摘 要：將醫(yī)院網(wǎng)絡(luò)入侵行為作為研究對象，提出基于SSA和 ELM 的網(wǎng)絡(luò)入侵特征選擇模型，有效實施網(wǎng)絡(luò)入侵行為檢測。該方法應(yīng)用 SSA 算法優(yōu)選網(wǎng)絡(luò)入侵特征屬性，用于改進(jìn) EI.M 網(wǎng)絡(luò)分類性能，通過減少模型輸入特征數(shù)，來降低計算復(fù)雜度。將模型用于醫(yī)院網(wǎng)絡(luò) Dos，Probe，R2L.等攻擊行為樣本檢測，結(jié)果表明檢測準(zhǔn)確率能夠達(dá) 90%以上，檢測時長在 0.5 s 以內(nèi)，誤報率不超 0.3%，能滿足醫(yī)院網(wǎng)絡(luò)入侵檢測高效、準(zhǔn)確、可靠的檢測要求

關(guān)鍵詞：SSA;ELM;醫(yī)院網(wǎng)絡(luò)：入侵檢測

中圖法分類號：TP393文獻(xiàn)標(biāo)識碼：A

１ 引言

隨著網(wǎng)絡(luò)技術(shù)的普及與應(yīng)用，各種網(wǎng)絡(luò)攻擊、非法入侵層出不窮，給網(wǎng)絡(luò)信息安全帶來了較大威脅。醫(yī)院內(nèi)部網(wǎng)絡(luò)一旦遭受非法入侵，容易造成患者隱私數(shù)據(jù)泄露、丟失，從而影響醫(yī)院正常運(yùn)營，甚至引發(fā)嚴(yán)重的經(jīng)濟(jì)損失和社會影響。在網(wǎng)絡(luò)入侵檢測方面，對各種機(jī)器學(xué)習(xí)方法進(jìn)行了研究，如采用布谷鳥算法和支持向量機(jī)實現(xiàn)入侵檢測，但僅在處理小樣本時可以達(dá)到較高準(zhǔn)確率，而處理海量數(shù)據(jù)時容易出現(xiàn)滯后情況［１］ ；采用網(wǎng)絡(luò)搜索法依靠特征參數(shù)尋優(yōu)，盡管能夠通過分類器分類，但遍歷搜索列表中每組參數(shù)將造成搜索時間過長，模型訓(xùn)練效率較低；采用麻雀搜索算法（ＳＳＡ）直接在相鄰特征參數(shù)間搜索，更新判斷參數(shù)選取方向，舍棄無法優(yōu)化分類器性能的參數(shù)，可以迅速查找到優(yōu)秀特征參數(shù)組［２］ 。在此基礎(chǔ)上，應(yīng)考慮入侵檢測數(shù)據(jù)不均衡的問題，為避免直接采用機(jī)器學(xué)習(xí)方法造成少數(shù)類分類精度較低的問題，需從算法層面著手，結(jié)合入侵行為相對正常行為數(shù)量少的特點，采用極限學(xué)習(xí)機(jī)（ＥＬＭ）建立單隱層前饋神經(jīng)網(wǎng)絡(luò)，設(shè)定隱含層神經(jīng)元快速學(xué)習(xí)，以獲得良好的泛化性能。綜上所述，提出采用基于ＳＳＡ 算法和ＥＬＭ 算法的醫(yī)院網(wǎng)絡(luò)入侵特征選擇和檢測模型，通過優(yōu)化特征參數(shù)、模型分類性能，從而獲得較高整體檢測效率，提升入侵行為檢測準(zhǔn)確率。

２ 網(wǎng)絡(luò)入侵特征選擇模型

２．１ ＳＳＡ 算法

作為群體智能優(yōu)化方法，ＳＳＡ 算法模仿麻雀覓食和逃避捕食者的過程，按照比例將整個麻雀群劃分為發(fā)現(xiàn)者和追隨者，并隨機(jī)選擇個體兼任警戒者［３］ 。其中，發(fā)現(xiàn)者能量儲備較高，負(fù)責(zé)食物搜索，為追隨者指明食物方向；隨著追隨者能量下降，將跟隨發(fā)現(xiàn)者去往覓食位置獲取能量；警戒者在發(fā)現(xiàn)捕食者入侵后，將向群體發(fā)出警報，以確保群體安全。采用該算法，假設(shè)麻雀群體在Ｎ×Ｄ 維空間內(nèi)尋找食物，Ｎ 為群體規(guī)模， Ｄ 為搜索優(yōu)化維度?？臻g內(nèi)食物Ｆ ＝ ［ Ｆ１，Ｆ２，…，ＦＤ ］Ｔ ，麻雀中個體位置為Ｘ ＝ ［Ｘｎ１，Ｘｎ２，…，ＸｎＤ ］Ｔ ，ｎ ＝ １，２，…，Ｎ，搜索空間上限為ｕｂ ＝ ［ｕｂ１，ｕｂ２，…，ｕｂＤ ］Ｔ ，下限為ｌｂ ＝［ｌｂ１，ｌｂ２，…，ｌｂＤ ］Ｔ ，則能夠完成群體初始化，得到：

式中，Ｅ（Ｓ，β）為網(wǎng)絡(luò)輸出誤差值，Ｈ 為深入矩陣，β 為輸出權(quán)重矩陣，Ｔ 為樣本目標(biāo)輸出矩陣。采用ＥＬＭ 實現(xiàn)非線性問題優(yōu)化，應(yīng)用極限定理、差值定理等使網(wǎng)絡(luò)隱含層激活函數(shù)達(dá)到無窮小，確認(rèn)輸入層權(quán)值和隱含層閾值不會給輸出層結(jié)果輸出帶來明顯影響。因此，采用ＥＬＭ 可以將訓(xùn)練過程轉(zhuǎn)換為求解最小二乘數(shù)β 的過程，得到：

β ＝Ｈ＋Ｔ （８）

式中，Ｈ＋為Ｈ 的廣義逆矩陣，通過正交法獲取，能夠求解得到唯一的最小值。

２．３ 基于ＳＳＡ 的ＥＬＭ 模型

建立基于ＳＳＡ 算法的ＥＬＭ 模型實現(xiàn)網(wǎng)絡(luò)入侵特征選擇，能夠通過參數(shù)優(yōu)化解決訓(xùn)練樣本偏差較大的問題，以避免產(chǎn)生病態(tài)矩陣，從而給網(wǎng)絡(luò)信號分類器性能帶來不良影響［４］ 。為將兩種算法結(jié)合，需先設(shè)計適應(yīng)度函數(shù)：

ｆｉｔｎｅｓｓ＝ａｒｇ ｍｉｎ（ＴｒａｉｎＥｒｒｏｒＲａｔｅ＋ＴｅｓｔＥｒｒｏｒＲａｔｅ）（９）

式中，ｆｉｔｎｅｓｓ 為最終選擇網(wǎng)絡(luò)入侵特征，ＴｒａｉｎＥｒｒｏｒＲａｔｅ為訓(xùn)練集錯誤率，ＴｅｓｔＥｒｒｏｒＲａｔｅ 為測試集錯誤率，使這兩個數(shù)值達(dá)到最小，能夠獲得最高的網(wǎng)絡(luò)入侵檢測準(zhǔn)確率，在可選擇的網(wǎng)絡(luò)入侵特征最少的情況下選擇最佳的特征組合。將麻雀群體中發(fā)現(xiàn)者的位置向量當(dāng)成是特征集，ｘｉ 為一個特征，采用二進(jìn)制編碼方式，在第ｊ 個入侵行為特征被選中時，ｘｉ 取值為１，反之則取值為０，確保從Ｎ 個特征中識別ｉ 個尋優(yōu)特征集合。采用ＳＳＡ 算法實現(xiàn)ＥＬＭ 優(yōu)化，流程如圖１ 所示，特征子集與訓(xùn)練數(shù)據(jù)集相對應(yīng)，并根據(jù)個體適應(yīng)度判斷是否達(dá)到終止條件，以獲得最優(yōu)特征子集，從而將其應(yīng)用于網(wǎng)絡(luò)入侵檢測。

３ 基于ＳＳＡ 和ＥＬＭ 的醫(yī)院網(wǎng)絡(luò)入侵檢測

３．１ 樣本分析

采用ＳＳＡ?ＥＬＭ 模型實現(xiàn)醫(yī)院網(wǎng)絡(luò)入侵檢測，并結(jié)合醫(yī)院網(wǎng)絡(luò)建設(shè)情況，將ＫＤＤ ＣＵＰ９９ 網(wǎng)絡(luò)作為測試對象，常見入侵包含Ｐｒｏｂｅ，Ｄｏｓ，Ｕ２Ｒ，Ｒ２Ｌ 幾種網(wǎng)絡(luò)攻擊。在網(wǎng)絡(luò)訓(xùn)練階段，使用２ ８５６ 個樣本展開訓(xùn)練，其中正常樣本１ ９８３ 個，攻擊樣本不到９００ 個，每個樣本包含４０ 多種屬性。在網(wǎng)絡(luò)測試階段，測試樣本數(shù)為２ ２３４ 個，正常樣本數(shù)為１ ４５３ 個。在樣本中，Ｄｏｓ 占比最大，約占３５％，其次為Ｐｒｏｂｅ，約占３０％，Ｒ２Ｌ 樣本數(shù)約占２５％，Ｕ２Ｒ 樣本數(shù)在１０％左右。

３．２ 檢測流程

采用ＳＳＡ?ＬＥＭ 模型進(jìn)行入侵檢測，輸入層神經(jīng)元數(shù)量設(shè)定為４１，隱含層神經(jīng)元數(shù)量為８３，激勵函數(shù)為高斯核函數(shù)。使用的測試設(shè)備配備２．４ ＧＨｚ 的ＣＰＵ，以及４ ＧＢ 內(nèi)存，芯片為Ｉｎｔｅｌ Ｃｏｒｅｉ５，操作系統(tǒng)為Ｗｉｎｄｏｗｓ ９。在開展實驗室仿真測試時，使用Ｍａｔｌａｂ軟件。

按照入侵檢測流程，先完成醫(yī)院網(wǎng)絡(luò)入侵檢測數(shù)據(jù)讀取，將數(shù)據(jù)劃分為訓(xùn)練集和測試集，最后統(tǒng)一進(jìn)行歸一化處理。在利用計算機(jī)軟件生成ＥＬＭ 模型后，需確定層數(shù)、各層節(jié)點數(shù)等，然后采用二進(jìn)制編碼方式完成特征編碼。對ＳＳＡ 種群進(jìn)行初始化后，設(shè)定種群規(guī)模Ｎ，并確定最大迭代次數(shù)Ｔ，實際取值為５０次，系統(tǒng)將自動生成麻雀群體。首先，將不同特征屬性帶入模型訓(xùn)練中，在獲得個體初始適應(yīng)度后，再對發(fā)現(xiàn)者、追隨者位置進(jìn)行初始化，最后完成全部成員初始適應(yīng)度排序，并從中選擇最優(yōu)位置，即食物位置［５］ 。在標(biāo)記該位置后，將其定義為發(fā)現(xiàn)者，將其他麻雀位置按照適應(yīng)度進(jìn)行排序，并定義為追隨者。在完成發(fā)現(xiàn)者、追隨者位置更新后，對群體適應(yīng)度進(jìn)行重新計算，找尋具有最佳適應(yīng)度的麻雀位置，將其作為最新食物位置。基于此，采用隨機(jī)選擇警戒者的方法來確定麻雀移動方向，并對其進(jìn)行不斷尋優(yōu)，直至獲得全局最優(yōu)位置信息。在經(jīng)過反復(fù)迭代后，達(dá)到最大迭代次數(shù)，并輸出最優(yōu)位置信息，從而生成醫(yī)院網(wǎng)絡(luò)入侵最優(yōu)特征子集，最后將特征子集輸入ＥＬＭ 模型中，完成網(wǎng)絡(luò)入侵檢測，輸出最終檢測結(jié)果。

３．３ 檢測效果

為驗證算法的有效性，利用訓(xùn)練好的模型進(jìn)行網(wǎng)絡(luò)入侵測試，并根據(jù)檢測準(zhǔn)確率和時長等對結(jié)果展開評價。根據(jù)正常樣本正確分類個數(shù)與總樣本數(shù)比值，能夠分析得到模型檢測準(zhǔn)確率。為驗證模型可靠性，需要對入侵行為檢測的誤報率展開分析，即攻擊樣本錯報數(shù)量和總數(shù)量的比值。

將ＳＳＡ?ＥＬＭ 模型和ＥＬＭ 模型進(jìn)行比較，能夠得到如表１ 的測試結(jié)果。從Ｄｏｓ 攻擊檢測情況來看，使用傳統(tǒng)ＥＬＭ 模型和使用ＳＳＡ 算法改進(jìn)后的ＥＬＭ 模型均能達(dá)到９９％以上的檢測準(zhǔn)確率，但改進(jìn)后的模型準(zhǔn)確率更高，且檢測時間明顯縮短。由此可見，兩種模型用于常見Ｄｏｓ 攻擊檢測均能達(dá)到較高準(zhǔn)確率，但由于傳統(tǒng)模型反應(yīng)時間較長，因此無法實現(xiàn)實時檢測醫(yī)院網(wǎng)絡(luò)入侵行為的目標(biāo)。從誤報率情況來看，采用ＳＳＡ?ＥＬＭ 模型可以將Ｄｏｓ 攻擊誤報率從０．０９％降低至０，從而有效地增強(qiáng)網(wǎng)絡(luò)入侵檢測系統(tǒng)運(yùn)行的可靠性。而針對Ｐｒｏｂｅ 等平時并不常見的入侵行為實施檢測，采用ＥＬＭ 模型的準(zhǔn)確率較低，在５０％ ～８０％之間波動，檢測時大多不超１ ｓ，盡管響應(yīng)速度較快，但卻無法有效識別各種網(wǎng)絡(luò)攻擊行為，且對ＵＳＲ 攻擊的誤報率較高，達(dá)到了１．６１％，容易給醫(yī)院網(wǎng)絡(luò)正常工作帶來干擾。采用ＳＳＡ?ＥＬＭ 模型進(jìn)行入侵檢測，僅對Ｐｒｏｂｅ 攻擊檢測準(zhǔn)確率較低，但也達(dá)到了９０％以上，而對ＵＳＲ 攻擊檢測準(zhǔn)確率達(dá)到了１００％，檢測時長則統(tǒng)一控制在０．５ ｓ 以內(nèi)，可以達(dá)到較高檢測效率。此外，ＳＳＡ?ＥＬＭ 模型的誤報率較低，最大不超過０．３％，能夠保證醫(yī)院網(wǎng)絡(luò)入侵檢測系統(tǒng)的可靠工作。由此可見，采用ＳＳＡ 算法能夠有效優(yōu)化ＥＬＭ 模型分類性能。

為進(jìn)一步確認(rèn)增加迭代次數(shù)能否增強(qiáng)模型入侵檢測效果，將迭代次數(shù)增加至１００ 次。從測試結(jié)果來看，Ｄｏｓ，Ｐｒｏｂｅ，Ｒ２Ｌ，Ｕ２Ｒ 的檢測準(zhǔn)確率分別為９９．９％，９３．２％，９８．９％和１００％，檢測時長則分別達(dá)到１．２１ ｓ，０．１０ ｓ，０．３４ ｓ 和０．０５ ｓ，誤報率分別達(dá)到０．００％，０．０５％，０．００％和０．２３％。由此可見，增加迭代次數(shù)對模型入侵檢測準(zhǔn)確率和誤報率的改善效果并不明顯，但卻造成檢測時長增加１ 倍左右。經(jīng)過綜合考量，應(yīng)將迭代次數(shù)設(shè)定為５０ 次，在降低模型復(fù)雜度和冗余度的同時，保證模型用于醫(yī)院網(wǎng)絡(luò)入侵檢測的高效性和可靠性。

４ 結(jié)束語

基于醫(yī)院網(wǎng)絡(luò)面臨復(fù)雜入侵行為的情況，在當(dāng)前網(wǎng)絡(luò)入侵檢測算法存在響應(yīng)速度慢、特征識別率不高等問題的基礎(chǔ)上，提出采用ＳＳＡ 算法優(yōu)化ＥＬＭ 分類性能，通過最小二乘法快速完成入侵行為特征選擇，從而提高網(wǎng)絡(luò)入侵檢測效率和質(zhì)量。對ＳＳＡ?ＥＬＭ 模型建立過程展開分析，然后通過實驗驗證方式檢驗?zāi)Ｐ头诸愋阅埽罱K確定采用改進(jìn)后的ＥＬＭ 模型能夠明顯提高對Ｐｒｏｂｅ，Ｒ２Ｌ，Ｕ２Ｒ３ 種攻擊行為的檢測準(zhǔn)確率，同時能夠有效降低對Ｄｏｓ 和Ｕ２Ｒ 入侵行為檢測誤報率，并縮短各種入侵行為檢測時長。在較少迭代次數(shù)下，ＳＳＡ?ＥＬＭ 模型即可體現(xiàn)較好的網(wǎng)絡(luò)分類器性能，以及保持較高檢測效率和結(jié)果可靠性，因此在醫(yī)院網(wǎng)絡(luò)入侵檢測領(lǐng)域擁有較好的應(yīng)用前景。

參考文獻(xiàn)：

［１］ 魏明軍，張鑫楠，劉亞志，等．一種基于ＳＳＡ?ＢＲＦ 的網(wǎng)絡(luò)入侵檢測方法［Ｊ］．河北大學(xué)學(xué)報（自然科學(xué)版），２０２２，４２（５）：５５２?５６０．

［２］ 張志飛，王露漫．基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測算法研究［Ｊ］．計算機(jī)應(yīng)用與軟件，２０２２，３９（１０）：３３６?３４３．

［３］ 高兵，鄭雅，秦靜，等．基于麻雀搜索算法和改進(jìn)粒子群優(yōu)化算法的網(wǎng)絡(luò)入侵檢測算法［Ｊ］．計算機(jī)應(yīng)用，２０２２，４２（４）：１２０１?１２０６．

［４］ 陳愛萍．基于ＰＳＯ?ＥＬＭ 算法的網(wǎng)絡(luò)入侵檢測研究［Ｊ］．安陽師范學(xué)院學(xué)報，２０２２（２）：３５?３９．

［５］ 楊彥榮，宋榮杰，周兆永．基于ＧＡＮ?ＰＳＯ?ＥＬＭ 的網(wǎng)絡(luò)入侵檢測方法［Ｊ］．計算機(jī)工程與應(yīng)用，２０２０，５６（１２）：６６?７２．

作者簡介：

楊威（ １９７６—）， 網(wǎng)絡(luò)工程師， 研究方向： 計算機(jī)科學(xué)與技術(shù)。