◎中國(guó)移動(dòng)通信有限公司研究院 黃靜 張會(huì)娟 陳佳 何申

一、引言

隨著物聯(lián)網(wǎng)技術(shù)不斷發(fā)展，萬(wàn)物互聯(lián)時(shí)代已經(jīng)來(lái)臨[1]。然而，數(shù)以?xún)|計(jì)的物聯(lián)網(wǎng)設(shè)備接入網(wǎng)絡(luò)，不斷增長(zhǎng)的數(shù)據(jù)維度和繁瑣的網(wǎng)絡(luò)交互行為，使得網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，含有各種不確定性，這給維護(hù)網(wǎng)絡(luò)安全帶來(lái)了巨大的挑戰(zhàn)[2]。作為主動(dòng)防御的第一步,入侵檢測(cè)已經(jīng)成為熱點(diǎn)課題[3]。

入侵檢測(cè)是對(duì)入侵行為的發(fā)覺(jué)，它通過(guò)收集和分析運(yùn)行信息，從中發(fā)現(xiàn)網(wǎng)絡(luò)異常行為[4]。如Zaidi 等人基于統(tǒng)計(jì)分析技術(shù)，通過(guò)模擬攻擊類(lèi)型的流氓節(jié)點(diǎn)，對(duì)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)評(píng)估[5]。實(shí)驗(yàn)結(jié)果表明，所提出的入侵檢測(cè)方法能夠有效地檢測(cè)DDOS 攻擊。Aldribi 等人使用在線(xiàn)多元統(tǒng)計(jì)變化分析來(lái)檢測(cè)異常網(wǎng)絡(luò)，利用實(shí)例的個(gè)體和相關(guān)行為來(lái)提高檢測(cè)能力[6]。閆等人提出一種基于特征匹配的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)多模式匹配算法，提高了系統(tǒng)的檢測(cè)能力[7]。然而，上述方法對(duì)已知的攻擊行為有效，難以檢測(cè)不確定和未知攻擊，自適應(yīng)能力較差。

人工智能技術(shù)由于其強(qiáng)大的學(xué)習(xí)能力和自適應(yīng)能力，已經(jīng)在入侵檢測(cè)方面得到廣泛應(yīng)用[8]。例如，芶等人提出了一種基于隨機(jī)森林算法(Random Forest Algorithm,RFA)的入侵檢測(cè)模型，該模型能夠?qū)Υ罅髁抗暨M(jìn)行分布式檢測(cè)[9]。另外，Devi 等人提出了一種改進(jìn)型支持向量機(jī)(Enhanced Support Vector Machine,ESVM)識(shí)別入侵攻擊類(lèi)型[10]。實(shí)驗(yàn)結(jié)果表明，所提出ESVM 算法的準(zhǔn)確性?xún)?yōu)于傳統(tǒng)的SVM 算法。然而，上述方法中，輸入特征往往含有大量冗余特征，從而造成了嚴(yán)重的計(jì)算成本浪費(fèi)。

為了解決輸入維度冗余，計(jì)算成本浪費(fèi)問(wèn)題，

Ahmad等人采用卡方特征選擇方法進(jìn)行特征篩選。然后，基于 LPBoost 分類(lèi)器建立了入侵檢測(cè)模型[11]。另外，高等人先采用自動(dòng)編碼器降低輸入維度，然后基于SVM 分類(lèi)技術(shù)來(lái)評(píng)估網(wǎng)絡(luò)狀態(tài)[12]。結(jié)果表明，上述方法有效減少了網(wǎng)絡(luò)計(jì)算負(fù)擔(dān)。然而，上述方法仍存在以下問(wèn)題：

1、文本變量問(wèn)題：樣本的文本變量每種狀況頻率有很大的差異，僅簡(jiǎn)單的標(biāo)記成整數(shù)值，忽略了其在數(shù)據(jù)集中的重要性，影響最終的特征篩選結(jié)果。

2、網(wǎng)絡(luò)環(huán)境不確定問(wèn)題：在大規(guī)模異構(gòu)復(fù)雜網(wǎng)絡(luò)中，一些不確定性問(wèn)題是不可避免的，如網(wǎng)絡(luò)傳輸中的丟包和時(shí)延問(wèn)題，或者因異構(gòu)網(wǎng)絡(luò)環(huán)境所帶來(lái)的平臺(tái)差異性等不確定性對(duì)入侵檢測(cè)方法提出了巨大的挑戰(zhàn)。

3、學(xué)習(xí)速度慢問(wèn)題：在上述所提方法中，如何避免算法陷入局部最小值，加快網(wǎng)絡(luò)學(xué)習(xí)速度，仍然是一個(gè)亟需解決的問(wèn)題。

針對(duì)以上問(wèn)題，文中提出了一種基于自適應(yīng)模糊神經(jīng)網(wǎng)絡(luò)(Adaptive Fuzzy Neural Network,AFNN)的入侵檢測(cè)方法。首先，設(shè)計(jì)了一種協(xié)同特征選擇算法(Cooperate Feature Selection Algorithm,CFSA)，從而更好的篩選入侵檢測(cè)相關(guān)的主要特征，避免了計(jì)算成本浪費(fèi)問(wèn)題；其次，提出一種AFNN，緩解了網(wǎng)絡(luò)環(huán)境中的不確定問(wèn)題，提高了網(wǎng)絡(luò)檢測(cè)精度；最后，提出一種自適應(yīng)反向傳播(Adaptive Back Propagate,ABP)算法，更新了AFNN 相關(guān)參數(shù)，提高網(wǎng)絡(luò)學(xué)習(xí)性能。為了驗(yàn)證所提方法的有效性，將該方法應(yīng)用于KDDCup99入侵檢測(cè)數(shù)據(jù)庫(kù)，結(jié)果表明該入侵檢測(cè)方法具有更好的準(zhǔn)確性和快速性。

二、協(xié)同特征選擇算法

為了降低數(shù)據(jù)樣本維度，減少計(jì)算量，首先對(duì)輸入特征變量進(jìn)行篩選。但變量往往包含多種文本變量。因此，文中提出了CFSA，首先科學(xué)量化所有文本特征變量，評(píng)估出每個(gè)文本在數(shù)據(jù)集中的重要性，然后，對(duì)所有采集的特征變量進(jìn)行篩選。

在所提的CFSA 算法中，首先采用TF-IDF，對(duì)文本特征變量矩陣A 進(jìn)行處理。對(duì)給定第j個(gè)樣本單詞*的TF(*,j)計(jì)算公式為：

其中，k*,j 表示第j 個(gè)樣本單詞*出現(xiàn)的次數(shù)。n 表示第i個(gè)樣本表示數(shù)據(jù)中的單詞總數(shù)量。IDF 計(jì)算公式為：

其中，M 表示樣本總數(shù)，mi表示所有樣本中出現(xiàn)單詞*的次數(shù)。單詞*的量化數(shù)值Ξ(*,j)表示為:

然后，基于PLS 方法，進(jìn)行特征變量的篩選。對(duì)自變量P=[P1,P2,...,PN]和因變量Q=(q1,q2,…,qM)T進(jìn)行標(biāo)準(zhǔn)化處理：

其中,n 表示自變量個(gè)數(shù)，M 表示樣本總數(shù)，Pj=[p1j,p2j,...,pMj]，pij表示第i 個(gè)樣本的第j 個(gè)自變量值，表示第j個(gè)自變量的平均值，表示第j 個(gè)自變量的標(biāo)準(zhǔn)差，表示標(biāo)準(zhǔn)化后的第i 個(gè)樣本的第j 個(gè)自變量值，qi 表示第i 個(gè)因變量樣本，表示因變量的平均值,s 表示因變量的標(biāo)準(zhǔn)差，表示標(biāo)準(zhǔn)化后的第i 個(gè)因變量樣本。計(jì)算相關(guān)系數(shù)矩陣：

其中，d(0＜d≤h+1)表示一個(gè)常數(shù)，δi,和γi 表示擬合系數(shù)，表示取h 個(gè)成分回歸建模時(shí)刪除樣本點(diǎn)d 后的擬合量，表示基于全部樣本點(diǎn)，取h 個(gè)成分回歸建模時(shí)所有樣本點(diǎn)d 后的擬合量。當(dāng)提取過(guò)程結(jié)束。提取k 個(gè)主成分，取系數(shù)絕對(duì)值，按照大小排序，前k 個(gè)擬合系數(shù)對(duì)應(yīng)的自變量，作為基于AFNN的入侵檢測(cè)模型的輸入變量。

綜上所述，文中所提CFSA 減少了文本數(shù)據(jù)對(duì)特征提取結(jié)果的影響，使最終的特征選擇結(jié)果更加可靠。

三、基于AFNN的入侵檢測(cè)方法

（一）自適應(yīng)模糊神經(jīng)網(wǎng)絡(luò)(AFNN)

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性和不確定性，當(dāng)前入侵檢測(cè)方法識(shí)別精度不高。因此，在本文中，改進(jìn)傳統(tǒng)的FNN，通過(guò)引入容錯(cuò)誤差值，提出了一種基于AFNN的入侵檢測(cè)方法，更加有效緩解了網(wǎng)絡(luò)環(huán)境的不確定性。如圖1所示，AFNN的拓補(bǔ)結(jié)構(gòu)包括：輸入層、RBF 層、歸一化層、輸出層和分類(lèi)層。

圖1 基于AFNN入侵檢測(cè)方法框架

1、輸入層：該層由k 個(gè)神經(jīng)元，其輸出為：

其中，k 表示輸入特征個(gè)數(shù)。

2、 RBF 層：該層由r 個(gè)神經(jīng)元組成，每個(gè)神經(jīng)元的輸出為:

其中，φj 是RBF 層第j 個(gè)神經(jīng)元的輸出，cj=[c1j,c2j,...,crj]為第j 個(gè)RBF 層神經(jīng)元的中心向量，cij 表示第i 個(gè)輸入神經(jīng)元對(duì)RBF 神經(jīng)第j 個(gè)元的中心值，σj 表示第j 個(gè)隱含神經(jīng)元的寬度。

3、歸一化層：該層神經(jīng)元個(gè)數(shù)為r，和RBF 層相同，并且每個(gè)神經(jīng)元的輸出為：

其中，μj 是歸一化層的第j 個(gè)神經(jīng)元的輸出。

4、輸出層：網(wǎng)絡(luò)狀態(tài)入侵檢測(cè)的輸出為：

其中，y 表示神經(jīng)元輸出，ω=[ω1,ω2,…,ωr]表示連接權(quán)值向量，ωj 表示歸一化層第j 個(gè)神經(jīng)元與輸出神經(jīng)元之間的連接權(quán)值。

5、分類(lèi)層：判定入侵檢測(cè)類(lèi)別：

（二）自適應(yīng)BP 算法

文中采用BP 算法學(xué)習(xí)AFNN的學(xué)習(xí)參數(shù)，包括：RBF層的中心向量c、寬度σ和輸出層的連接權(quán)值ω。然而，傳統(tǒng)的BP 算法容易陷入局部最小值，收斂速度慢的缺點(diǎn)。因此，為了有效更新AFNN 參數(shù)，文中設(shè)計(jì)一種學(xué)習(xí)率的自適應(yīng)策略，提出了一種ABP 算法，其學(xué)習(xí)過(guò)程為：

其中，η(t)表示學(xué)習(xí)率。在傳統(tǒng)BP 算法中，學(xué)習(xí)率是一個(gè)重要的參數(shù)。固定的學(xué)習(xí)率容易使算法陷入局部最小值，造成收斂速度緩慢。因此，在文中提出了一種學(xué)習(xí)率自適應(yīng)策略：

定理一：當(dāng)AFNN的學(xué)習(xí)參數(shù)使用公式(16)-(17)更新時(shí)，AFNN 收斂。

證明：FNN的誤差為：

定義李雅普諾夫函數(shù)：

基于公式(16)-(17)，李雅普諾夫的導(dǎo)數(shù)為：

其中，

因此，

證畢。

四、仿真實(shí)驗(yàn)

為了驗(yàn)證所提檢測(cè)模型的性能，本文基于KDDCup99入侵檢測(cè)數(shù)據(jù)庫(kù)，實(shí)現(xiàn)入侵檢測(cè)識(shí)別。仿真環(huán)境為：MATLAB 2015b，CPU 為Intel Corei5-8265U，主頻1.80GHz，內(nèi)存為8GB，操作系統(tǒng)為Windows 10。

（一）特征篩選

基于KDDCup99入侵檢測(cè)數(shù)據(jù)庫(kù)，采用CFAS 篩選出與入侵檢測(cè)類(lèi)型相關(guān)的特征變量。KDDCup99 的輸入特征變量41 個(gè)，包括：9 個(gè)TCP 數(shù)據(jù)包連接屬性、13 個(gè)專(zhuān)家知識(shí)屬性和19 個(gè)時(shí)間窗口計(jì)算屬性。四種入侵類(lèi)型包括：Dos、Probing、R2L 和U2R。選取3000 個(gè)樣本并且保證包含了所有入侵類(lèi)型。該實(shí)驗(yàn)獨(dú)立進(jìn)行50 次，取50 次實(shí)驗(yàn)結(jié)果的平均值作為最終結(jié)果。為了節(jié)約篇幅，文中給出每個(gè)特征變量的編號(hào)，具體意義參考文獻(xiàn)[13]。特征選擇結(jié)果如圖2所示。

圖2 CFAS特征篩選結(jié)果

（二）入侵檢測(cè)

文中基于AFNN 建立了入侵檢測(cè)模型，從而識(shí)別不同類(lèi)型的入侵。為了驗(yàn)證所提入侵檢測(cè)模型的性能，采用識(shí)別精度(Identification Accuracy)、誤檢率（False）和漏檢率（Miss）三個(gè)指標(biāo)進(jìn)行評(píng)估，具體公式如下：

其中，TIA表示識(shí)別精度，TF表示誤報(bào)概率，TM表示漏檢概率，NR表示正確的分類(lèi)數(shù)，N 表示樣本總數(shù)，NF表示誤檢的樣本數(shù)，NM表示漏檢的樣本數(shù)。

本實(shí)驗(yàn)中，采用的入侵?jǐn)?shù)據(jù)樣本總量為8000 個(gè)。5000個(gè)樣本用來(lái)訓(xùn)練入侵檢測(cè)模型，3000 個(gè)樣本用來(lái)測(cè)試模型性能，每種入侵檢測(cè)類(lèi)型的分布情況如表1所示。自適應(yīng)BP算法中學(xué)習(xí)率中的常數(shù)α 設(shè)置為0.02，e為0.2。實(shí)驗(yàn)結(jié)果如圖3-5所示。

圖3 表示測(cè)試輸出結(jié)果，圖4 表示所提入侵檢測(cè)模型的誤檢率和漏檢率，圖5 為不同的入侵類(lèi)型的檢測(cè)精度?；趫D3-5 的結(jié)果，所設(shè)計(jì)的AFNN 入侵檢測(cè)模型能夠以一個(gè)良好的魯棒性能，很好地診斷不同的入侵類(lèi)型。同時(shí)，為了評(píng)估所提入侵檢測(cè)模型性能，將其結(jié)果與其他算法進(jìn)行比較：FNN，BP 網(wǎng)絡(luò)，PCA-SVM[11]，AN-SVM[12]，ISSDA[14]，具體比較情況如表2所示。

圖3 測(cè)試分類(lèi)結(jié)果

圖4 誤檢率和漏檢率

圖5 測(cè)試精度

由表2 可以看出，文中所提的基于AFNN的入侵檢測(cè)模型對(duì)多種入侵類(lèi)型的精度分別為99.91%，98.93%，99.05%，93.10%，97.60%，高于其他算法。另外，所提入侵檢測(cè)模型的誤檢率和漏檢率在所有算法種是最低的?；谝陨戏治觯f(shuō)明無(wú)論網(wǎng)絡(luò)環(huán)境是否存在不確定性和不一致性，基于AFNN的入侵檢測(cè)模型具有良好的識(shí)別性能。

表1.實(shí)驗(yàn)樣本分布情況

同時(shí)，與AN-SVM 和PCA-SVM 比較，文中采用 CFSA進(jìn)行文本特征的量化，評(píng)估出每個(gè)文本對(duì)數(shù)據(jù)集的重要性，從而提高了AFNN的分類(lèi)性能。另外，在實(shí)驗(yàn)中AFNN的訓(xùn)練時(shí)間為45s，F(xiàn)NN的訓(xùn)練時(shí)間為68s，對(duì)比二者的精度和訓(xùn)練時(shí)間，說(shuō)明所提的ABP 算法能夠加快AFNN的學(xué)習(xí)速度，有效提高網(wǎng)絡(luò)學(xué)習(xí)性能。

表2.不同算法識(shí)別性能比較

五、結(jié)論

文中提出了一種基于AFNN的入侵檢測(cè)方法。在該方法中，采用CFSA 篩選出入侵檢測(cè)相關(guān)的主要特征，減少了人為主觀造成的偏差，從而更好的篩選出入侵檢測(cè)相關(guān)特征，使得最終的特征選擇結(jié)果更加可信；設(shè)計(jì)基于AFNN的入侵檢測(cè)方法，提高了模型的容錯(cuò)能力和自適應(yīng)能力，緩解網(wǎng)絡(luò)環(huán)境的不確定性，提高入侵檢測(cè)效果；提出ABP 算法，更新AFNN 相關(guān)參數(shù)，加快了網(wǎng)絡(luò)學(xué)習(xí)速度，最后，基于 KDDCup99入侵檢測(cè)結(jié)果，證明了所提的入侵檢測(cè)方法具有更好性能。由于AFNN的結(jié)構(gòu)調(diào)整需要人工大量的嘗試，因此在后續(xù)工作中，將進(jìn)一步研究AFNN 結(jié)構(gòu)的自組織，提高其泛化能力。