崔玉禮

(煙臺(tái)職業(yè)學(xué)院，山東煙臺(tái) 264670)

基于改進(jìn)蟻群算法優(yōu)化的模糊支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)探究

崔玉禮

(煙臺(tái)職業(yè)學(xué)院，山東煙臺(tái) 264670)

網(wǎng)絡(luò)使用量不斷增加的同時(shí)，網(wǎng)絡(luò)入侵形式也日趨多樣，網(wǎng)絡(luò)安全受到了嚴(yán)重威脅，因此可將改進(jìn)蟻群算法優(yōu)化的模糊支持向量機(jī)算法應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)中。本文首先分析網(wǎng)絡(luò)入侵檢測(cè)的基本原理，研究網(wǎng)絡(luò)入侵判別的數(shù)學(xué)模型；其次，分析模糊支持向量機(jī)的基本原理，構(gòu)建模糊支持向量機(jī)的數(shù)學(xué)模型；然后，討論改進(jìn)蟻群算法的基本原理，設(shè)計(jì)改進(jìn)蟻群算法的基本流程。最后，進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)的仿真分析。仿真結(jié)果表明，該算法能夠提高網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確性。

改進(jìn)蟻群算法；模糊支持向量機(jī)；網(wǎng)絡(luò)入侵檢測(cè)

網(wǎng)絡(luò)用戶(hù)不斷增加，移動(dòng)互聯(lián)網(wǎng)的發(fā)展促進(jìn)了網(wǎng)絡(luò)的應(yīng)用范圍越來(lái)越廣，網(wǎng)絡(luò)信息安全得到了普遍關(guān)注。網(wǎng)絡(luò)入侵的形式越來(lái)越多，網(wǎng)絡(luò)入侵的危險(xiǎn)性增大，容易引起大量網(wǎng)絡(luò)安全事故，給用戶(hù)造成較大的損失。入侵檢測(cè)技術(shù)是積極的網(wǎng)絡(luò)防御技術(shù)，能夠有效地發(fā)現(xiàn)網(wǎng)絡(luò)異常，避免網(wǎng)絡(luò)受到惡意攻擊。傳統(tǒng)的入侵檢測(cè)技術(shù)已經(jīng)無(wú)法適應(yīng)大規(guī)模網(wǎng)絡(luò)安全監(jiān)測(cè)的需要，現(xiàn)急需尋求一種行之有效的方法去提高網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的有效性，從而確保網(wǎng)絡(luò)安全。網(wǎng)絡(luò)入侵檢測(cè)通常包括誤用檢測(cè)和異常檢測(cè)兩種情況，前者針對(duì)未知的網(wǎng)絡(luò)入侵進(jìn)行檢測(cè)，后者針對(duì)不確定的網(wǎng)路入侵進(jìn)行檢測(cè)，其中網(wǎng)絡(luò)異常入侵檢測(cè)技術(shù)是主要的網(wǎng)絡(luò)安全防御方法。網(wǎng)絡(luò)入侵檢測(cè)實(shí)際上就是對(duì)網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)的過(guò)程，而網(wǎng)絡(luò)數(shù)據(jù)量非常大而且很復(fù)雜，具有高維、線(xiàn)性不可分等特點(diǎn)，可以選擇智能算法處理該問(wèn)題。目前，神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測(cè)應(yīng)用中取得了較好的成效，但也存在一些缺陷，由于網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的小樣本的特點(diǎn)，算法容易陷入局部極值的缺陷，無(wú)法獲得更好的入侵檢測(cè)要求。支持向量機(jī)屬于機(jī)器學(xué)習(xí)算法，在處理高維度和小樣本問(wèn)題上有一定優(yōu)勢(shì)，具備較好的泛化能力，能夠避免由神經(jīng)網(wǎng)絡(luò)存在的缺陷所引發(fā)的安全問(wèn)題。因此，將支持向量機(jī)應(yīng)用于網(wǎng)絡(luò)異常入侵檢測(cè)切實(shí)可行。為了能夠提高支持向量機(jī)網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確性，將模糊理論和支持向量機(jī)融合起來(lái)構(gòu)建模糊支持向量機(jī)，能夠提高分類(lèi)精度。此外，應(yīng)對(duì)支持向量機(jī)的核參數(shù)進(jìn)行優(yōu)化，將改進(jìn)蟻群算法應(yīng)用于支持向量機(jī)核函數(shù)各個(gè)參數(shù)的優(yōu)化，進(jìn)而提高算法的收斂效率和檢測(cè)精度。

1 網(wǎng)絡(luò)入侵檢測(cè)的基本原理

當(dāng)網(wǎng)絡(luò)流量中不包含入侵信號(hào)時(shí)，網(wǎng)絡(luò)信號(hào)模型如(1)所示。

R(t)=C(t)+n(t).

(1)

其中，R(t)表示網(wǎng)絡(luò)接受的信號(hào)，C(t)表示數(shù)據(jù)包字節(jié)長(zhǎng)度，n(t)表示信號(hào)中的噪聲。

當(dāng)網(wǎng)絡(luò)流量中包含入侵信號(hào)時(shí)，網(wǎng)絡(luò)信號(hào)模型如(2)所示。

R(t)=S(t)+C(t)+n(t).

(2)

其中，S(t)表示入侵信號(hào)。

在網(wǎng)絡(luò)異常入侵檢測(cè)時(shí)，主要是隔一定時(shí)間對(duì)數(shù)據(jù)包字節(jié)長(zhǎng)度進(jìn)行預(yù)測(cè)，表達(dá)式如(3)所示。

(3)

網(wǎng)絡(luò)入侵信號(hào)的估計(jì)如(4)所示。

(4)

(5)

其中，G[·]表示網(wǎng)絡(luò)入侵檢測(cè)的判別函數(shù)，κ表示臨界值，滿(mǎn)足假設(shè)H0時(shí)，網(wǎng)絡(luò)沒(méi)有入侵信號(hào)；滿(mǎn)足假設(shè)H1時(shí)，網(wǎng)絡(luò)發(fā)生入侵。

2 模糊支持向量機(jī)的數(shù)學(xué)模型

依據(jù)網(wǎng)絡(luò)入侵檢測(cè)的實(shí)際情況，選取對(duì)應(yīng)的隸屬度，已知樣本{(x1,y1,s1),…,(xn,yn,sn)}，xi∈Rd(i=1,2,…,n)表示輸入向量；yi表示xi分類(lèi)中的一類(lèi)，yi∈(-1,1)；si(i=1,2,…,n)表示分類(lèi)的隸屬度，0≤si≤1。模糊支持向量機(jī)利用超平面對(duì)數(shù)據(jù)進(jìn)行分類(lèi)，超平面和類(lèi)的距離最大，相應(yīng)的數(shù)學(xué)模型如(6)(7)所示。

(6)

s.t.yi(w·φ(xi)+b)≥ρ-εi,εi≥0,ρ≥0.

(7)

其中，εi表示誤差，μiεi表示權(quán)重的誤差。

利用以上模型構(gòu)建拉格朗日函數(shù)，如(8)所示。

(8)

(9)

(10)

(11)

(12)

將(9)至(12)代入(6)可以得到模型(13)(14)。

(13)

(14)

通過(guò)求解(13)可以獲得Lagrange算子αi，獲得的判別模型(15)。

(15)

(16)

其中，σ表示高斯分布因子。

模糊支持向量機(jī)可以有效地防止由于噪音干擾導(dǎo)致的錯(cuò)誤分類(lèi)，進(jìn)而提高模糊的分類(lèi)能力，提高網(wǎng)絡(luò)入侵檢測(cè)的精度。

3 改進(jìn)蟻群算法的原理

蟻群算法的基本思路：螞蟻在所經(jīng)的路徑上發(fā)出信息素，信息素的濃度越高，螞蟻經(jīng)過(guò)的路徑越短，反之路徑越長(zhǎng)。在迭代過(guò)程中，不同的螞蟻將以一定的概率確定出發(fā)路徑，同時(shí)會(huì)在所經(jīng)過(guò)的路徑上發(fā)出信息素，周而復(fù)始，不同的路徑都有濃度不同的信息素量，其中信息素濃度高的路徑將被后出發(fā)的螞蟻所選擇。當(dāng)信息素濃度積累過(guò)快時(shí)，蟻群算法容易陷入局部最優(yōu)，進(jìn)而導(dǎo)致收斂精度不高；當(dāng)信息素濃度積累過(guò)慢，算法容易陷入死循環(huán)，導(dǎo)致收斂效率降低，因此要通過(guò)改進(jìn)蟻群算法優(yōu)化算法中的算子。改進(jìn)的蟻群算法流程如下所示。

步驟1 初始化蟻群算法的基本參數(shù)，包括蟻群的規(guī)模、迭代次數(shù)、啟發(fā)算子、期望算子等；輸入網(wǎng)絡(luò)入模糊支持向量機(jī)的優(yōu)化模型。

步驟2 設(shè)置初始信息素濃度。

步驟3 蟻群中的各個(gè)螞蟻提取全部路徑上的信息素濃度，通過(guò)一定的概率確定最終的出發(fā)路徑，概率可以通過(guò)如(17)所示公式進(jìn)行計(jì)算。

(17)

步驟4 計(jì)算不通過(guò)路徑對(duì)應(yīng)的目標(biāo)函數(shù)值，并且儲(chǔ)存目標(biāo)函數(shù)值。

步驟5 依據(jù)不同路徑的目標(biāo)函數(shù)值更新信息素，更新公式如(18)所示。

(18)

其中，γi(k+1)和γi(k)分別表示更新前和更新后的路徑，δ0表示介于0和1之間的常數(shù)，可以表征信息素的揮發(fā)速率，Δγi表示第i條路徑上的信息素增量，計(jì)算公式如(19)所示。

(19)

其中，I表示信息常數(shù)，K(x)表示目標(biāo)函數(shù)。

步驟6 信息素的約束條件如(20)所示。

(20)

其中，Ni表示第i條路徑的信息素濃度，Nmin表示第i條路徑的最小信息素濃度，Nmax表示第i條路徑的最大信息素濃度。

步驟7 啟發(fā)算子和期望算子的更新公式如(21)(22)所示。

(21)

υ(k)=θ2·υ(k-1).

(22)

其中，θ1和θ2為大于1的常數(shù)。

步驟8 判別算法是否執(zhí)行了最大迭代次數(shù)，當(dāng)沒(méi)有達(dá)到最大迭代次數(shù)時(shí)，返回步驟3；否則，進(jìn)入步驟9。

步驟9 輸出入模糊支持向量機(jī)的最優(yōu)參數(shù)值。

4 網(wǎng)絡(luò)入侵檢測(cè)仿真分析

為了驗(yàn)證本文提出算法的有效性，從KDD CUP99數(shù)據(jù)集選取測(cè)試數(shù)據(jù)，包括三種入侵形式，分別為DoS、U2R和Probe，任意選擇1400個(gè)樣本作為仿真對(duì)象，利用MATLAB軟件編制仿真程序，數(shù)據(jù)源見(jiàn)表1。

表1 選取的仿真數(shù)據(jù)樣本

分別利用改進(jìn)蟻群算法優(yōu)化的模糊支持向量機(jī)、蟻群算法優(yōu)化的模糊支持向量機(jī)、模糊支持向量機(jī)進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)仿真分析，以檢測(cè)率、漏報(bào)率和虛警率為對(duì)比參數(shù)?；诟倪M(jìn)蟻群算法、蟻群算法優(yōu)化的模糊支持向量機(jī)參數(shù)的結(jié)果見(jiàn)表2。

表2 模糊支持向量機(jī)的參數(shù)優(yōu)化結(jié)果

網(wǎng)絡(luò)入侵檢測(cè)結(jié)果見(jiàn)表3。在三種算法的網(wǎng)絡(luò)入侵檢測(cè)結(jié)果中，基于改進(jìn)蟻群算法優(yōu)化的模糊支持向量機(jī)能夠獲得更高的入侵檢測(cè)率，同時(shí)獲得更低的虛警率以及漏報(bào)率，從而表明基于改進(jìn)蟻群算法優(yōu)化的模糊支持向量機(jī)能夠獲得更優(yōu)的模糊支持向量機(jī)的參數(shù)，該算法具有更高網(wǎng)絡(luò)入侵檢測(cè)有效性。

表3 基于不同算法的網(wǎng)絡(luò)入侵檢測(cè)比較結(jié)果

5 結(jié)語(yǔ)

網(wǎng)絡(luò)入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的核心問(wèn)題，本文針對(duì)網(wǎng)絡(luò)入侵檢測(cè)存在的問(wèn)題以及已有網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的缺陷，提出了基于改進(jìn)蟻群算法優(yōu)化的模糊支持向量機(jī)算法，并將其應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)中。仿真分析表明該算法能夠有效地提升網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確性，檢測(cè)率、漏報(bào)率和虛警率都有明顯的改善，具有較為廣闊的發(fā)展前景。

[1]張蓉.蝙蝠算法優(yōu)化最二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)[J].激光雜志,2014(11):101-104.

[2]劉其琛,穆煒煒.粗糙集和支持向量機(jī)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J].信息安全與技術(shù),2015(9):86-88,92.

[3]汪中才,楊立身.野草算法和支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)[J].激光雜志,2015(8):142-145.

[4]黃軼文,張梅.基于蟻群算法的六自由度采摘機(jī)器人軌跡規(guī)劃研究[J].農(nóng)機(jī)化研究,2017(3):242-246.

[5]張立毅,王迎,費(fèi)騰,等.混沌擾動(dòng)模擬退火蟻群算法低碳物流路徑優(yōu)化[J].計(jì)算機(jī)工程與應(yīng)用,2017(1):63-68,102.

Research on Network Intrusion Detection Technology Based on Improved Ant Colony Optimization Fuzzy Support Vector Machine

CUI Yu-li

(Yantai Vocational College,Yantai Shandong 264670,China)

As the network usage keeps increasing, the forms of network intrusion are also varying; therefore, network security is facing severe threat. To solve the problem, Fuzzy Support Vector Machine (FSVM) optimized by the improved ant colony algorithm can be applied to network intrusion detection. Firstly, the essay analyzed the fundamental principles of network intrusion detection and studied on the mathematical model distinguishing network intrusion. Next, the essay analyzed the fundamental principles of FSVM and built the mathematical model of FSVM. Then, the essay discussed the fundamental principles of improving ant colony algorithm and designed the basic procedure to improve the ant colony algorithm. At last, the essay conducted simulated analysis on network intrusion detection. As indicated by the simulation results, this algorithm can improve the accuracy of network intrusion detection.

improved ant colony algorithm; fuzzy support vector machine; network intrusion detection

2017-02-23

崔玉禮(1976- )，男，講師，碩士，從事計(jì)算機(jī)應(yīng)用技術(shù)研究。

TP393

A

2095-7602(2017)08-0029-05