陳卓 單欣欣

摘? 要： 入侵檢測一直是網(wǎng)絡(luò)安全領(lǐng)域的熱點研究方向，為了提高網(wǎng)絡(luò)入侵檢測的速度和準確性，提出一種在PCA降維的基礎(chǔ)上，基于蟻獅優(yōu)化算法（The Ant Lion Optimizer，ALO）和支持向量機（Support Vector Machine，SVM）相結(jié)合的入侵檢測方法。該算法首先利用主成分分析法（Principal Component Analysis，PCA）對數(shù)據(jù)進行降維處理以去除冗余數(shù)據(jù)，并利用ALO算法優(yōu)化SVM的參數(shù)，然后根據(jù)優(yōu)化后的SVM建立入侵檢測模型，最后利用由PCA處理過的KDDCUP99數(shù)據(jù)集驗證檢測模型。實驗結(jié)果表明，所提方法相較于簡單的ALO優(yōu)化SVM和PSO?SVM算法，在提高正確率的基礎(chǔ)上，檢測速度有顯著提高。

關(guān)鍵詞： 入侵檢測; 數(shù)據(jù)處理; 檢測模型建立; 蟻獅優(yōu)化算法; 支持向量機; 分類測試

中圖分類號： TN911.23?34; TP309? ? ? ? ? ? ? ?文獻標識碼： A? ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）10?0079?04

Intrusion detection method based on ALO?SVM algorithm

CHEN Zhuo， SHAN Xinxin

（School of Computer， Hubei University of Technology， Wuhan 430068， China）

Abstract： Intrusion detection has always been a hot research direction in the field of network security. On the basis of the dimensionality reduction of the principal component analysis （PCA）， an intrusion detection method based on ant lion optimizer （ALO） and support vector machine （SVM） is proposed to improve the speed and accuracy of network intrusion detection. In this method， PCA is used to reduce the dimensionality of the data to remove the redundant data， the ALO is adopted to optimize the parameters of SVM， and then the intrusion detection model is built based on the optimized SVM. The KDDCUP99 data set processed by PCA is utilized to verify the detection model. The experimental results show that， in comparison with the simple SVM optimized by ALO and PSO?SVM algorithm， the detection speed of this proposed method has been significantly improved based on improving the accuracy.

Keywords： intrusion detection; data processing; detection model establishment; ant lion optimization algorithm; support vector machine; classify test

0? 引? 言

隨著計算機網(wǎng)絡(luò)非法入侵越來越頻繁以及入侵手段越來越復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)無法應(yīng)對現(xiàn)今復(fù)雜的網(wǎng)絡(luò)攻擊[1]。由此可見， 計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)仍然不夠完善，需要不斷吸收先進的計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)[2]。目前，機器學(xué)習(xí)方法在IDS中被廣泛使用[3]。SVM作為一種基于VC維度結(jié)構(gòu)風(fēng)險最小化分類器的機器學(xué)習(xí)方法，不但具有處理非線性分類問題的能力，同時也可以較好地提高學(xué)習(xí)機的泛化能力[4]。實驗結(jié)果表明，基于 SVM 的網(wǎng)絡(luò)入侵檢測模型性能與其參數(shù)（懲罰因子c和核函數(shù)參數(shù)等）直接相關(guān)[5]。因此，本文使用ALO優(yōu)化算法對SVM的參數(shù)進行優(yōu)化，通過文獻[6]可知，ALO算法比粒子群算法（Particle Swarm Optimization，PSO）、遺傳算法（Genetic Algorithm，GA）、蝙蝠算法（BatAlgorithm，BA）、布谷鳥搜索（Cuckoo Search，CS）、花朵授粉算法（Flower Pollination Algorithm，F(xiàn)PA）等有更好的尋優(yōu)精度、更強的全局搜索能力、更簡單的參數(shù)設(shè)置。與此同時，入侵檢測系統(tǒng)由于需要分析大量的通信數(shù)據(jù)，所以，有效的降維技術(shù)是解決性能問題的必要條件[7]。因此，本文提出一種在PCA降維的基礎(chǔ)上，將ALO和SVM結(jié)合的入侵檢測方法。首先將處理過的數(shù)據(jù)進行PCA降維，然后利用ALO算法優(yōu)化SVM的核函數(shù)參數(shù)和懲罰因子。仿真結(jié)果表明了本方法的有效性，該算法能夠在保持原始數(shù)據(jù)特征的同時提高數(shù)據(jù)精度，并提供跳出局部最優(yōu)的能力，在開發(fā)和收斂方面具有競爭力。

1? ALO?SVM算法理論基礎(chǔ)

1.1? SVM的理論基礎(chǔ)

SVM是由Vapik和Cortes提出的一種機器學(xué)習(xí)方法[8?9]，已被廣泛用于分析和識別模式。該方法中學(xué)習(xí)模型和算法的集成使其能夠解決分類和回歸分析問題，其目的是通過使用訓(xùn)練集使數(shù)據(jù)分為兩個類來獲得最佳單獨超平面（Optimum Separate Hyperplane，OSH），從而完成數(shù)據(jù)分類。又因為核函數(shù)的選取和參數(shù)的選擇對SVM性能很重要，所以本文實驗的支持向量機核函數(shù)選擇的是應(yīng)用最廣、可以將樣本映射到更高維的空間內(nèi)徑向基核函數(shù)（Adial Basis Function，RBF），并利用試探法確定懲罰因子[c]和徑向基核參數(shù)[σ]，算法如下。

如果訓(xùn)練樣本[xi，yi，i=1，2，…，l，x∈Rn，y=±1]，[i]是樣本數(shù)，[n]是樣本維度（輸入維度），則最優(yōu)超平面為：[x*ij=xij-xjSj∈X]，此時的約束條件為：

[minw22s.t.? ?yiw·xi+b-1≥0，i=1，2，…，l]

出現(xiàn)訓(xùn)練樣本集無法線性分割時，當(dāng)引入變量[ξi]，則：

[minw22+ci=1lξis.t.? ?yi（w·xi+b）-1≥1-ξi，ξi≥0，i=1，2，…，l]

式中，[c]是懲罰因子，[c]的大小表示錯誤分類的懲罰的大小。使用拉格朗日乘子法得到最優(yōu)決策函數(shù)：

[f（x）=sgnyiai（x·xi）+b]

式中：[a]是拉格朗日系數(shù)，這種方案只針對[ai]的非零部分，相應(yīng)的樣本是支持向量;[b]是分類閾值。

將非線性問題轉(zhuǎn)換為線性問題：通過非線性變換把問題轉(zhuǎn)換成高維空間求解分類面問題。之后通過使用RBF核函數(shù)在不增加計算復(fù)雜度的基礎(chǔ)上實現(xiàn)非線性變換后的線性分類，最后最優(yōu)決策函數(shù)變?yōu)椋?/p>

[f（x）=sgni=1lyiaik（x·xi）+b]

1.2? ALO算法的理論基礎(chǔ)

ALO 算法是Seyedali Mirjalili在2015年提出的模仿自然界中螞蟻狩獵機制的新穎自然啟發(fā)式算法。模仿自然界中的螞蟻的狩獵機制，擁有調(diào)節(jié)參數(shù)少、尋優(yōu)精度較好等優(yōu)點。ALO算法模型原理如下：

螞蟻在搜索空間中通過隨機游走來找尋食物，蟻獅利用陷阱捕捉螞蟻。根據(jù)螞蟻在搜尋食物時隨機游走的方式，模擬其隨機游走的運動公式為：

[xi=0，cumsum（2r（t）-1）]? （1）

式中：[cumsum]用來計算累計和;[t]表示迭代;[r（t）]是一個隨機函數(shù)。

隨機游走全部基于式（1），但是由于搜索邊界問題，式（1）不能直接用于螞蟻位置的更新。為了防止越界，使用以下等式（最大最小歸一化）進行歸一化處理：

[xti=（xti-ai）*（dti-cti）bi-ai+ci]

式中：[ai]表示第[i]維變量隨機游走的最小值;[bi]表示第[i]維變量隨機游走的最大值;[cti]是第[t]次迭代中第[i]維變量隨機游走的最小值;[dti]是第[t]次迭代中第[i]維變量隨機游走的最大值。

[I=10w·tT]

[w=2，? ? ? t>0.1T3，? ? ? t>0.5T4，? ? ? t>0.75T5，? ? ? t>0.9T6，? ? ? t>0.95T]

式中：[t]是當(dāng)前迭代次數(shù);[T]為最大的迭代次數(shù);[w]為基于當(dāng)前迭代定義的常數(shù)，其可以調(diào)節(jié)搜索的準確性。

蟻獅在螞蟻到達坑底時捕捉螞蟻是狩獵的最后階段。在這個階段之后，蟻獅把螞蟻拖進沙坑吃掉。為了模擬這個過程，假設(shè)當(dāng)螞蟻進入沙子內(nèi)部時，蟻獅開始捕捉螞蟻。然后需要一個蟻獅把它的位置更新到被狩獵的螞蟻的最新位置，以增加捕捉新獵物的機會。

[Antlionti=Antti，? f（Antti）>f（Antlionti）]

當(dāng)蟻獅捕獲螞蟻后，其位置更新到螞蟻位置以增強其捕獲獵物的機會，更新算子如下：

[Antti=RtA+RtE2]

式中：[RtA]是螞蟻按上一代蟻獅種群的適應(yīng)度值，用輪盤賭方法選一個蟻獅，并圍繞該蟻獅進行隨機游走后的位置;[RtE]顯示[t]次迭代時圍繞精英蟻獅進行隨機游走之后的位置;[Antti]表示第[t]次迭代的第[i]維螞蟻的位置。

1.3? PCA的引入

主成分分析法是一種空間映射的方法，其將常規(guī)正交坐標系的變量通過矩陣變換操作映射到另一個正交坐標系中的主元，以此達到降維的目的，具體步驟為：

1） 數(shù)據(jù)標準化。原始的數(shù)據(jù)樣本組成的集合為[X=（X1，X2，…，Xn）]，[n]為樣本維數(shù)，由于原始數(shù)據(jù)的單位不一樣，使數(shù)據(jù)差異過大會帶來負面的影響，所以要對[X]進行標準化處理：

[x*ij=xij-xjSj∈X]

式中，[xj]和[Sj]分別為第[j]維的樣本指標和標準差。

2） 計算協(xié)方差矩陣。

3） 求特征值和特征向量。根據(jù)特征方程[（λ-S）U=0]求解[S]的特征值[λ]和特征向量[U]。

4） 確定主成分。根據(jù)[λ]的大小確定主成分的順序，并計算各個主成分的方差貢獻率。若當(dāng)前[t]個主成分的累計貢獻率達到90%時，則選擇前[r]個主成分作為輸入數(shù)據(jù)。

2? ALO?SVM網(wǎng)絡(luò)入侵檢測方法

本文在提出PCA算法的基礎(chǔ)增加了在ALO?SVM網(wǎng)絡(luò)入侵檢測方法，旨在提高檢測率的基礎(chǔ)上，提高檢測的速度。

本文整體的基本思想是，首先用PCA對網(wǎng)絡(luò)入侵數(shù)據(jù)進行主成分提取，以此提高入侵檢測模型的性能。然后使用ALO算法對SVM的懲罰因子[c]和核函數(shù)寬度[σ]進行優(yōu)化建模，并將網(wǎng)絡(luò)入侵檢測確率作為適應(yīng)度函數(shù)。最后將處理完成的數(shù)據(jù)在入侵檢測模型中進行檢驗。其實現(xiàn)步驟如下：

1） 主成分提取。因為KDDCUP99數(shù)據(jù)集中41維數(shù)據(jù)會有無用特征和數(shù)據(jù)冗余現(xiàn)象。以下是在懲罰因子[c]取100，核函數(shù)寬度是[σ]取0.112 的情況下，利用SVM做入侵檢測得到的結(jié)果，如圖1所示。

從圖1可以看出，不同維度檢測結(jié)果不穩(wěn)定，這是因為數(shù)據(jù)集中有雜質(zhì)數(shù)據(jù)，給檢測結(jié)果帶來了影響。本文使用PCA算法將高維度的KDD CUP 99數(shù)據(jù)集進行處理，去除無關(guān)屬性保留下最重要的一些特征，從而提高檢測速度和準確率。

2） 要初始化[ALO（c，σ）]，初始化螞蟻和蟻獅的種群規(guī)模[N]，設(shè)置最大迭代次數(shù)[T]，[d]為搜索空間維度，并給出最大和最小的加權(quán)因子[ωmax，ωmin]。

3） 使用適應(yīng)度函數(shù)計算每只螞蟻和蟻獅的個體適應(yīng)度值，尋找當(dāng)前最優(yōu)蟻獅并作為當(dāng)前精英個體保存，代入入侵檢測正確率作為適應(yīng)度函數(shù)計算適應(yīng)度值。

4） 迭代。在迭代過程中更新螞蟻的位置，并用輪盤賭的方法選擇蟻獅個體。

5） 找出當(dāng)前最佳的精英蟻獅對應(yīng)的適應(yīng)度值和所處的空間位置。

6） 判斷結(jié)束條件。達到迭代終止條件結(jié)束搜索，否則返回步驟3）。

7） 迭代完成，提取SVM的最優(yōu)參數(shù)，并用最優(yōu)參數(shù)訓(xùn)練降維之后的數(shù)據(jù)進行建模。

8） 使用測試數(shù)據(jù)來檢測建立的模型，輸出結(jié)果。

算法的目的是在減少冗余數(shù)據(jù)檢測過程中消耗資源的前提下，并利用ALO快速尋優(yōu)，在提高檢測速度的基礎(chǔ)上提高檢測率。

3? 實? 驗

KDD CUP 99數(shù)據(jù)集源自麻省理工學(xué)院林肯實驗室進行的IDS計劃，該計劃于1998年首次評估，并于1999年再次評估。該計劃由DARPA資助，產(chǎn)生了通常被稱為DARPA98的數(shù)據(jù)集。 隨后，該數(shù)據(jù)集被過濾以用于國際知識發(fā)現(xiàn)和數(shù)據(jù)挖掘工具競賽，從而產(chǎn)生大家認為的KDD CUP 99數(shù)據(jù)集[10]。

3.1? 數(shù)據(jù)集處理

文中選擇10%的訓(xùn)練集作為實驗數(shù)據(jù)，因為10%的訓(xùn)練集的數(shù)據(jù)量仍然龐大，因此實驗隨機抽取10 000條10%的訓(xùn)練集數(shù)據(jù)作為訓(xùn)練集，隨機抽取10 000條10%的訓(xùn)練集數(shù)據(jù)作為測試集。KDD CUP 99數(shù)據(jù)集特征維度為41維和1個標簽。大部分數(shù)據(jù)為數(shù)字型數(shù)據(jù)，部分特征和標簽為字符型數(shù)據(jù)，實驗中將其轉(zhuǎn)化成數(shù)字型數(shù)據(jù)，然后對數(shù)據(jù)進行歸一化處理。

在數(shù)據(jù)特征提取方面，經(jīng)過主成分分析之后，發(fā)現(xiàn)前15維的累計貢獻率就達到了96.02%，所以提取前15維作為主成分分析特征提取的主成分進行輸入，作為SVM的學(xué)習(xí)樣本。在技術(shù)指標方面，本文中采用文獻[11]提出的檢測方法進行評價。

3.2? 實驗結(jié)果

本文在種群規(guī)模[N=30]和最大迭代次數(shù)[T=30]的情況下選擇基于PCA?ALO?SVM算法、蟻獅算法優(yōu)化SVM 神經(jīng)網(wǎng)絡(luò) （ALO?SVM）和粒子群算法優(yōu)化SVM 神經(jīng)網(wǎng)絡(luò)（PSO?SVM）進行對比實驗。三種方法檢測率對比圖如圖2所示。

通過圖2得知，基于ALO?SVM的入侵檢測方法的檢測指標基本上都高于基于PSO?SVM的入侵檢測方法，說明在本實驗中ALO算法替代PSO算法的有效性，提高了SVM入侵檢測的性能。同時，通過表1可知PCA?ALO?SVM算法所用的檢測時間比ALO?SVM算法短，速度提高2～3倍。這是因為PCA對數(shù)據(jù)集進行降維，有效地縮短了神經(jīng)網(wǎng)絡(luò)入侵檢測的時間。

圖3可知，基于PCA?ALO?SVM入侵檢測方法的檢測正確率和精度比另外兩種方法都高，同時漏報率和誤報率也最低。由此證明了基于PCA?ALO?SVM入侵檢測方法良好的檢測性能。

4? 結(jié)? 論

本文提出基于PCA?ALO?SVM算法的入侵檢測技術(shù)，并將該方法與基于ALO?SVM的入侵檢測和基于PSO?SVM算法的入侵檢測技術(shù)進行對比。首先輸入數(shù)據(jù)集，對數(shù)據(jù)集進行預(yù)處理，對數(shù)據(jù)進行降維處理，再利用ALO算法選取最佳適應(yīng)度粒子作為SVM的最佳懲罰因子[c]和徑向基核參數(shù)[σ]，將處理后的數(shù)據(jù)作為檢測模型的訓(xùn)練集，最后通過測試集數(shù)據(jù)進行分類測試。實驗結(jié)果表明，該方法在綜合了SVM和ALO算法的優(yōu)點，利用PCA提高了檢測速度，解決了傳統(tǒng)入侵檢測的檢測率不高、收斂速度慢的問題，達到實驗預(yù)期目標，為入侵檢測技術(shù)提供了一種新思路。

注：本文通訊作者為單欣欣。

參考文獻

[1] SULTANA A， JABBAR M. Intelligent network intrusion detection system using data mining techniques [C]// 2016 2nd International Conference on Applied and Theoretical Computing and Communication Technology. Bangalore： IEEE， 2016： 329?333.

[2] 楊光.國外入侵檢測系統(tǒng)現(xiàn)狀的研究[A].公安部第三研究所.信息網(wǎng)絡(luò)安全 2016增刊[C].公安部第三研究所，2016：3.

[3] PARK Kinam， SONG Youngrok， CHEONG Yun?Gyung. Classification of attack types for intrusion detection systems using a machine learning algorithm [C]// 2018 IEEE 4th International Conference on Big Data Computing Service and Applications. Bamberg： IEEE， 2018： 1021?1027.

[4] 劉銘，吳朝霞.支持向量機理論與應(yīng)用[J].科技視界，2018（23）：68?69.

[5] 李振剛，甘泉.改進蟻群算法優(yōu)化SVM參數(shù)的網(wǎng)絡(luò)入侵檢測模型研究[J].重慶郵電大學(xué)學(xué)報（自然科學(xué)版），2014，26（6）：785?789.

[6] MIRJALILI Seyedali. The ant lion optimizer [J]. Advances in engineering software， 2015， 83： 80?98.

[7] MEHER P K， SAHU T K， RAO A R. Performance evaluation of neural network， support vector machine and random forest for prediction of donor splice sites in rice [J]. Indian journal of genetics & plant breeding， 2016， 76（2）： 173.

[8] SONG Y， JIN Q， YAN K， et al. Vote parallel SVM： an extension of parallel support vector machine [C]// 2018 IEEE Smart World， Ubiquitous Intelligence & Computing， Advanced & Trusted Computing， Scalable Computing & Communications， Cloud & Big Data Computing， Internet of People and Smart City Innovation. Guangzhou： IEEE， 2018： 1942?1947.

[9] KARAMIZADEH S， ABDULLAH S M， MANAF A A， et al. An overview of principal component analysis [J]. Journal of signal and information processing， 2013（4）： 173?175.

[10] DIVEKAR A， PAREKH M， SAVLA V， et al. Benchmarking datasets for anomaly?based network intrusion detection： KDD CUP 99 alternatives [C]// 2018 3rd IEEE International Conference on Computing， Communication and Security. Singapore： IEEE， 2018： 17?24.

[11] SINGH R， KUMA R H， SINGLA R K. An intrusion detection system using network traffic profiling and online sequential extreme learning machine [J]. Expert systems with applications， 2015， 42（22）： 8609?8624.