薛峪峰，馬曉琴，羅紅郊，田光欣

（國網(wǎng)青海省電力公司信息通信公司，青海西寧 810008）

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，全面推進(jìn)了我國國民經(jīng)濟(jì)的發(fā)展和社會的繁榮進(jìn)步，但是各種網(wǎng)絡(luò)安全問題也接踵而來，給人類生活帶來十分嚴(yán)重的影響，嚴(yán)重威脅社會的穩(wěn)定性?，F(xiàn)階段網(wǎng)絡(luò)入侵防治技術(shù)不斷提升[1-2]，采用防火墻以及神人認(rèn)證等方式對網(wǎng)絡(luò)入侵實(shí)行排查和防御，但是仍然存在一些比較難以防范的手段，威脅著網(wǎng)絡(luò)的穩(wěn)定以及個人利益。為了更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全管控，國內(nèi)相關(guān)專家針對網(wǎng)絡(luò)入侵檢測方面的內(nèi)容展開大量研究，如付子爔等人[3]將支持向量機(jī)和最近鄰兩者結(jié)合完成網(wǎng)絡(luò)入侵檢測。楊彥榮等人[4]對原始數(shù)據(jù)的預(yù)處理，采用GAN整體擴(kuò)充的方式對少數(shù)類樣本進(jìn)行擴(kuò)充處理，同時借助粒子群算法優(yōu)化輸入權(quán)重以及隱含層偏置，最終構(gòu)建入侵檢測模型。陳卓等人[5]優(yōu)先建立時空圖卷積網(wǎng)絡(luò)，在復(fù)雜多變的數(shù)據(jù)中提取網(wǎng)絡(luò)時空演變特征，同時引入支持向量機(jī)實(shí)行分類預(yù)測，最終實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測。在以上幾種方法的基礎(chǔ)上，提出一種海量冗余數(shù)據(jù)沖擊下網(wǎng)絡(luò)入侵檢測方法。經(jīng)實(shí)驗(yàn)測試結(jié)果證明，所提方法可以高效率、高精度地完成網(wǎng)絡(luò)入侵檢測。

1 網(wǎng)絡(luò)入侵檢測方法

1.1 海量冗余數(shù)據(jù)預(yù)處理

將海量冗余數(shù)據(jù)沖擊下網(wǎng)絡(luò)入侵檢測問題作為一項分類預(yù)測任務(wù)[6-7]。針對數(shù)據(jù)集中存在某些特征無法通過計算獲取數(shù)值特征的問題，通過以下獨(dú)熱編碼方式實(shí)行編碼處理，同時將其轉(zhuǎn)換為數(shù)值類型特征。

優(yōu)先掃描數(shù)據(jù)樣本，發(fā)現(xiàn)數(shù)據(jù)集中類型為符號型的特征集合，針對每一項特征項賦予取值不同的標(biāo)識數(shù)字，同時確定編碼中取值為1 的位置，剩余位置用0 填充。

將經(jīng)過獨(dú)熱編碼后的數(shù)據(jù)進(jìn)行歸一化處理，歸一化處理的主要目的就是將數(shù)據(jù)中每一個特征映射到0～1 之間，對應(yīng)的計算式為：

在海量數(shù)據(jù)中，還存在比較多的冗余特征，這些特征會嚴(yán)重影響網(wǎng)絡(luò)入侵檢測結(jié)果的準(zhǔn)確性。所以，需要全面提升數(shù)據(jù)質(zhì)量，同時降低檢測時間。

為了獲取最優(yōu)的變換變量，經(jīng)過變換后的數(shù)據(jù)保持最大的區(qū)分度δ*，則采用以下公式進(jìn)行求解：

式中，n代表樣本總數(shù)；δ(a,b)代表變換向量；代表全部行樣本的平均值；d代表數(shù)據(jù)維度；T代表數(shù)據(jù)特征的方差[8-10]。

1.2 改進(jìn)K-means算法

一般情況下，將K-means 算法的主要思想劃分為以下三個階段[11-13]，分別為：1）設(shè)定共有m個測試樣本，同時采用設(shè)定的數(shù)據(jù)樣本代表簇的初始中心或者平均取值。2）分類處理全部數(shù)據(jù)樣本，同時計算各個樣本和聚類中心之間的距離，根據(jù)計算完成數(shù)據(jù)樣本分配。3）重新調(diào)整新類，計算對應(yīng)的聚類中心，如果聚類中心沒有發(fā)生改變，則說明滿足聚類收斂準(zhǔn)則，需要停止計算，整個算法計算結(jié)束。

采用K-means 算法構(gòu)建平方誤差準(zhǔn)則函數(shù)D，具體的表達(dá)形式如下：

式中，q代表空間中的點(diǎn)；mi代表第i個測試樣本。

K-means 算法主要通過平均值方法獲取聚類中心點(diǎn)，這樣算法會過早陷入局部最優(yōu)。為了有效防止K-means 算法陷入局部最優(yōu)，通過隨機(jī)梯度下降方法取代批量梯度下降。每次僅選取一個數(shù)據(jù)，采用歐式距離獲取距離它最近的簇心，確保簇心在數(shù)據(jù)所在方向移動，有效避免聚類過程中陷入局部最優(yōu)。詳細(xì)的求解過程如下所示：

設(shè)定l(α) 和m(α) 分別代表擬合函數(shù)和損失函數(shù)，對應(yīng)的表達(dá)式如下所示：

式中，αj代表迭代求解結(jié)果。

在計算的過程中，各個數(shù)據(jù)樣本采用迭代計算的方式來不斷更新αj的取值。當(dāng)數(shù)據(jù)樣本數(shù)量比較大時，梯度下降法只需要少量的數(shù)據(jù)樣本就可以將αj值達(dá)到最優(yōu)。

梯度下降法的尋優(yōu)過程就是獲取函數(shù)f(a)的最小值，則獲取的函數(shù)最小值為：

通過以上分析，獲取改進(jìn)K-means 算法的詳細(xì)操作步驟：1）手動確定多個簇心；2）在樣本數(shù)據(jù)各自維度的最大值和最小值之間選擇簇心向量對應(yīng)的維度；3）每次選擇一個樣本數(shù)據(jù)，獲取距離它最近的簇心，同時將簇心向樣本數(shù)據(jù)所在的方向移動；4）每次將最近的簇心向數(shù)據(jù)項移動，同時乘以學(xué)習(xí)率；5）重復(fù)步驟2）-4）；6）更新簇心；7）直至簇心位置不再發(fā)生變動；8）通過數(shù)據(jù)量判斷該簇是正常還是異常。

1.3 冗余數(shù)據(jù)沖擊下網(wǎng)絡(luò)入侵檢測

為了提升支持向量機(jī)的收斂速度[14-15]，需要在迭代過程中選取最佳工作集U(xi,xj)，即獲取合適的優(yōu)化變量或者訓(xùn)練點(diǎn)，同時滿足以下約束條件：

式中，(xi,xj)代表樣本數(shù)據(jù)集。

使用支持向量機(jī)解決實(shí)際問題的過程中，還有一個十分重要的問題需要解決[16]，即核函數(shù)的選擇和建立，詳細(xì)的操作步驟如下所示：1）設(shè)定核函數(shù)。2）設(shè)定一個映射，主要由非空集合、實(shí)數(shù)空間以及數(shù)據(jù)點(diǎn)組成。3）根據(jù)轉(zhuǎn)換關(guān)系獲取線性組合。4）在線性空間內(nèi)設(shè)定數(shù)據(jù)內(nèi)積計算，同時將其轉(zhuǎn)換到Hilbert 空間中。5）通過內(nèi)積的定義，采用輸入空間函數(shù)進(jìn)行描述。通過式（7）計算兩個異構(gòu)數(shù)據(jù)點(diǎn)之間的距離d(i,j)：

式中，ds(i,j)和dt(i,j)代表兩個異構(gòu)數(shù)據(jù)點(diǎn)的連續(xù)性屬性。在得到異構(gòu)數(shù)據(jù)集中數(shù)據(jù)點(diǎn)之間的距離后，可以采用距離替換高斯徑向基核函數(shù)的范數(shù)。通過上述分析，將改進(jìn)K-means 算法和支持向量機(jī)兩者相結(jié)合，進(jìn)而檢測海量冗余數(shù)據(jù)沖擊下網(wǎng)絡(luò)入侵。

2 仿真實(shí)驗(yàn)

為了驗(yàn)證所提海量冗余數(shù)據(jù)沖擊下網(wǎng)絡(luò)入侵檢測方法的有效性，在設(shè)定環(huán)境下展開實(shí)驗(yàn)研究。利用表1 和圖1 給出三種不同方法的網(wǎng)絡(luò)入侵檢測時間以及最小平均誤差測試結(jié)果。

表1 不同方法得到網(wǎng)絡(luò)入侵檢測時間測試結(jié)果對比

分析表1 中的實(shí)驗(yàn)數(shù)據(jù)可知，各個方法的網(wǎng)絡(luò)入侵檢測時間會隨著實(shí)驗(yàn)次數(shù)的變化而變化。在三種算法中，所提方法的網(wǎng)絡(luò)入侵檢測時間最短；文獻(xiàn)[3]算法的網(wǎng)絡(luò)入侵檢測時間次之；而文獻(xiàn)[4]算法的入侵檢測時間最長。由此可見，所提算法可以以較快的速度完成網(wǎng)絡(luò)入侵檢測。

分析圖3 中的實(shí)驗(yàn)數(shù)據(jù)可知，與另外兩種方法相比，所提方法的最小均方誤差明顯更低一些。另外兩種方法的最小均方誤差偏高，需要進(jìn)一步提升兩種方法的性能。

隨機(jī)選取200 個樣本作為測試對象，分析在不同丟包率以及不同噪聲比例下三種方法的檢測率、誤檢率、誤報率測試結(jié)果，如圖2 和圖3 所示。

分析圖2 和圖3 中的實(shí)驗(yàn)數(shù)據(jù)可知，所提方法可以有效提升檢測率，降低誤報率和誤檢率，獲取更加精準(zhǔn)的檢測結(jié)果，全面提升檢測結(jié)果的準(zhǔn)確性。

3 結(jié)論

針對網(wǎng)絡(luò)入侵檢測方法存在的不足，提出一種海量冗余數(shù)據(jù)沖擊下網(wǎng)絡(luò)入侵檢測方法。經(jīng)實(shí)驗(yàn)測試結(jié)果表明，所提方法可以有效提升檢測結(jié)果的準(zhǔn)確性，同時還可以有效降低檢測時間，具有良好的適應(yīng)性。由于受到時間環(huán)境的限制，所提方法后續(xù)將針對以下幾方面的內(nèi)容展開研究：1）需要及時完善網(wǎng)絡(luò)入侵行為，實(shí)時更新網(wǎng)絡(luò)信息。2）在網(wǎng)絡(luò)入侵檢測過程中，需要將多種算法相結(jié)合，全面提升檢測性能。