趙悅品++孫潔麗

摘 要： 為了改善網(wǎng)絡(luò)入侵檢測的效果，提出一種智能優(yōu)化算法選擇特征的網(wǎng)絡(luò)入侵檢測模型。首先采用智能優(yōu)化算法對網(wǎng)絡(luò)入侵特征進行選擇，得到對檢測結(jié)果有重要貢獻的特征，去除無效特征；然后采用支持向量機建立入侵檢測分類器，最后采用KDD99數(shù)據(jù)集對模型性能進行分析。結(jié)果表明，該模型提高了網(wǎng)絡(luò)入侵檢測的準確率，而且檢測速度可以滿足網(wǎng)絡(luò)安全實際應(yīng)用的要求。

關(guān)鍵詞： 智能優(yōu)化算法； 網(wǎng)絡(luò)入侵檢測； 支持向量機； 入侵行為； 特征選擇

中圖分類號： TN915.08?34； TP391 文獻標識碼： A 文章編號： 1004?373X（2016）23?0086?04

Network intrusion detection based on selection feature of

intelligent optimization algorithm

ZHAO Yuepin1， 2， SUN Jieli1

（1. Hebei University of Economics and Business， Shijiazhuang 050061， China； 2. Hebei Jiaotong Vocational and Technical College， Shijiazhuang 050091， China）

Abstract： In order to improve the effect of network intrusion detection， a network intrusion detection model based on selection feature of intelligent optimization algorithm is proposed. The intelligent optimization algorithm is used to select the network intrusion features to obtain the important contribution feature for the detection result， and remove the invalid features. The support vector machine is employed to establish the classifier of intrusion detection. The KDD99 dataset is adopted to analyze the model performance. The results show that the model can improve the accuracy of network intrusion detection， and its detection speed can meet the requirement of network security practical application.

Keywords： intelligent optimization algorithm； network intrusion detection； support vector machine； intrusion behavior； feature selection

0 引 言

隨著互聯(lián)網(wǎng)應(yīng)用的日益廣泛，網(wǎng)絡(luò)的安全性、可靠性引起了人們的廣泛關(guān)注[1]。由于互聯(lián)網(wǎng)絡(luò)的開放性，人們網(wǎng)絡(luò)安全意識淡薄，網(wǎng)絡(luò)入侵十分頻繁，再加上網(wǎng)絡(luò)入侵手段的多樣化，因此如何提高網(wǎng)絡(luò)入侵的檢測率，保證網(wǎng)絡(luò)正常通信和數(shù)據(jù)傳輸安全成為網(wǎng)絡(luò)管理領(lǐng)域研究中的重大課題[2?3]。

許多研究人員對網(wǎng)絡(luò)安全問題中的入侵檢測技術(shù)進行了一系列探索，提出了大量的網(wǎng)絡(luò)入侵檢測模型[3]。當前網(wǎng)絡(luò)入侵檢測模型主要有兩類：傳統(tǒng)方法和現(xiàn)代方法。傳統(tǒng)網(wǎng)絡(luò)入侵檢測模型基于專家系統(tǒng)等實現(xiàn)[3?5]，它們屬于線性的網(wǎng)絡(luò)入侵檢測分析模型，對于小規(guī)模網(wǎng)絡(luò)有效，然而當前網(wǎng)絡(luò)向大規(guī)模、超大規(guī)模方向發(fā)展，網(wǎng)絡(luò)入侵行為日益復雜，入侵行為的類型與特征間呈現(xiàn)出十分復雜的變化關(guān)系，傳統(tǒng)模型無法準確描述網(wǎng)絡(luò)入侵行為變化的特點，網(wǎng)絡(luò)入侵檢測率急劇下降，而且入侵檢測結(jié)果也不可靠，沒有太大的實際應(yīng)用價值[6]。現(xiàn)代網(wǎng)絡(luò)入侵檢測方法主要基于非線性理論建立網(wǎng)絡(luò)入侵檢測模型，主要有神經(jīng)網(wǎng)絡(luò)、支持向量機等，相對于神經(jīng)網(wǎng)絡(luò)，支持向量機可以更好地擬合入侵行為與特征間的聯(lián)系，在網(wǎng)絡(luò)入侵檢測應(yīng)用中最為廣泛[7]。在網(wǎng)絡(luò)入侵檢測建模過程中，原始網(wǎng)絡(luò)狀態(tài)特征維數(shù)相當高，若直接輸入到支持向量機進行學習，那么支持向量機的輸入向量維數(shù)易出現(xiàn)“維數(shù)災”現(xiàn)象，同時，原始網(wǎng)絡(luò)特征中存在一些無用或者冗余特征，它們會對網(wǎng)絡(luò)入侵檢測的建模效率和檢測結(jié)果均帶來不利影響。為了解決網(wǎng)絡(luò)入侵檢測建模過程中特征優(yōu)化和選擇問題，有學者提出了采用遺傳算法、粒子群優(yōu)化算法等原始網(wǎng)絡(luò)特征進行搜索和求解，選擇一些對網(wǎng)絡(luò)入侵檢測結(jié)果有重要貢獻的特征作為支持向量機的輸入向量，在一定程度上降低了特征維數(shù)，加快了網(wǎng)絡(luò)入侵的建模速度，但這些算法自身存在一些不可克服的缺陷，如收斂速度慢、易獲得局部最優(yōu)的網(wǎng)絡(luò)特征等[8?10]。

搜索者算法（Seeker Optimization Algorithm，SOA）是一種新型的智能優(yōu)化算法，模擬人群搜索行為對問題進行求解，全局搜索性能好，搜索效率高，為了提高網(wǎng)絡(luò)入侵的檢測率，針對當前網(wǎng)絡(luò)特征優(yōu)化和選擇的難題，提出一種基于SOA算法的網(wǎng)絡(luò)入侵檢測特征選擇策略，并采用支持向量機設(shè)計網(wǎng)絡(luò)入侵檢測模型，結(jié)果表明，本文模型能夠描述網(wǎng)絡(luò)工作狀態(tài)，提高網(wǎng)絡(luò)入侵檢測率，為網(wǎng)絡(luò)入侵檢測提供了一種新的研究工具。

4 結(jié) 語

為了獲得更優(yōu)的網(wǎng)絡(luò)入侵檢測結(jié)果，針對當前網(wǎng)絡(luò)入侵檢測建模過程中的特征選擇難題，提出采用SOA選擇網(wǎng)絡(luò)狀態(tài)特征，利用支持向量機設(shè)計網(wǎng)絡(luò)入侵行為的分類器，KDD99數(shù)據(jù)集的測試結(jié)果表明，通過SOA對原始網(wǎng)絡(luò)狀態(tài)進行篩選，可以從中找到一些對網(wǎng)絡(luò)入侵檢測的重要特征，去除無用特征對網(wǎng)絡(luò)入侵檢測結(jié)果的干擾，網(wǎng)絡(luò)入侵檢測的效率高，可以實現(xiàn)網(wǎng)絡(luò)入侵的在線檢測，而且網(wǎng)絡(luò)入侵檢測率高，可以保證網(wǎng)絡(luò)的安全。

在網(wǎng)絡(luò)入侵檢測的建模過程中，支持向量機參數(shù)對檢測結(jié)果同樣有影響，因此下一步將考慮同時對參數(shù)和特征進行選擇，以獲取更佳的網(wǎng)絡(luò)入侵檢測效果。

參考文獻

[1] 馬傳香，李慶華，王卉.入侵檢測研究綜述[J].計算機工程，2005，31（3）：4?6.

[2] 余生晨，王樹，高曉燕，等.網(wǎng)絡(luò)入侵檢測系統(tǒng)中的最佳特征組合選擇方法[J].計算機工程，2008，34（1）：150?153.

[3] 楊輝華，王行愚，王勇，等.基于KPLS的網(wǎng)絡(luò)入侵特征抽取及檢測方法[J].控制與決策，2005，20（3）：251?256.

[4] 孫寧青.基于神經(jīng)網(wǎng)絡(luò)和CFS特征選擇的網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].計算機工程與科學，2010，32（6）：37?39.

[5] 牟琦，畢孝儒，庫向陽.基于GQPSO算法的網(wǎng)絡(luò)入侵特征選擇方法[J].計算機工程，2011，37（14）：103?105.

[6] 陳友，程學旗，李洋，等.基于特征選擇的輕量級入侵檢測系統(tǒng)[J].軟件學報，2007，18（7）：1639?1651.

[7] 張雪芹，顧春華.一種網(wǎng)絡(luò)入侵檢測特征提取方法[J].華南理工大學學報（自然科學版），2010，38（1）：81?85.

[8] 何敏.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)實時入侵檢測體系結(jié)構(gòu)的研究[J].計算機與現(xiàn)代化，2011（9）：134?136.

[9] 小沛，汪厚祥，聶凱，等.面向入侵檢測的基于IMGA和MKSVM的特征選擇算法[J].計算機科學，2012，39（7）：96?100.

[10] 姜春茂，張國印，李志聰.基于遺傳算法優(yōu)化SVM的嵌入式網(wǎng)絡(luò)系統(tǒng)異常入侵檢測[J].計算機應(yīng)用與軟件，2011，28（2）：287?289.

[11] 倪霖，鄭洪英.基于免疫粒子群算法的特征選擇[J].計算機應(yīng)用，2007，27（12）：2922?2924.

[12] 顏謙和，顏珍平.遺傳算法優(yōu)化的神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].計算機仿真，2011，28（4）：141?144.