網(wǎng)絡(luò)入侵檢測(cè)率急劇下降，而且入侵檢測(cè)結(jié)果也不可靠，沒有太大的實(shí)際應(yīng)用價(jià)值[6]。現(xiàn)代網(wǎng)絡(luò)入侵檢測(cè)方法主要基于非線性理論建立網(wǎng)絡(luò)入侵檢測(cè)模型，主要有神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)等，相對(duì)于神經(jīng)網(wǎng)絡(luò)，支持向量機(jī)可以更好地?cái)M合入侵行為與特征間的聯(lián)系，在網(wǎng)絡(luò)入侵檢測(cè)應(yīng)用中最為廣泛[7]。在網(wǎng)絡(luò)入侵檢測(cè)建模過程中，原始網(wǎng)絡(luò)狀態(tài)特征維數(shù)相當(dāng)高，若直接輸入到支持向量機(jī)進(jìn)行學(xué)習(xí)，那么支持向量機(jī)的輸入向量維數(shù)易出現(xiàn)“維數(shù)災(zāi)”現(xiàn)象，同時(shí)，原始網(wǎng)絡(luò)特征中存在一些無用或者冗余特征，它們會(huì)對(duì)網(wǎng)絡(luò)入侵檢測(cè)的建模效率和檢測(cè)結(jié)果均帶來不利影響。為了解決網(wǎng)絡(luò)入侵檢測(cè)建模過程中特征優(yōu)化和選擇問題，有學(xué)者提出了采用遺傳算法、粒子群優(yōu)化算法等原始網(wǎng)絡(luò)特征進(jìn)行搜索和求解，選擇一些對(duì)網(wǎng)絡(luò)入侵檢測(cè)結(jié)果有重要貢獻(xiàn)的特征作為支持向量機(jī)的輸入向量，在一定程度上降低了特征維數(shù)，加快了網(wǎng)絡(luò)入侵的建模速度，但這些算法自身存在一些不可克服的缺陷，如收斂速度慢、易獲得局部最優(yōu)的網(wǎng)絡(luò)特征等[8?10]。

搜索者算法（Seeker Optimization Algorithm，SOA）是一種新型的智能優(yōu)化算法，模擬人群搜索行為對(duì)問題進(jìn)行求解，全局搜索性能好，搜索效率高，為了提高網(wǎng)絡(luò)入侵的檢測(cè)率，針對(duì)當(dāng)前網(wǎng)絡(luò)特征優(yōu)化和選擇的難題，提出一種基于SOA算法的網(wǎng)絡(luò)入侵檢測(cè)特征選擇策略，并采用支持向量機(jī)設(shè)計(jì)網(wǎng)絡(luò)入侵檢測(cè)模型，結(jié)果表明，本文模型能夠描述網(wǎng)絡(luò)工作狀態(tài)，提高網(wǎng)絡(luò)入侵檢測(cè)率，為網(wǎng)絡(luò)入侵檢測(cè)提供了一種新的研究工具。

4 結(jié) 語

為了獲得更優(yōu)的網(wǎng)絡(luò)入侵檢測(cè)結(jié)果，針對(duì)當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)建模過程中的特征選擇難題，提出采用SOA選擇網(wǎng)絡(luò)狀態(tài)特征，利用支持向量機(jī)設(shè)計(jì)網(wǎng)絡(luò)入侵行為的分類器，KDD99數(shù)據(jù)集的測(cè)試結(jié)果表明，通過SOA對(duì)原始網(wǎng)絡(luò)狀態(tài)進(jìn)行篩選，可以從中找到一些對(duì)網(wǎng)絡(luò)入侵檢測(cè)的重要特征，去除無用特征對(duì)網(wǎng)絡(luò)入侵檢測(cè)結(jié)果的干擾，網(wǎng)絡(luò)入侵檢測(cè)的效率高，可以實(shí)現(xiàn)網(wǎng)絡(luò)入侵的在線檢測(cè)，而且網(wǎng)絡(luò)入侵檢測(cè)率高，可以保證網(wǎng)絡(luò)的安全。

在網(wǎng)絡(luò)入侵檢測(cè)的建模過程中，支持向量機(jī)參數(shù)對(duì)檢測(cè)結(jié)果同樣有影響，因此下一步將考慮同時(shí)對(duì)參數(shù)和特征進(jìn)行選擇，以獲取更佳的網(wǎng)絡(luò)入侵檢測(cè)效果。

參考文獻(xiàn)

[1] 馬傳香，李慶華，王卉.入侵檢測(cè)研究綜述[J].計(jì)算機(jī)工程，2005，31（3）：4?6.

[2] 余生晨，王樹，高曉燕，等.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的最佳特征組合選擇方法[J].計(jì)算機(jī)工程，2008，34（1）：150?153.

[3] 楊輝華，王行愚，王勇，等.基于KPLS的網(wǎng)絡(luò)入侵特征抽取及檢測(cè)方法[J].控制與決策，2005，20（3）：251?256.

[4] 孫寧青.基于神經(jīng)網(wǎng)絡(luò)和CFS特征選擇的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)工程與科學(xué)，2010，32（6）：37?39.

[5] 牟琦，畢孝儒，庫(kù)向陽.基于GQPSO算法的網(wǎng)絡(luò)入侵特征選擇方法[J].計(jì)算機(jī)工程，2011，37（14）：103?105.

[6] 陳友，程學(xué)旗，李洋，等.基于特征選擇的輕量級(jí)入侵檢測(cè)系統(tǒng)[J].軟件學(xué)報(bào)，2007，18（7）：1639?1651.

[7] 張雪芹，顧春華.一種網(wǎng)絡(luò)入侵檢測(cè)特征提取方法[J].華南理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2010，38（1）：81?85.

[8] 何敏.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)體系結(jié)構(gòu)的研究[J].計(jì)算機(jī)與現(xiàn)代化，2011（9）：134?136.

[9] 小沛，汪厚祥，聶凱，等.面向入侵檢測(cè)的基于IMGA和MKSVM的特征選擇算法[J].計(jì)算機(jī)科學(xué)，2012，39（7）：96?100.

[10] 姜春茂，張國(guó)印，李志聰.基于遺傳算法優(yōu)化SVM的嵌入式網(wǎng)絡(luò)系統(tǒng)異常入侵檢測(cè)[J].計(jì)算機(jī)應(yīng)用與軟件，2011，28（2）：287?289.

[11] 倪霖，鄭洪英.基于免疫粒子群算法的特征選擇[J].計(jì)算機(jī)應(yīng)用，2007，27（12）：2922?2924.

[12] 顏謙和，顏珍平.遺傳算法優(yōu)化的神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)仿真，2011，28（4）：141?144.