齊 坤，韋 凱

基于PSO-FCM智能算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測方法

齊 坤，韋 凱

（深圳職業(yè)技術(shù)學(xué)院 電子與信息工程學(xué)院，廣東 深圳 518055）

研究引入基于PSO-FCM智能算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測方法，主要是將粒子群(PSO)算法引入模糊聚類(FCM)算法，并對該方法進(jìn)行Matlab仿真分析．結(jié)果表明，F(xiàn)CM算法與PSO-FCM智能算法在檢測率上，已知攻擊均優(yōu)于未知攻擊，優(yōu)化后的PSO-FCM智能算法入侵檢測誤檢率顯著優(yōu)于FCM算法，PSO-FCM智能算法顯著優(yōu)于傳統(tǒng)FCM算法．

模糊聚類算法；粒子群算法；計(jì)算機(jī)；檢測；網(wǎng)絡(luò)入侵

隨著計(jì)算機(jī)網(wǎng)絡(luò)中不斷增長的網(wǎng)絡(luò)行為與信息數(shù)據(jù)量，社會(huì)的發(fā)展已經(jīng)對計(jì)算機(jī)網(wǎng)絡(luò)形成了嚴(yán)重的依賴性[1]．在計(jì)算機(jī)網(wǎng)絡(luò)全面發(fā)展的同時(shí)也凸顯了較多的網(wǎng)絡(luò)安全問題，甚至嚴(yán)重威脅到了國家的教育、科研、國防、經(jīng)濟(jì)等領(lǐng)域[2]．在計(jì)算機(jī)網(wǎng)絡(luò)信息安全領(lǐng)域，無論是高新技術(shù)的IT企業(yè)，還是科研機(jī)構(gòu)都對此問題進(jìn)行了大量的研究，也針對安全問題開發(fā)了一系列關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全的軟硬件產(chǎn)品，但效果卻不是很好[3]．為了更好地提升計(jì)算機(jī)網(wǎng)絡(luò)的安全性，保障網(wǎng)絡(luò)的安全監(jiān)控，在目前的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中應(yīng)用最多的為入侵檢測技術(shù)[4]．由于當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)中信息量增長迅猛，使得入侵檢測的準(zhǔn)確率較低，以致缺乏適用性與有效性，許多學(xué)者已經(jīng)開始在智能計(jì)算與數(shù)據(jù)挖掘領(lǐng)域?qū)θ肭址椒ㄟM(jìn)行新的研究．國內(nèi)外學(xué)者也提出了許多入侵檢測方法，使用較為廣泛的是聚類方法中的FCM算法．然而，F(xiàn)CM方算在使用的過程中存在一些難以克服的問題：數(shù)據(jù)集大時(shí)結(jié)果容易局部最優(yōu)；需要預(yù)先設(shè)定值，對最先的個(gè)點(diǎn)選取很敏感；對噪聲和離群值非常敏感等．本文將一種基于PSO-FCM智能優(yōu)化的算法應(yīng)用于入侵檢測實(shí)驗(yàn)，使得FCM搜索方向變得具有多樣性，全局搜索的能力更強(qiáng)，聚類結(jié)果穩(wěn)定，在入侵檢測系統(tǒng)中具有重要的實(shí)際意義．

1 基于PSO-FCM智能優(yōu)化的入侵檢測算法

1.1 基于模糊聚類算法（FCM）的入侵檢測算法

將FCM算法應(yīng)用到入侵檢測技術(shù)，對入侵檢測數(shù)據(jù)準(zhǔn)確性的要求很高．要使聚類在區(qū)分異常和正常的能力得到保障，首先需要對FCM算法進(jìn)行2個(gè)假設(shè)，一是不同的入侵行為、一般的入侵行為以及正常行為相互間具有很大的特征差異性；二是樣本數(shù)據(jù)集中的具有非常低的異常數(shù)據(jù)比例，并具有較高的正常數(shù)據(jù)量，通常能都達(dá)到98%左右．若只達(dá)到第一個(gè)假設(shè)，F(xiàn)CM算法能夠在不同的分類器（簇）中劃分用于訓(xùn)練的原始數(shù)據(jù)集[5]．若達(dá)到了第二個(gè)假設(shè)，那么分類器的大小可以對異常類和正常類進(jìn)行類別判斷．所以，在這里對基于FCM的入侵檢測算法進(jìn)行了設(shè)計(jì)，設(shè)計(jì)包括了聚類、標(biāo)記以及匹配3個(gè)階段．其中，聚類是最為核心的問題，所以，對于計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測最為重要的環(huán)節(jié)是要對訓(xùn)練數(shù)據(jù)集進(jìn)行模糊聚類計(jì)算，具體流程如圖1所示．

對于計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測而言，首先是要對大量數(shù)據(jù)進(jìn)行類別劃分，而類別劃分正是FCM聚類算法的功能．然而，F(xiàn)CM算法也存在了許多不足之處，一是該算法較容易被噪聲數(shù)據(jù)點(diǎn)所干擾，從而使算法最優(yōu)性受到較大的影響；二是該算法的類中心和隸屬度計(jì)算過程在引入高維度數(shù)據(jù)樣本集后，會(huì)在一定程度上影響到聚類結(jié)果，同時(shí)會(huì)使運(yùn)算的速度大大降低．

1.2 基于PSO-FCM的入侵檢測算法

基于PSO-FCM的入侵檢測算法主要是將粒子群（PSO）算法引入模糊聚類（FCM）算法中，達(dá)到優(yōu)化FCM算法的目的[6]．基于PSO-FCM的入侵檢測算法的檢測思路同樣為聚類、標(biāo)類以及檢測3部分．對于FCM算法中存在的不足，此次研究引入了PSO算法來改進(jìn)FCM局部最小值問題并進(jìn)行初始化操作，提高搜索的隨機(jī)性，使得空間分布的均勻性和廣泛性得到優(yōu)化，PSO算法全局搜索的能力在群智能算法中具有較強(qiáng)的優(yōu)越性[7]．所以，此次研究將PSO優(yōu)化算法的全局搜索能力引入FCM模糊聚類特性中，將兩者的優(yōu)勢進(jìn)行融合，采用粒子群優(yōu)化算法替代模糊聚類算法對聚類中心以及隸屬度更新的迭代進(jìn)行反復(fù)的計(jì)算，以得到基于PSO-FCM聚類算法．為了防止目標(biāo)函數(shù)在局部進(jìn)行極小化過程，優(yōu)化后的PSO-FCM聚類算法要進(jìn)一步將搜索空間擴(kuò)大，因?yàn)樵撍惴ǖ倪^程不同于單一的模糊聚類算法，使FCM搜索方向變得具有多樣性，全局搜索的能力更強(qiáng)．

圖1 模糊聚類算法的具體流程

基于FCM聚類算法的最優(yōu)解在最佳聚類的類中心，而在PSO進(jìn)行計(jì)算時(shí)，其中任意一個(gè)粒子在更新的過程中都可能會(huì)是最終的最優(yōu)解[8]．所以，基于PSO-FCM的思路是將聚類中心的空間采用粒子來進(jìn)行表示，也可以理解為粒子編碼問題．假設(shè)樣本集合中有個(gè)樣本，表達(dá)式為，表示任意向量．在樣本集合中找到異常類與正常類以檢測Z的有效性，并找到適合的聚類中心，若的類有個(gè)，那么各個(gè)類中心表示為，，，…，，，且分別與Z是同維度的向量．因此，一個(gè)粒子X是由這個(gè)聚類中心組成的．根據(jù)這個(gè)思路，一個(gè)可行的解對應(yīng)這一個(gè)編碼，若樣本數(shù)據(jù)維度表示為，粒子長度表示為，那么矩陣式（1）可以表示為單個(gè)粒子．若一個(gè)初始粒子群是由個(gè)單粒子組成，那么群體的規(guī)模為．

粒子群在進(jìn)行搜索時(shí)，需要對每個(gè)粒子的適應(yīng)度進(jìn)行不斷的評(píng)價(jià)，同時(shí)對粒子個(gè)體與全局極值進(jìn)行詳細(xì)記錄[9]．通常，F(xiàn)CM的目標(biāo)評(píng)價(jià)函數(shù)可以應(yīng)用于粒子適應(yīng)度的評(píng)價(jià)中，并基于（，）進(jìn)行優(yōu)化，如式（2）所示．

粒子群算法在粒子位置更新與速度的計(jì)算上受到了認(rèn)知（粒子最佳位置）、慣性（當(dāng)前速度）和社會(huì)（群體最佳位置）的影響．若慣性權(quán)值值較大時(shí)，粒子跳出局部最小點(diǎn)的幾率越大，能夠提高全局搜索能力，反之則利于收斂，能夠提高局部搜索能力[10]．對進(jìn)行了優(yōu)化改進(jìn)，在迭代的過程中，在初期較大，后期則逐漸變?。缡剑?）所示．

式中，表示當(dāng)前次數(shù)；max表示算法最大迭代次數(shù)；0表示初始慣性權(quán)值．若0為0.9，max_為1000，進(jìn)行迭代計(jì)算的進(jìn)行，慣性權(quán)值會(huì)越來越小，直到取值接近于0，如圖2所示．

圖2 慣性權(quán)值w值在改進(jìn)后的變化趨勢

圖3 PSO-FCM聚類算法的具體流程

基于PSO-FCM聚類算法最后的關(guān)鍵流程就是進(jìn)行檢測算法，對各類中心距離與待檢測數(shù)據(jù)進(jìn)行計(jì)算，通過計(jì)算結(jié)果來分析標(biāo)記類中心與數(shù)據(jù)的一致性，從而對入侵行為進(jìn)行判斷．最后設(shè)計(jì)了入侵檢測方法的具體流程，主要分為訓(xùn)練模塊、檢測模塊、數(shù)據(jù)庫模塊和報(bào)警模塊．訓(xùn)練模塊是聚類處理數(shù)據(jù)庫中導(dǎo)出的數(shù)據(jù)，再將聚類處理結(jié)果導(dǎo)入數(shù)據(jù)庫，同時(shí)在檢測模塊中導(dǎo)入對應(yīng)的標(biāo)類信息，將標(biāo)類信息與讀取的數(shù)據(jù)集進(jìn)行匹配，并在數(shù)據(jù)庫中寫入檢測信息．若入侵?jǐn)?shù)據(jù)被匹配，就將信息傳遞給報(bào)警模塊并啟動(dòng)處理程序．基于PSO-FCM計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測算法的具體流程，如圖4所示．

該算法流程主要?jiǎng)澐譃?個(gè)階段，一是訓(xùn)練階段，對數(shù)據(jù)集進(jìn)行聚類訓(xùn)練；二是標(biāo)類階段，通常聚類處理結(jié)果中類標(biāo)識(shí)較少，對類的區(qū)別能力較差．通過標(biāo)類的方法對類中的樣本量進(jìn)行統(tǒng)計(jì)，從而識(shí)別異常類與正常類；三是檢測階段，測試樣本集中的記錄的最短距離是判斷類歸屬的依據(jù)，并判斷行為是否為入侵行為，如果是，則輸出報(bào)警信息．

圖4 基于PSO-FCM計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測算法的具體流程

2 實(shí)驗(yàn)設(shè)計(jì)與分析

本研究采用MATLAB對PSO-FCM智能算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測方法進(jìn)行仿真測試．實(shí)驗(yàn)環(huán)境如下：Intel Pentium Dual-core E5300 CPU，2.60GHz；2GB內(nèi)存；Windows7操作系統(tǒng)，編程環(huán)境Matlab R2010b．測試數(shù)據(jù)集中選取了4組數(shù)據(jù)記錄作為實(shí)驗(yàn)測試樣本集，1組與2組樣本數(shù)據(jù)中包括了正常記錄10000條，入侵行為樣本1000條；3組與4組測試樣本集中除了1、2組中的全部數(shù)據(jù)外，還增加了新的攻擊類型，用以對PSO-FCM算法以及未知類型入侵行為進(jìn)行檢測．

在測試中引入檢測率（Detection Rate，DR）與誤檢率（False Rate，F(xiàn)R）指標(biāo)，其中誤檢率為被誤檢查為攻擊樣本的例數(shù)與所有正常例數(shù)的比值，檢測率為被檢測為攻擊樣本的例數(shù)與全部攻擊例數(shù)的比值．一般指標(biāo)檢測結(jié)果具有較低的FR與較高的DR．將實(shí)驗(yàn)分為兩個(gè)部分，一是進(jìn)行實(shí)驗(yàn)對比操作以對實(shí)驗(yàn)完整性進(jìn)行提升，其過程主要是對最優(yōu)聚類數(shù)目進(jìn)行確定；二是對比PSO-FCM智能算法與常規(guī)FCM算法的誤檢率與檢測率．

設(shè)定最大迭代次數(shù)為1000，學(xué)習(xí)因子1、2的值均為1.49，慣性權(quán)重因子取值為0.9，模糊指數(shù)的值為2．首先，探討檢測結(jié)果受到初始聚類數(shù)目影響程度，在實(shí)驗(yàn)中，觀測并改變參數(shù)的值，觀察值在不同取值的情況下，誤檢率與檢測率的變化趨勢．對樣本集進(jìn)行實(shí)驗(yàn)后，結(jié)果如圖5所示．

圖5 測試不同聚類c值下的結(jié)果

由圖5可以看出，當(dāng)檢測率最高時(shí)，聚類數(shù)量值在[35,40]之間；當(dāng)聚類數(shù)量值為40時(shí)，對應(yīng)的誤檢率也隨之上升．因此，認(rèn)為當(dāng)聚類數(shù)量值為35時(shí)，能夠獲得最低誤檢率和較高檢測率．在下文的實(shí)驗(yàn)中，將聚類數(shù)量值設(shè)定為35來進(jìn)行．利用改進(jìn)后的PSO-FCM算法優(yōu)化的入侵檢測模型對通信行為訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集的檢測結(jié)果如圖6所示．

由圖6可知，PSO-FCM智能優(yōu)化算法對訓(xùn)練數(shù)據(jù)與測試數(shù)據(jù)的檢測率分別為98.3%、97.33%．運(yùn)行FCM算法與PSO-FCM智能算法，采用兩種算法分別測試數(shù)據(jù)樣本集，并對比運(yùn)行后的檢測率，結(jié)果如圖7所示．

由圖7可以看出，基于FCM算法的未知攻擊檢測率均值低于65%，已知攻擊檢測率均值低于70%；同時(shí)，說明了FCM算法與PSO-FCM智能算法在檢測率上，已知攻擊均優(yōu)于未知攻擊．在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測方法上，此次設(shè)計(jì)的基于PSO-FCM智能算法顯著優(yōu)于傳統(tǒng)FCM算法．由于FCM算法與PSO算法在檢測與標(biāo)類階段具有較好的相似性，僅具有訓(xùn)練數(shù)據(jù)聚類效果的差異性．因此，優(yōu)化后的PSO-FCM智能算法具有更好的聚類效果．對于誤檢率的對比，此次試驗(yàn)在相同的樣本集上對比FCM算法與PSO-FCM智能算法的誤檢率，結(jié)果見表1．

圖6 PSO-FCM智能算法訓(xùn)練數(shù)據(jù)與測試數(shù)據(jù)檢測結(jié)果

圖7 對比FCM算法與PSO-FCM智能算法檢測率

表1 對比FCM算法與PSO-FCM智能算法誤檢率 （%）

由表1可以看出，優(yōu)化后的PSO-FCM智能算法入侵檢測誤檢率顯著優(yōu)于FCM算法，證實(shí)了經(jīng)PSO改進(jìn)后的FCM聚類算法的有效性．對比圖7與表1中的數(shù)據(jù)，誤檢率與檢測率相對于同一算法而言，在不同數(shù)據(jù)集中，檢測率升高的同時(shí)，誤檢率也會(huì)隨之升高，此次實(shí)驗(yàn)中的誤檢率均在可以接受的范圍內(nèi)．此次研究還對入侵模型進(jìn)行了多組優(yōu)化方法測試驗(yàn)證，以對比各種優(yōu)化方法的作用．基于各優(yōu)化方法的檢測模型尋優(yōu)結(jié)果見表2．

表2 基于各優(yōu)化方法的檢測模型尋優(yōu)結(jié)果

由表2可以看出，不同的優(yōu)化算法均有一定程度的檢測模型參數(shù)尋優(yōu)效果，可以使通訊行為檢測率有效提升，但收斂速度始終存在著不同，PSO-FCM無論在檢測率上還是在檢測時(shí)間上均優(yōu)于其他算法．綜上所述，在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測方法上，此次設(shè)計(jì)的基于PSO-FCM智能算法顯著優(yōu)于傳統(tǒng)FCM算法．

3 結(jié) 論

在計(jì)算機(jī)信息網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用基于PSO-FCM智能算法來實(shí)現(xiàn)信息網(wǎng)絡(luò)的入侵檢測功能，建立基于PSO-FCM計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測算法的具體方法流程，并應(yīng)用Matlab對設(shè)計(jì)的方法進(jìn)行了仿真分析．結(jié)果表明，在聚類數(shù)量值為35時(shí)，基于FCM算法的未知攻擊檢測率均值低于65%，已知攻擊檢測率均值低于70%，說明了FCM算法與PSO-FCM智能算法在檢測率上，已知攻擊均優(yōu)于未知攻擊．優(yōu)化后的PSO-FCM智能算法在已知與未知攻擊的檢測中均顯著優(yōu)于FCM算法，同時(shí)入侵檢測誤檢率顯著優(yōu)于FCM算法，證實(shí)了經(jīng)PSO改進(jìn)后的FCM聚類算法的有效性，且此次實(shí)驗(yàn)中的誤檢率均在可以接受的范圍內(nèi)．本次研究未充分考慮真實(shí)網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)采集與實(shí)時(shí)檢測，在今后的研究中，會(huì)更關(guān)注這方面的問題．

[1] 汪赫瑜，唐敏影，任建華．基于二次網(wǎng)格優(yōu)化的粒子群模糊聚類算法[J]．計(jì)算機(jī)工程與科學(xué)，2019，41（02）：354-362．

[2] 李根．基于量子人工魚群和模糊核聚類算法的網(wǎng)絡(luò)入侵檢測模型研究[J]．軟件工程，2019，22（06）：33-37．

[3] 李兆峰．基于主成分分析和卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測方法研究[J]．現(xiàn)代信息科技，2019，3（10）：148-151．

[4] 夏景明，李沖，談玲，等．改進(jìn)的隨機(jī)森林分類器網(wǎng)絡(luò)入侵檢測方法[J]．計(jì)算機(jī)工程與設(shè)計(jì)，2019，40（08）：2146-2150．

[5] 陳誠，劉振宇．基于PCA優(yōu)化的PSO-FCM聚類算法[J]．計(jì)算機(jī)系統(tǒng)應(yīng)用，2020，29（03）：213-217．

[6] 龐幫艷，張艷敏．基于粗糙集的公共網(wǎng)絡(luò)入侵檢測方法研究[J]．現(xiàn)代電子技術(shù)，2017，40（04）：28-31．

[7] 袁琴琴，呂林濤．基于改進(jìn)蟻群算法與遺傳算法組合的網(wǎng)絡(luò)入侵檢測[J]．重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，29（01）：84-89．

[8] 丁國強(qiáng)，趙國增，李傳鋒．改進(jìn)BM算法策略的網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)[J]．計(jì)算機(jī)測量與控制，2011，19（11）：2661-2664．

[9] 王宇鋼．基于粒子群優(yōu)化的模糊C均值聚類算法[J]．信息技術(shù)與網(wǎng)絡(luò)安全，2018，37（08）：36-39+44．

[10] 耿宗科，王長賓，張振國．基于模糊c-means與自適應(yīng)粒子群優(yōu)化的模糊聚類算法[J]．計(jì)算機(jī)科學(xué)，2016，43（08）：267-272．

Computer Network Intrusion Detection Method Based on PSO-FCM Intelligent Algorithm

QI Kun, WEI Kai

（）

The research introduces the computer network intrusion detection method based on PSO FCM intelligent algorithm, which mainly introduces PSO algorithm into fuzzy clustering (FCM) algorithm, and makes Matlab simulation analysis on the method. The results show that both FCM algorithm and PSO FCM intelligent algorithm are better than unknown attacks in detection rate. The optimized PSO-FCM intelligent algorithm has better error detection rate than FCM algorithm, and PSO FCM intelligent algorithm is significantly better than traditional FCM algorithm.

fuzzy clustering algorithm; particle swarm optimization; computer; detection; network intrusion

2020-09-23

齊坤，男，河南固始人，碩士，講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)及信息安全.

TP391

A

1672-0318（2021）05-0003-06

10.13899/j.cnki.szptxb.2021.05.001

（責(zé)任編輯：王璐）