周立軍 張杰 呂海燕

摘 要： 在此對(duì)基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)進(jìn)行研究。考慮到常規(guī)BP神經(jīng)網(wǎng)絡(luò)建立的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)存在由于BP神經(jīng)網(wǎng)絡(luò)容易陷入最小值導(dǎo)致檢測(cè)效率和準(zhǔn)確率低下等問(wèn)題，使用粒子群算法對(duì)BP神經(jīng)網(wǎng)絡(luò)模型進(jìn)行優(yōu)化，使用動(dòng)態(tài)慣性權(quán)重系數(shù)以確定BP神經(jīng)網(wǎng)絡(luò)的參數(shù)，并將網(wǎng)絡(luò)入侵流量特征與BP神經(jīng)網(wǎng)絡(luò)的參數(shù)組合并編碼成一個(gè)粒子以實(shí)現(xiàn)網(wǎng)絡(luò)入侵流量特征與BP神經(jīng)網(wǎng)絡(luò)的參數(shù)的同步選取。通過(guò)使用KDD CUP99數(shù)據(jù)庫(kù)的入侵流量數(shù)據(jù)對(duì)使用該方法以及常規(guī)BP神經(jīng)網(wǎng)絡(luò)建立的檢測(cè)模型進(jìn)行訓(xùn)練和測(cè)試，結(jié)果表明，研究算法建立的檢測(cè)模型具有更高的檢測(cè)效率以及檢測(cè)準(zhǔn)確率。

關(guān)鍵詞： 數(shù)據(jù)挖掘； BP神經(jīng)網(wǎng)絡(luò)； 網(wǎng)絡(luò)入侵檢測(cè)； 粒子群優(yōu)化算法

中圖分類(lèi)號(hào)： TN915?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）06?0010?04

Research on network intrusion detection technology based on data mining technology

ZHOU Lijun， ZHANG Jie， L? Haiyan

（Naval Aeronautical and Astronautical University， Yantai 264001， China）

Abstract： The network intrusion detection technology based on data mining technology is studied in this paper. On account of low detection accuracy and efficiency of the network intrusion detection technology established by the common BP natural network which is easy to fall into least value， the particle swarm algorithm is used to optimize the BP natural network model， the dynamical inertia weight coefficient is adopted to define the parameters of BP natural network， and the parameter of BP neural network are integrated with the characteristics of network intrusion rate， and encoded to a particle in order to realize the synchronous selection of the characteristics of network intrusion rate and parameter of BP neural network. The detection model established with this method and the common BP natural network are trained and tested by using the intrusion flow data in CUP99 KDD database. The results show that the detection model established with this algorithm has advantages of high detection efficiency and accuracy.

Keywords： data mining； BP neural network； network intrusion detection； particle swarm optimization algorithm

0 引 言

隨著計(jì)算機(jī)互聯(lián)網(wǎng)環(huán)境的日益復(fù)雜化，以及網(wǎng)絡(luò)技術(shù)的日益普遍化，使得互聯(lián)網(wǎng)入侵攻擊方法日益多樣化、智能化以及復(fù)雜化，因此使用傳統(tǒng)的防火墻以及操作系統(tǒng)加固的方式無(wú)法抵擋現(xiàn)如今的入侵攻擊，無(wú)法滿(mǎn)足網(wǎng)絡(luò)安全的要求，故入侵檢測(cè)系統(tǒng)應(yīng)運(yùn)而生[1?2]。入侵檢測(cè)系統(tǒng)能夠針對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行檢測(cè)分析，從中分辨出異常流量，檢測(cè)入侵等危害計(jì)算機(jī)安全的行為。然而網(wǎng)絡(luò)流量數(shù)據(jù)龐大，導(dǎo)致了檢測(cè)系統(tǒng)在需要數(shù)據(jù)對(duì)決策進(jìn)行支撐時(shí)，往往對(duì)海量數(shù)據(jù)無(wú)從下手，不能快速而有效率地從中提取出需要的信息和有價(jià)值的知識(shí)。順應(yīng)此需求，數(shù)據(jù)挖掘技術(shù)在近年來(lái)發(fā)展十分迅速。作為一種高端的數(shù)據(jù)分析工具，數(shù)據(jù)挖掘技術(shù)具有強(qiáng)大的數(shù)據(jù)處理和分析能力，而目前通信、計(jì)算機(jī)和網(wǎng)絡(luò)等技術(shù)的合并使得數(shù)據(jù)量進(jìn)一步擴(kuò)大，所以數(shù)據(jù)挖掘技術(shù)在信息化管理中的地位進(jìn)一步提升[3?4]。

BP神經(jīng)網(wǎng)絡(luò)等機(jī)器學(xué)習(xí)算法屬于數(shù)據(jù)挖掘技術(shù)中常用的技術(shù)手段，能在大量樣本集訓(xùn)練和學(xué)習(xí)后自動(dòng)找出運(yùn)算需要的參數(shù)和模式，有極好的數(shù)據(jù)處理能力和自組織學(xué)習(xí)能力，并且能準(zhǔn)確進(jìn)行識(shí)別，但是常規(guī)BP神經(jīng)網(wǎng)絡(luò)建立的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)存在由于BP神經(jīng)網(wǎng)絡(luò)容易陷入最小值導(dǎo)致檢測(cè)效率和準(zhǔn)確率低下等問(wèn)題，本文使用粒子群算法對(duì)BP神經(jīng)網(wǎng)絡(luò)模型進(jìn)行優(yōu)化，使用動(dòng)態(tài)慣性權(quán)重系數(shù)以確定BP神經(jīng)網(wǎng)絡(luò)的參數(shù)，并將網(wǎng)絡(luò)入侵流量特征與BP神經(jīng)網(wǎng)絡(luò)的參數(shù)組合并編碼成一個(gè)粒子以實(shí)現(xiàn)網(wǎng)絡(luò)入侵流量特征與BP神經(jīng)網(wǎng)絡(luò)的參數(shù)的同步選取[5]。

1 改進(jìn)型BP神經(jīng)網(wǎng)絡(luò)

1.1 BP神經(jīng)網(wǎng)絡(luò)

訓(xùn)練樣本設(shè)定為[xk，yk]，其中[xk]為輸入向量，[yk]為期望的輸出向量，即實(shí)際類(lèi)型。則BP神經(jīng)網(wǎng)絡(luò)的輸出和實(shí)際類(lèi)型[yk]的誤差之和表示為：

[E=k=1mEk] （1）

式中：[Ek]表示為：

[Ek=i=1n?（eik）=12i=1n（yik-y）2=12i=1neik2] （2）

BP神經(jīng)網(wǎng)絡(luò)的輸出和實(shí)際類(lèi)型[yk]的誤差通過(guò)對(duì)權(quán)值的調(diào)整而改變。設(shè)定BP神經(jīng)網(wǎng)絡(luò)隱層中第[i]個(gè)輸出表示為：

[yik=σ0（yik），yik=Wik（o）TH（l）k=j=1nlw（0）ijh（l）jk] （3）

BP神經(jīng)網(wǎng)絡(luò)調(diào)整權(quán)值方法如下：

[?Ek?Wpk（0）=?Ek?epk??epk?ypk??ypk?ypk??ypk?y（0）pk =-epk?σ0′（ypk）?H（l）pk] （4）

[ΔW（0）pk=W（0）pk-W（0）pk-1=-α?Ek?W（0）pk] （5）

BP神經(jīng)網(wǎng)絡(luò)中第[r]層的進(jìn)行權(quán)值調(diào)整方法如下：

[ΔW（r）pk=W（r）pk-W（r）pk-1=α?ε（r）pk?H（r+1）pkε（r）pk=σr′（h（r）pk）?i=1nr-1εik（r-1）w（r-1）ip] （6）

由于使用BP神經(jīng)網(wǎng)絡(luò)建立的網(wǎng)絡(luò)入侵檢測(cè)模型在實(shí)際應(yīng)用中，會(huì)由于BP神經(jīng)網(wǎng)絡(luò)的梯度下降算法優(yōu)化權(quán)值而導(dǎo)致陷入局部最優(yōu)解等問(wèn)題，使得網(wǎng)絡(luò)入侵檢測(cè)模型的誤差逐漸增加，降低檢測(cè)準(zhǔn)確率，因此本文使用粒子群優(yōu)化算法對(duì)BP神經(jīng)網(wǎng)絡(luò)的權(quán)值進(jìn)行優(yōu)化[6]。

1.2 改進(jìn)粒子群算法

粒子群優(yōu)化算法是人們受到鳥(niǎo)類(lèi)覓食行為啟發(fā)而演化出來(lái)的。設(shè)定粒子群優(yōu)化算法中第i個(gè)粒子的位置為[Xi=xi1，xi2，…，xin]，第i個(gè)粒子的飛行速度為[Vi=vi1，vi2，…，vin]，粒子最優(yōu)位置向量表示為[Pi=pi1，pi2，…，pin]，整個(gè)粒子群的最優(yōu)位置向量表示為[Gi=gi1，gi2，…，gin]，則粒子群更新速度和更新位置方法表示為：

[Vk+1id=wVkid+c1r1（pbkid-xkid）+c2r2（gbkd-xkid）Xk+1id=Xkid+Vk+1id] （7）

由于粒子群優(yōu)化算法的搜索效率和準(zhǔn)確率取決于粒子群優(yōu)化算法中的慣性權(quán)值，因此本文使用動(dòng)態(tài)慣性權(quán)重系數(shù)以確定BP神經(jīng)網(wǎng)絡(luò)的參數(shù)：

[w=wmin-（wmax-wmin）*（f-fmin）（favg-fmin）， f≥favgwmax， f

式中：[wmax]表示慣性權(quán)值的最大值；[wmin]表示慣性權(quán)值的最小值；[favg]表示適應(yīng)度函數(shù)的平均值；[fmin]表示適應(yīng)度函數(shù)的最小值[7?8]。

本文將網(wǎng)絡(luò)入侵流量特征與BP神經(jīng)網(wǎng)絡(luò)的參數(shù)組合并編碼成一個(gè)粒子以實(shí)現(xiàn)網(wǎng)絡(luò)入侵流量特征與BP神經(jīng)網(wǎng)絡(luò)的參數(shù)的同步選取。粒子的位置向量表示為：

（1） 入侵流量特征，“1”表示特征被選擇，“0”表示特征沒(méi)有被選擇；

（2） BP神經(jīng)網(wǎng)絡(luò)參數(shù)。

粒子的適應(yīng)度函數(shù)表示為：

[f=w×precison+（1-w）i=1Nffi-1] （9）

式中：[fi]為特征狀態(tài)；[w]為檢測(cè)率權(quán)值。

本文研究的網(wǎng)絡(luò)入侵檢測(cè)方法步驟如下：

步驟1：對(duì)網(wǎng)絡(luò)入侵流量數(shù)據(jù)進(jìn)行采集，提出特征，并對(duì)入侵流量特征進(jìn)行歸一化處理；

步驟2：對(duì)BP神經(jīng)網(wǎng)絡(luò)以及粒子群優(yōu)化算法的模型進(jìn)行設(shè)置，對(duì)粒子群進(jìn)行初始化，粒子群的粒子是由網(wǎng)絡(luò)入侵流量特征與BP神經(jīng)網(wǎng)絡(luò)的參數(shù)組合并編碼而成；

步驟3：對(duì)各個(gè)粒子適應(yīng)度值進(jìn)行計(jì)算，更新粒子歷史及粒子群的最優(yōu)位置；

步驟4：自適應(yīng)調(diào)節(jié)粒子群算法的慣性權(quán)重以及對(duì)粒子的速度和位置進(jìn)行更新；

步驟5：如果更新迭代滿(mǎn)足終止條件，則由粒子群最優(yōu)位置得到BP神經(jīng)網(wǎng)絡(luò)的最優(yōu)參數(shù)；若不滿(mǎn)足終止條件，則從步驟3繼續(xù)進(jìn)行迭代更新；

步驟6：根據(jù)得到的BP神經(jīng)網(wǎng)絡(luò)的最優(yōu)參數(shù)建立網(wǎng)絡(luò)入侵檢測(cè)模型。

本文研究的網(wǎng)絡(luò)入侵檢測(cè)方法工作流程如圖1所示。

2 實(shí)驗(yàn)研究

本文使用KDD CUP99數(shù)據(jù)庫(kù)數(shù)據(jù)對(duì)本文研究的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)進(jìn)行實(shí)驗(yàn)研究，使用Matlab建立上述研究的入侵檢測(cè)模型。KDD CUP99數(shù)據(jù)庫(kù)包含了各類(lèi)入侵流量數(shù)據(jù)，選取較為經(jīng)典的Probe（掃描攻擊）、DOS（拒絕服務(wù)攻擊）、U2L（未授權(quán)使用本地超級(jí)權(quán)限訪問(wèn)攻擊）以及U2R（遠(yuǎn)程用戶(hù)未授權(quán)訪問(wèn)攻擊）這4類(lèi)入侵類(lèi)型。針對(duì)4類(lèi)入侵類(lèi)型各選取200條數(shù)據(jù)流，其中隨即抽取100條用于對(duì)檢測(cè)模型進(jìn)行訓(xùn)練，另外100條用于對(duì)檢測(cè)模型的檢測(cè)性能進(jìn)行測(cè)試。針對(duì)數(shù)據(jù)流進(jìn)行歸一化處理以簡(jiǎn)化模型數(shù)據(jù)處理[9]：

[S*=0.9（S-Smin）Smax-Smin+0.05] （10）

式中：[S]為歸一化處理之前的值；[Smax]為歸一化處理的最大值；[Smin]為歸一化處理的最小值。

為了對(duì)比研究本文提出的粒子群優(yōu)化BP神經(jīng)網(wǎng)絡(luò)算法的網(wǎng)絡(luò)入侵檢測(cè)模型的檢測(cè)性能，使用常規(guī)BP神經(jīng)網(wǎng)絡(luò)建立同樣的檢測(cè)模型，并使用同樣的訓(xùn)練和測(cè)試數(shù)據(jù)進(jìn)行模型訓(xùn)練和性能測(cè)試。

基于兩種算法建立的檢測(cè)模型的檢測(cè)結(jié)果如圖2，圖3所示。

其中橫縱坐標(biāo)表示的含義如表1所示。

通常使用誤報(bào)率、檢測(cè)率以及檢測(cè)時(shí)間對(duì)網(wǎng)絡(luò)入侵檢測(cè)方法的檢測(cè)性能進(jìn)行評(píng)價(jià)[10]：

[誤報(bào)率=被誤報(bào)為入侵的正常樣本數(shù)量正常樣本總數(shù)×100%] （11）

[檢測(cè)率=檢測(cè)出入侵樣本數(shù)量入侵樣本總數(shù)×100%] （12）

則兩種方法的檢測(cè)率和誤報(bào)率結(jié)果如表2所示。

使用本文研究的算法以及使用常規(guī)BP神經(jīng)網(wǎng)絡(luò)算法建立的檢測(cè)模型的檢測(cè)效率對(duì)比如表3所示。

從實(shí)驗(yàn)數(shù)據(jù)可以看出，使用本文改進(jìn)的粒子群優(yōu)化BP神經(jīng)網(wǎng)絡(luò)算法建立的網(wǎng)絡(luò)入侵檢測(cè)模型相比于常規(guī)BP神經(jīng)網(wǎng)絡(luò)算法建立的網(wǎng)絡(luò)入侵檢測(cè)模型，其準(zhǔn)確率明顯提高。針對(duì)4種入侵類(lèi)型的平均檢測(cè)率為91.9%，平均誤報(bào)率為僅8.1%，而常規(guī)算法的平均檢測(cè)率為80.975%，平均誤報(bào)率為18.95%。同時(shí)，本文研究的算法的檢測(cè)效率也要高于常規(guī)算法，針對(duì)4種入侵類(lèi)型，平均訓(xùn)練時(shí)間僅為13.98 s，檢測(cè)時(shí)間僅為8.3 s，而常規(guī)算法的平均訓(xùn)練時(shí)間為37.6 s，檢測(cè)時(shí)間為16.67 s。

3 結(jié) 語(yǔ)

本文針對(duì)使用傳統(tǒng)的防火墻以及操作系統(tǒng)加固的方式無(wú)法抵擋現(xiàn)如今的入侵攻擊，無(wú)法滿(mǎn)足網(wǎng)絡(luò)安全的要求等問(wèn)題，本文對(duì)基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)進(jìn)行了研究。BP神經(jīng)網(wǎng)絡(luò)等機(jī)器學(xué)習(xí)算法屬于數(shù)據(jù)挖掘技術(shù)中常用的技術(shù)手段，能在大量樣本集訓(xùn)練和學(xué)習(xí)后自動(dòng)找出運(yùn)算需要的參數(shù)和模式，有極好的數(shù)據(jù)處理能力和自組織學(xué)習(xí)能力，并且能準(zhǔn)確進(jìn)行識(shí)別，但是常規(guī)BP神經(jīng)網(wǎng)絡(luò)建立的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)存在由于BP神經(jīng)網(wǎng)絡(luò)容易陷入最小值導(dǎo)致檢測(cè)效率和準(zhǔn)確率低下等問(wèn)題，本文使用粒子群算法對(duì)BP神經(jīng)網(wǎng)絡(luò)模型進(jìn)行優(yōu)化，使用動(dòng)態(tài)慣性權(quán)重系數(shù)以確定BP神經(jīng)網(wǎng)絡(luò)的參數(shù)，并將網(wǎng)絡(luò)入侵流量特征與BP神經(jīng)網(wǎng)絡(luò)的參數(shù)組合并編碼成一個(gè)粒子以實(shí)現(xiàn)網(wǎng)絡(luò)入侵流量特征與BP神經(jīng)網(wǎng)絡(luò)的參數(shù)的同步選取。通過(guò)使用KDD CUP99數(shù)據(jù)庫(kù)的入侵流量數(shù)據(jù)對(duì)使用本文方法以及常規(guī)BP神經(jīng)網(wǎng)絡(luò)建立的檢測(cè)模型進(jìn)行訓(xùn)練和測(cè)試，結(jié)果表明，本文研究的算法建立的檢測(cè)模型具有更高的檢測(cè)效率以及檢測(cè)準(zhǔn)確率。

參考文獻(xiàn)

[1] 左申正.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)異常分析及響應(yīng)研究[D].北京：北京郵電大學(xué)，2010.

[2] 呂曼.基于數(shù)據(jù)挖掘的入侵檢測(cè)方法的研究[D].大慶：大慶石油學(xué)院，2007.

[3] 胡秀.基于Web的數(shù)據(jù)挖掘技術(shù)研究[J].軟件導(dǎo)刊，2015（1）：149?150.

[4] 李仕瓊.數(shù)據(jù)挖掘中關(guān)聯(lián)規(guī)則挖掘算法的分析研究[J].電子技術(shù)與軟件工程，2015（4）：200.

[5] 宋國(guó)峰，梁昌勇，梁焱，等.改進(jìn)遺傳算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的旅游景區(qū)日客流量預(yù)測(cè)[J].小型微型計(jì)算機(jī)系統(tǒng)，2014（9）：2136?2141.

[6] 胡天騏，單劍鋒，宋曉濤.基于改進(jìn)PSO?LSSVM的模擬電路診斷方法[J].計(jì)算機(jī)技術(shù)與發(fā)展，2015（6）：193?196.

[7] 孫衛(wèi)紅，童曉，李強(qiáng).改進(jìn)PSO優(yōu)化參數(shù)的LSSVM燃煤鍋爐NO_X排放預(yù)測(cè)[J].數(shù)據(jù)采集與處理，2015，30（1）：231?238.

[8] 郭通.基于自適應(yīng)流抽樣測(cè)量的網(wǎng)絡(luò)異常檢測(cè)技術(shù)研究[D].鄭州：解放軍信息工程大學(xué)，2013.

[9] 張磊.三種神經(jīng)網(wǎng)絡(luò)識(shí)別P2P流量的方法比較[D].重慶：重慶大學(xué)，2010.

[10] 彭皎龍.改進(jìn)蟻群聚類(lèi)算法優(yōu)化的RBF神經(jīng)網(wǎng)絡(luò)控制研究及其應(yīng)用[D].鄭州：鄭州大學(xué)，2013.