蘭遠(yuǎn)東+++高蕾

【 摘 要 】 網(wǎng)絡(luò)入侵檢測(cè)的關(guān)鍵問(wèn)題是要使得檢測(cè)準(zhǔn)確率最大化，誤警率最小化。為了解決這個(gè)問(wèn)題，提出了集成多種智能學(xué)習(xí)范型的入侵檢測(cè)模型。該模型融合了線性遺傳規(guī)劃，自適應(yīng)神經(jīng)模糊推理系統(tǒng)和隨機(jī)森林學(xué)習(xí)算法。在分類前，使用兩層的特征選擇過(guò)程來(lái)約簡(jiǎn)特征，并在分別評(píng)估了每種學(xué)習(xí)算法的性能基礎(chǔ)上，給出了融合規(guī)則。實(shí)驗(yàn)表明：融合多智能技術(shù)的入侵檢測(cè)系統(tǒng)的性能要優(yōu)于任何一個(gè)單一的分類器。

【 關(guān)鍵詞 】 入侵檢測(cè)；多分類器系統(tǒng)；模式分類；遺傳規(guī)劃

1 引言

互聯(lián)網(wǎng)在快速膨脹的同時(shí)，也引發(fā)了有關(guān)安全的許多問(wèn)題。研究者提出了各種安全策略，來(lái)保障互聯(lián)網(wǎng)絡(luò)的安全。單獨(dú)使用防火墻作為一個(gè)基本的包過(guò)濾器，不足以提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

入侵檢測(cè)系統(tǒng)配合防火墻，可以提供一個(gè)更好、更安全的網(wǎng)絡(luò)。一般來(lái)說(shuō)，入侵檢測(cè)系統(tǒng)（Intrusion Detection System， IDS）可以通過(guò)分析網(wǎng)絡(luò)流量，尋找潛在的威脅。兩種主要類型的入侵檢測(cè)系統(tǒng)是誤用檢測(cè)和異常檢測(cè)。誤用檢測(cè)尋找已知的攻擊，例如攻擊簽名，而異常是基于正常的模式而言。與正常參考模式存在顯著偏差，就表明可能存在潛在威脅。誤用檢測(cè)和異常檢測(cè)都有缺點(diǎn)，誤用檢測(cè)需要簽名的頻繁更新，以確保良好的檢測(cè)，而異常檢測(cè)容易導(dǎo)致較高的誤警率。因此，面臨的挑戰(zhàn)是避免這兩個(gè)問(wèn)題并拿出解決方案，可以提供一個(gè)良好的精度，同時(shí)保持較低的誤警率。

各種智能模型已經(jīng)用于入侵檢測(cè)，其中包括神經(jīng)網(wǎng)絡(luò)，支持向量機(jī)和人工免疫系統(tǒng)；也有研究者通過(guò)統(tǒng)計(jì)方法來(lái)解決入侵檢測(cè)問(wèn)題的；也有使用圖方法的，比如聯(lián)合樹(shù)對(duì)于隔離正常模式和攻擊模式非常有效，聯(lián)合樹(shù)的優(yōu)點(diǎn)是它能夠說(shuō)明屬性之間的相互關(guān)系。

近年來(lái)，集成多分類器的方法被廣泛地用來(lái)解決許多分類問(wèn)題，包括入侵檢測(cè)系統(tǒng)。只要有適當(dāng)?shù)耐镀睓C(jī)制和權(quán)重分配，多分類器系統(tǒng)能夠提高分類精度。但是，當(dāng)處理諸如網(wǎng)絡(luò)流量巨大的領(lǐng)域問(wèn)題時(shí)，計(jì)算資源和時(shí)間會(huì)受到很大的影響。

本文的目的是為了解決入侵檢測(cè)系統(tǒng)的準(zhǔn)確性和誤警率問(wèn)題，我們采用兩種方式。首先是選擇表達(dá)網(wǎng)絡(luò)流量模式的主要特征，然后基于不同的學(xué)習(xí)范型構(gòu)建多個(gè)分類器，最終形成一個(gè)集成分類器模型。選擇了三種智能計(jì)算技術(shù)來(lái)開(kāi)發(fā)分類器，它們分別是線性遺傳規(guī)劃（Linear Genetic Programming， LGP）、自適應(yīng)神經(jīng)模糊推理（Adaptive Neural Fuzzy Inference System， ANFIS）和隨機(jī)森林（Random Forest ， RF）。

2 智能計(jì)算技術(shù)

網(wǎng)絡(luò)流量數(shù)據(jù)通常與大容量、多領(lǐng)域相關(guān)聯(lián)，需要入侵檢測(cè)系統(tǒng)的仔細(xì)分析和辨別。為了減輕開(kāi)銷問(wèn)題，在對(duì)數(shù)據(jù)分類前先進(jìn)行特征選擇。此外，必須要選擇表達(dá)每個(gè)流量類別的顯著特征以找到入侵模式的共同特性。但是這些特征往往隱藏在不相關(guān)的特征中，有的特征還存在假相關(guān)，其中的一些特征也可能是多余的。

因此，特征選擇的目的是從一些看似無(wú)關(guān)緊要的特征中揭露那些隱藏的顯著特征。這樣就可以實(shí)現(xiàn)一個(gè)快速、準(zhǔn)確的分類器。然后，使用三種不同的機(jī)器學(xué)習(xí)技術(shù)來(lái)構(gòu)建集成多分類器系統(tǒng)，這三種技術(shù)是線性遺傳規(guī)劃（LGP）、自適應(yīng)神經(jīng)模糊推理系統(tǒng)（ANFIS）和隨機(jī)森林（RF）。綜合這幾種智能技術(shù)，旨在提高入侵檢測(cè)系統(tǒng)的性能。

下文將簡(jiǎn)要介紹一下這些技術(shù)。

2.1 預(yù)處理

在本文的研究工作中實(shí)施的特征選擇過(guò)程，使用了粗糙集（Rough Set）技術(shù)和二進(jìn)制粒子群優(yōu)化算法（Binary Particle Swarm Optimization），采用分層方式，形成一個(gè)二層的特征選擇過(guò)程。特征是基于每一個(gè)特定的類而獲得的，每一個(gè)類有一個(gè)特征集。二進(jìn)制粒子群優(yōu)化算法采用啟發(fā)式技術(shù)，初始候選特征為41維，粗糙集技術(shù)被用于消除冗余特征，保留每個(gè)流量類（Normal、Probe、DoS、U2R、R2L）的最顯著的15維特征，這15維特征稱為原始特征的約簡(jiǎn)。

2.2 二進(jìn)制粒子群優(yōu)化算法

粒子群優(yōu)化算法是通過(guò)模擬鳥(niǎo)群覓食行為而發(fā)展起來(lái)的一種基于群體協(xié)作的隨機(jī)搜索算法。每個(gè)粒子與速度有關(guān)，當(dāng)粒子在搜索空間中飛行時(shí)，粒子的速度根據(jù)每個(gè)粒子的歷史行為和鄰居而調(diào)整。因此，粒子具有朝著越來(lái)越好的搜索區(qū)域飛行的趨勢(shì)。粒子的速度和位置的計(jì)算說(shuō)明如下：

Vid=wVid+C1·rand（）（Pid-Xid）+C2·Rand（）（Pgd-Xid） （1）

Xid=Xid+Vid （2）

C1和C2是正數(shù)常量，叫做學(xué)習(xí)速率；rand（）和Rand（）是兩個(gè)隨機(jī)函數(shù)，取值范圍為[0，1]；w是慣性權(quán)重，合適的權(quán)重可以取得全局與局部之間探索平衡；Xi=（xi1，xi2，…，xid）代表第i個(gè)粒子，Pi=（Pi1，Pi2，…，Pid）是第i個(gè)粒子的前一個(gè)最優(yōu)位置。

本文使用兩層粒子群優(yōu)化算法來(lái)決定每個(gè)特征是否應(yīng)該被選擇出來(lái)作為分類的特征。先使用基于粗糙集的離散粒子群優(yōu)化算法（Discrete Particle Swarm Optimization），來(lái)挑選顯著特征，將每個(gè)類的初始42維特征縮減到15維。然后在此基礎(chǔ)上使用二進(jìn)制粒子群優(yōu)化算法，最終的特征維數(shù)在6到8之間，大約縮減了80%的特征。

2.3 多智能集成分類

集成多分類器的有效性依賴于決策融合函數(shù)，在確定決策函數(shù)時(shí)，需要考慮分類器的差異性。本文通過(guò)集成三種不同的機(jī)器學(xué)習(xí)技術(shù)來(lái)構(gòu)建集成多分類器系統(tǒng)，這三種技術(shù)是線性遺傳規(guī)劃（LGP）、自適應(yīng)神經(jīng)模糊推理系統(tǒng)（ANFIS）和隨機(jī)森林（RF）。綜合這幾種智能技術(shù)，旨在提高入侵檢測(cè)系統(tǒng)的性能。決策融合函數(shù)的確定，是基于各個(gè)單分類器的檢測(cè)性能，及整個(gè)系統(tǒng)的準(zhǔn)確率。

2.3.1 線性遺傳規(guī)劃endprint

最近在遺傳規(guī)劃方面的事態(tài)發(fā)展，包括通過(guò)使用線性基因構(gòu)建機(jī)器代碼指令來(lái)提高速度，以及同源交叉運(yùn)算激發(fā)了研究者在網(wǎng)絡(luò)安全問(wèn)題方面的應(yīng)用研究。遺傳算法也是計(jì)算機(jī)科學(xué)人工智能領(lǐng)域中用于解決最優(yōu)化的一種搜索啟發(fā)式算法，是進(jìn)化算法的一種。

這種啟發(fā)式通常用來(lái)生成有用的解決方案來(lái)優(yōu)化和搜索問(wèn)題。進(jìn)化算法最初是借鑒了進(jìn)化生物學(xué)中的一些現(xiàn)象而發(fā)展起來(lái)的，這些現(xiàn)象包括遺傳、突變、自然選擇以及雜交等。遺傳算法在適應(yīng)度函數(shù)選擇不當(dāng)?shù)那闆r下有可能收斂于局部最優(yōu)，而不能達(dá)到全局最優(yōu)。

線性遺傳規(guī)劃是遺傳規(guī)劃的一個(gè)變種，是遺傳規(guī)劃使用計(jì)算機(jī)程序的一個(gè)特定的線性表示。與基于樹(shù)的遺傳規(guī)劃相比的主要不同是進(jìn)化單元不是功能性編程語(yǔ)言的表達(dá)式，而是命令式的語(yǔ)言程序。文獻(xiàn)[5]進(jìn)一步證明了三種遺傳規(guī)劃變種算法在入侵檢測(cè)系統(tǒng)中的識(shí)別能力，其中多表達(dá)式編程在除了對(duì)Probe和DoS攻擊的其他情況下表現(xiàn)出較高的識(shí)別能力。

同時(shí)，遺傳規(guī)劃算法還能獲得較低維數(shù)的顯著特征，分類精度可以達(dá)到95%以上。文獻(xiàn)[4]還指出，由于具有較快的檢測(cè)速度和較高的檢測(cè)精度，遺傳規(guī)劃可以應(yīng)用于實(shí)時(shí)檢測(cè)領(lǐng)域。如果種群規(guī)模、交叉率、變異率等參數(shù)選擇恰當(dāng)，線性遺傳規(guī)劃要優(yōu)于支持向量機(jī)和人工神經(jīng)網(wǎng)絡(luò)。

2.3.2 自適應(yīng)神經(jīng)模糊推理系統(tǒng)

由于特征和網(wǎng)絡(luò)流量數(shù)據(jù)的本質(zhì)之間存在復(fù)雜的關(guān)系，正常數(shù)據(jù)和入侵?jǐn)?shù)據(jù)之間存在灰色邊界。因此，近年來(lái)模糊推理系統(tǒng)被部署在入侵檢測(cè)系統(tǒng)中，作為入侵檢測(cè)的重要方法之一。

模糊推理是從不精確的前提集合中得出可能的不精確結(jié)論的推理過(guò)程，又稱近似推理。有兩種基本的模糊推理系統(tǒng)：Mamdani模糊推理模型和Sugeno模糊推理模型，兩者的主要區(qū)別在于對(duì)輸出的界定。Mamdani模糊推理模型通過(guò)事先掌握的一組推理規(guī)則，實(shí)現(xiàn)從輸入到輸出的推理計(jì)算，從而建立準(zhǔn)確的辨識(shí)系統(tǒng)。下面給出一個(gè)Mamdani模糊推理規(guī)則的例子：if （x is high） then （y is small），它是一種語(yǔ)言形式。

與Mamdani模型相似，Sugeno模型的推理規(guī)則的前提部分是語(yǔ)言形式，但是規(guī)則的結(jié)論部分卻是一個(gè)非模糊的等式，如：if （x is high） then y=f（x），其中f（x）是模糊輸入變量x的函數(shù)。

本文的自適應(yīng)神經(jīng)模糊推理系統(tǒng)采用Sugeno模型。與Toosi和Kahani的工作相似，之所以采用自適應(yīng)神經(jīng)模糊推理是因?yàn)閷?duì)不同的數(shù)據(jù)變種，成員函數(shù)參數(shù)的選擇非常困難。自適應(yīng)神經(jīng)模糊推理是一種融合了神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)能力的近似推理方法，學(xué)習(xí)機(jī)制采用混合監(jiān)督學(xué)習(xí)方法，自適應(yīng)神經(jīng)模糊推理的結(jié)構(gòu)如圖1所示。

自適應(yīng)網(wǎng)絡(luò)是一個(gè)多層前饋網(wǎng)絡(luò)，分為五層，其中的方形節(jié)點(diǎn)需要進(jìn)行參數(shù)學(xué)習(xí)。

第一層計(jì)算輸入變量的匹配度，即模糊化過(guò)程；

第二層計(jì)算當(dāng)前輸入對(duì)各條規(guī)則的激勵(lì)強(qiáng)度，采用對(duì)規(guī)則前件部分各模糊變量的隸屬度作乘積運(yùn)算；

第三層對(duì)激勵(lì)強(qiáng)度進(jìn)行歸一化；

第四層計(jì)算每條規(guī)則的輸出，一條規(guī)則的輸出是給定輸入對(duì)該條規(guī)則的激勵(lì)強(qiáng)度與結(jié)論部分的乘積；

第五層計(jì)算模糊系統(tǒng)的輸出，總的輸出是所有規(guī)則輸出之和。

2.3.3 隨機(jī)森林

隨機(jī)森林是未修剪的分類樹(shù)或回歸樹(shù)的集合，是一個(gè)包含多個(gè)決策樹(shù)的分類器，并且其輸出的類別是由個(gè)別樹(shù)輸出的類別的眾數(shù)而定。

Leo Breiman和Adele Cutler發(fā)展出隨機(jī)森林的算法，隨機(jī)森林學(xué)習(xí)算法如下：

1）用 N 來(lái)表示訓(xùn)練例子的個(gè)數(shù)，M表示變量的數(shù)目；

2）使用數(shù)m，用來(lái)決定當(dāng)在一個(gè)節(jié)點(diǎn)上做決定時(shí)，會(huì)使用到多少個(gè)變量，m應(yīng)小于M；

3）從N個(gè)訓(xùn)練案例中以可重復(fù)取樣的方式，取樣N次，形成一組訓(xùn)練集（即bootstrap取樣），并使用這棵樹(shù)來(lái)對(duì)剩余預(yù)測(cè)其類別，并評(píng)估其誤差；

4）對(duì)于每一個(gè)節(jié)點(diǎn)，隨機(jī)選擇m個(gè)基于此點(diǎn)上的變量，根據(jù)這m個(gè)變量，計(jì)算其最佳的分割方式；

5）每棵樹(shù)都會(huì)完整成長(zhǎng)而不會(huì)剪枝。

由于隨機(jī)森林學(xué)習(xí)算法具有低的分類錯(cuò)誤率，以及對(duì)特征的排序等特點(diǎn)，隨機(jī)森林被用于多個(gè)領(lǐng)域，比如建模、預(yù)測(cè)以及入侵檢測(cè)系統(tǒng)。

3 實(shí)驗(yàn)設(shè)置

實(shí)驗(yàn)采用KDD Cup 1999數(shù)據(jù)集，是KDD競(jìng)賽在1999年舉行時(shí)采用的數(shù)據(jù)集。收集了9周時(shí)間的TCP dump網(wǎng)絡(luò)連接和系統(tǒng)審計(jì)數(shù)據(jù)，仿真各種用戶類型、各種不同的網(wǎng)絡(luò)流量和攻擊手段，使它就像一個(gè)真實(shí)的網(wǎng)絡(luò)環(huán)境。這些TCP dump采集的原始數(shù)據(jù)被分為兩個(gè)部分：7周時(shí)間的訓(xùn)練數(shù)據(jù)，大概包含5，000，000多個(gè)網(wǎng)絡(luò)連接記錄，剩下的2周時(shí)間的測(cè)試數(shù)據(jù)大概包含2，000，000個(gè)網(wǎng)絡(luò)連接記錄。

一個(gè)網(wǎng)絡(luò)連接定義為在某個(gè)時(shí)間內(nèi)從開(kāi)始到結(jié)束的TCP數(shù)據(jù)包序列，并且在這段時(shí)間內(nèi)，數(shù)據(jù)在預(yù)定義的協(xié)議下（如TCP、UDP）從源IP地址到目的IP地址的傳遞。每個(gè)網(wǎng)絡(luò)連接被標(biāo)記為正常（Normal）或異常（Anomaly），異常類型被細(xì)分為四大類共39種攻擊類型，其中22種攻擊類型出現(xiàn)在訓(xùn)練集中，另有17種未知攻擊類型出現(xiàn)在測(cè)試集中。

四種異常類型分別是：

1）DoS （Denial-of-Service）拒絕服務(wù)攻擊，例如ping-of-death， syn flood， smurf等；

2）R2L （Remote to Local）來(lái)自遠(yuǎn)程主機(jī)的未授權(quán)訪問(wèn)，例如guessing password；

3）U2R （User to Root）未授權(quán)的本地超級(jí)用戶特權(quán)訪問(wèn)，例如buffer overflow attacks；

4）Probe （Probing and Surveillance）端口監(jiān)視或掃描，例如port-scan， ping-sweep等。endprint

實(shí)驗(yàn)中選擇了5092個(gè)樣本作為訓(xùn)練集，6890個(gè)樣本作為測(cè)試集。樣本的組成保持了KDD Cup 1999的真實(shí)分布，具體情況如表1所示。

實(shí)驗(yàn)流程如圖2所示，獲取顯著特征的過(guò)程離線完成，每一個(gè)分類器（線性遺傳規(guī)劃LGP，自適應(yīng)神經(jīng)模糊推理系統(tǒng)ANFIS，隨機(jī)森林RF）都使用相同的訓(xùn)練集。

用離散粒子群優(yōu)化算法（Discrete Particle Swarm Optimization）來(lái)挑選顯著特征，將每個(gè)類的初始42維特征縮減到15維。然后在此基礎(chǔ)上使用二進(jìn)制粒子群優(yōu)化算法，特征選擇的過(guò)程可以參見(jiàn)。得到的特定類別特征如表2所示，最終的特征維數(shù)在5到8之間，大約縮減了80%的特征。

表格3給出了ANFIS分別在迭代100、300和500次時(shí)的錯(cuò)誤率，可以看出最佳的迭代次數(shù)是300。迭代次數(shù)在300以上時(shí)，錯(cuò)誤率并沒(méi)有因?yàn)榈螖?shù)的增加而降低。實(shí)驗(yàn)中采用鐘型隸屬函數(shù)，并將其實(shí)驗(yàn)結(jié)果與其他兩種類型的隸屬函數(shù)（梯形隸屬函數(shù)和高斯隸屬函數(shù)）對(duì)比，結(jié)果表明鐘型隸屬函數(shù)更適合本文的研究工作。

分別使用5個(gè)自適應(yīng)神經(jīng)模糊推理系統(tǒng)來(lái)處理5種類型的網(wǎng)絡(luò)流量數(shù)據(jù)，由于通過(guò)特征選擇階段的處理，特征被顯著約簡(jiǎn)，推理規(guī)則數(shù)目從25-28，規(guī)則的數(shù)目遠(yuǎn)低于Toosi and Kahani的241。推理規(guī)則的數(shù)量，對(duì)分類時(shí)間具有較大影響。

對(duì)于線性遺傳規(guī)劃分類器使用的參數(shù)如表4所示。

實(shí)驗(yàn)中限制1000代的編碼進(jìn)化，每一代平均運(yùn)行20次。在對(duì)U2R攻擊類型分類時(shí)，當(dāng)進(jìn)化到90代時(shí)就基本穩(wěn)定了，更多的進(jìn)化迭代并沒(méi)有改善分類精度，實(shí)驗(yàn)結(jié)果如圖3所示。

在隨機(jī)森林算法的實(shí)驗(yàn)中，使用3維特征作為建樹(shù)時(shí)的節(jié)點(diǎn)分裂因子。在分類器融合前，對(duì)每一個(gè)分類器單獨(dú)進(jìn)行性能評(píng)估。在分類器融合時(shí)，根據(jù)獨(dú)立分類器的性能，進(jìn)行權(quán)重分配。獨(dú)立分類器的性能，如圖4和圖5所示。在嘗試了多種權(quán)重分配的實(shí)驗(yàn)后，得出下面的權(quán)重分配融合模型是最優(yōu)的。

Dprob=（0.5×LGPprob）+（0.1×ANFISprob）+（0.4×RFprob）（3）

其中，0.5、0.1和0.4是權(quán)重，Dprob是LGPprob、ANFISprob和RFprob三個(gè)分類器的累積決策。

4 結(jié)果與討論

每個(gè)獨(dú)立分類器以及最終的集成多分類器系統(tǒng)的實(shí)驗(yàn)結(jié)果，如表5所示。其中精度（Accuracy）、誤警率（False Positive）和準(zhǔn)警率（True Positive）的計(jì)算公式如下：

Accuracy=（4）

False Positive= （5）

Ture Positive= （6）

其中TP是對(duì)入侵?jǐn)?shù)據(jù)的正確分類，TN是對(duì)正常數(shù)據(jù)的正確分類，F(xiàn)P是對(duì)入侵?jǐn)?shù)據(jù)的錯(cuò)誤分類，F(xiàn)N是對(duì)正確數(shù)據(jù)的錯(cuò)誤分類。

每個(gè)單獨(dú)分類器對(duì)每種類型的流量數(shù)據(jù)的分類精度曲線如圖4所示，類別1代表正常數(shù)據(jù)（Normal），類別2代表嗅探攻擊（Probe），類別3代表DoS攻擊，類別4代表U2R攻擊，類別5代表R2L攻擊。總體來(lái)看，線性遺傳規(guī)劃的（LGP）的性能要優(yōu)于ANFIS和RF。3種分類技術(shù)對(duì)DoS攻擊的識(shí)別性能都較差，可能是由于特征選擇過(guò)程中DoS攻擊的顯著特征選擇不夠完整，也可能是因?yàn)镈oS攻擊的樣本數(shù)量不平衡。

每個(gè)單獨(dú)分類器對(duì)每種類型的流量數(shù)據(jù)的準(zhǔn)警率曲線如圖5所示。從圖中可以看出，LGP和ANFIS對(duì)U2R攻擊的識(shí)別率較差，RF相對(duì)較好。從圖4和圖5可以看出，對(duì)DoS攻擊和U2R攻擊的識(shí)別較為困難。DoS攻擊數(shù)據(jù)的樣本數(shù)量占總樣本的58.96%，而U2R具有最少的樣本，占比0.53%。兩種數(shù)據(jù)的樣本數(shù)量分處兩個(gè)極端，導(dǎo)致數(shù)據(jù)不平衡問(wèn)題，也直接導(dǎo)致了最終的識(shí)別性能較差。RF算法對(duì)5種流量數(shù)據(jù)的總體識(shí)別性能相對(duì)較為穩(wěn)定，而LGP和ANFIS在處理樣本數(shù)量不平衡的類別時(shí)性能較差。

集成3種智能技術(shù)的分類器的分類精度與3個(gè)單獨(dú)的分類器中最好的LGP的分類性能對(duì)比如圖6所示。由于集成分類器中的每個(gè)分類器之間性能的互補(bǔ)性，從圖中可以看出，集成分類器的性能優(yōu)于LGP，集成分類器模型能夠保持較低的誤警率的同時(shí)獲得較好的分類精度。

5 結(jié)束語(yǔ)

在本文中，我們集成三種不同的智能學(xué)習(xí)范型來(lái)提高入侵檢測(cè)的精度。通過(guò)對(duì)每種學(xué)習(xí)范型設(shè)置相應(yīng)的權(quán)重來(lái)融合3個(gè)分類器。在實(shí)驗(yàn)中我們發(fā)現(xiàn)LGP在對(duì)各種類型的網(wǎng)絡(luò)流量數(shù)據(jù)（U2R除外）分類時(shí)，分類精度最高。而RF在對(duì)U2R流量數(shù)據(jù)分類時(shí)，取得了相對(duì)較高的準(zhǔn)警率。因此，綜合了RF、ANFIS和LGP的集成分類系統(tǒng)具有更好的入侵檢測(cè)能力。在集成多分類器系統(tǒng)中，各個(gè)單獨(dú)的分類器的權(quán)重取值相當(dāng)重要。

下一步的研究工作，是尋找更系統(tǒng)的方法來(lái)確定各個(gè)分類器的權(quán)重，并研究權(quán)重對(duì)最終分類結(jié)果的影響。

參考文獻(xiàn)

[1] Pinzón C I， De Paz J F， Herrero ？， et al. idMAS-SQL： intrusion detection based on MAS to detect and block SQL injection through data mining[J]. Information Sciences， 2013， 231： 15-31.

[2] Krawczyk B， Wozniak M. Accuracy and diversity in classifier selection for one-class classification ensembles[C]//Computational Intelligence and Ensemble Learning （CIEL）， 2013 IEEE Symposium on. IEEE， 2013： 46-51.endprint

[3] S. Chebrolu， ， A. Abraham， and J.P. Thomas. Feature Deduction and Ensemble Design of Intrusion Detection Systems [J]. International Journal of Computers and Security， 2005， 24（4）： 295-307.

[4] S. Monteiro， T.K. Uto， Y. Kosugi， N. Kobayashi， E. Watanabe and K. Kameyama. Feature Extraction of Hyperspectral Data for Under Spilled Blood Visualization Using Particle Swarm Optimization [J]. International Journal of Bioelectromagnetism， 2005，7（1）， ： 232╞235.

[5] 李慧，胡云，李存華.基于粗糙集理論的瓦斯災(zāi)害信息特征提取技術(shù)[J].山東大學(xué)學(xué)報(bào)：工學(xué)版，2012， 05： 91-95.

[6] A.N. Toosi， and M. Kahani. A new approach to intrusion detection based on a evolutionary soft computing model using neuro-fuzzy classifiers [J]. Journal of Computer Communications， 2007， 30 ： 2201-2212.

[7] L. Breimann， 2001， Random Forests [J]. Journal of Machine Learning， Kluwer Academic， Netherland， 2001，45， ： 5-32.

[8] 詹曙，姚堯，高賀.基于隨機(jī)森林的腦磁共振圖像分類[J].電子測(cè)量與儀器學(xué)報(bào)，2013， 11： 1067-1072.

[9] 王鑫，汪晉寬，劉志剛等.基于隨機(jī)森林的認(rèn)知網(wǎng)絡(luò)頻譜感知算法[J].儀器儀表學(xué)報(bào)，2011， 11： 2471-2477.

[10] 王象剛.基于K均值隨機(jī)森林快速算法及入侵檢測(cè)中的應(yīng)用[J].科技通報(bào)，2013， 08： 11-15.

[11] A. Zainal， M.A. Maarof and S.M. Shamsuddin， Feature Selection Using Rough-DPSO in Anomaly Detection [M]. LNCS 4705， Part 1 Springer Hiedelberg， 2007 ： 512-524.

基金項(xiàng)目：

惠州市科技計(jì)劃項(xiàng)目（No.2011B020006002， 2012B020004005）；惠州學(xué)院自然科學(xué)基金項(xiàng)目（No.2012YB14）。

作者簡(jiǎn)介：

蘭遠(yuǎn)東（1975-），男，華南理工大學(xué)，博士研究生，惠州學(xué)院，講師；近3年在模式識(shí)別與機(jī)器學(xué)習(xí)領(lǐng)域發(fā)表了論文十余篇，多數(shù)被EI檢索；主要研究方向和關(guān)注領(lǐng)域：模式識(shí)別與機(jī)器學(xué)習(xí)。

高蕾（1976-），女，華南理工大學(xué)，碩士研究生，惠州學(xué)院，講師；近3年在無(wú)線傳感網(wǎng)絡(luò)安全及網(wǎng)絡(luò)優(yōu)化領(lǐng)域發(fā)表了論文5篇；主要研究方向和關(guān)注領(lǐng)域：無(wú)線傳感網(wǎng)絡(luò)、網(wǎng)絡(luò)優(yōu)化等。endprint

[3] S. Chebrolu， ， A. Abraham， and J.P. Thomas. Feature Deduction and Ensemble Design of Intrusion Detection Systems [J]. International Journal of Computers and Security， 2005， 24（4）： 295-307.

[4] S. Monteiro， T.K. Uto， Y. Kosugi， N. Kobayashi， E. Watanabe and K. Kameyama. Feature Extraction of Hyperspectral Data for Under Spilled Blood Visualization Using Particle Swarm Optimization [J]. International Journal of Bioelectromagnetism， 2005，7（1）， ： 232╞235.

[5] 李慧，胡云，李存華.基于粗糙集理論的瓦斯災(zāi)害信息特征提取技術(shù)[J].山東大學(xué)學(xué)報(bào)：工學(xué)版，2012， 05： 91-95.

[6] A.N. Toosi， and M. Kahani. A new approach to intrusion detection based on a evolutionary soft computing model using neuro-fuzzy classifiers [J]. Journal of Computer Communications， 2007， 30 ： 2201-2212.

[7] L. Breimann， 2001， Random Forests [J]. Journal of Machine Learning， Kluwer Academic， Netherland， 2001，45， ： 5-32.

[8] 詹曙，姚堯，高賀.基于隨機(jī)森林的腦磁共振圖像分類[J].電子測(cè)量與儀器學(xué)報(bào)，2013， 11： 1067-1072.

[9] 王鑫，汪晉寬，劉志剛等.基于隨機(jī)森林的認(rèn)知網(wǎng)絡(luò)頻譜感知算法[J].儀器儀表學(xué)報(bào)，2011， 11： 2471-2477.

[10] 王象剛.基于K均值隨機(jī)森林快速算法及入侵檢測(cè)中的應(yīng)用[J].科技通報(bào)，2013， 08： 11-15.

[11] A. Zainal， M.A. Maarof and S.M. Shamsuddin， Feature Selection Using Rough-DPSO in Anomaly Detection [M]. LNCS 4705， Part 1 Springer Hiedelberg， 2007 ： 512-524.

基金項(xiàng)目：

惠州市科技計(jì)劃項(xiàng)目（No.2011B020006002， 2012B020004005）；惠州學(xué)院自然科學(xué)基金項(xiàng)目（No.2012YB14）。

作者簡(jiǎn)介：

蘭遠(yuǎn)東（1975-），男，華南理工大學(xué)，博士研究生，惠州學(xué)院，講師；近3年在模式識(shí)別與機(jī)器學(xué)習(xí)領(lǐng)域發(fā)表了論文十余篇，多數(shù)被EI檢索；主要研究方向和關(guān)注領(lǐng)域：模式識(shí)別與機(jī)器學(xué)習(xí)。

高蕾（1976-），女，華南理工大學(xué)，碩士研究生，惠州學(xué)院，講師；近3年在無(wú)線傳感網(wǎng)絡(luò)安全及網(wǎng)絡(luò)優(yōu)化領(lǐng)域發(fā)表了論文5篇；主要研究方向和關(guān)注領(lǐng)域：無(wú)線傳感網(wǎng)絡(luò)、網(wǎng)絡(luò)優(yōu)化等。endprint

[3] S. Chebrolu， ， A. Abraham， and J.P. Thomas. Feature Deduction and Ensemble Design of Intrusion Detection Systems [J]. International Journal of Computers and Security， 2005， 24（4）： 295-307.

[4] S. Monteiro， T.K. Uto， Y. Kosugi， N. Kobayashi， E. Watanabe and K. Kameyama. Feature Extraction of Hyperspectral Data for Under Spilled Blood Visualization Using Particle Swarm Optimization [J]. International Journal of Bioelectromagnetism， 2005，7（1）， ： 232╞235.

[5] 李慧，胡云，李存華.基于粗糙集理論的瓦斯災(zāi)害信息特征提取技術(shù)[J].山東大學(xué)學(xué)報(bào)：工學(xué)版，2012， 05： 91-95.

[6] A.N. Toosi， and M. Kahani. A new approach to intrusion detection based on a evolutionary soft computing model using neuro-fuzzy classifiers [J]. Journal of Computer Communications， 2007， 30 ： 2201-2212.

[7] L. Breimann， 2001， Random Forests [J]. Journal of Machine Learning， Kluwer Academic， Netherland， 2001，45， ： 5-32.

[8] 詹曙，姚堯，高賀.基于隨機(jī)森林的腦磁共振圖像分類[J].電子測(cè)量與儀器學(xué)報(bào)，2013， 11： 1067-1072.

[9] 王鑫，汪晉寬，劉志剛等.基于隨機(jī)森林的認(rèn)知網(wǎng)絡(luò)頻譜感知算法[J].儀器儀表學(xué)報(bào)，2011， 11： 2471-2477.

[10] 王象剛.基于K均值隨機(jī)森林快速算法及入侵檢測(cè)中的應(yīng)用[J].科技通報(bào)，2013， 08： 11-15.

[11] A. Zainal， M.A. Maarof and S.M. Shamsuddin， Feature Selection Using Rough-DPSO in Anomaly Detection [M]. LNCS 4705， Part 1 Springer Hiedelberg， 2007 ： 512-524.

基金項(xiàng)目：

惠州市科技計(jì)劃項(xiàng)目（No.2011B020006002， 2012B020004005）；惠州學(xué)院自然科學(xué)基金項(xiàng)目（No.2012YB14）。

作者簡(jiǎn)介：

蘭遠(yuǎn)東（1975-），男，華南理工大學(xué)，博士研究生，惠州學(xué)院，講師；近3年在模式識(shí)別與機(jī)器學(xué)習(xí)領(lǐng)域發(fā)表了論文十余篇，多數(shù)被EI檢索；主要研究方向和關(guān)注領(lǐng)域：模式識(shí)別與機(jī)器學(xué)習(xí)。

高蕾（1976-），女，華南理工大學(xué)，碩士研究生，惠州學(xué)院，講師；近3年在無(wú)線傳感網(wǎng)絡(luò)安全及網(wǎng)絡(luò)優(yōu)化領(lǐng)域發(fā)表了論文5篇；主要研究方向和關(guān)注領(lǐng)域：無(wú)線傳感網(wǎng)絡(luò)、網(wǎng)絡(luò)優(yōu)化等。endprint