趙夫群

摘 要： 針對常規(guī)網(wǎng)絡入侵檢測算法檢測率低、誤報率高以及檢測效率低下等問題，在此使用基于混合核函數(shù)的最小二乘支持向量機作為網(wǎng)絡入侵檢測模型的核心算法，使用粒子群優(yōu)化算法對最小二乘支持向量機的各個參數(shù)進行優(yōu)化。使用著名的KDD CUP99數(shù)據(jù)庫中的部分數(shù)據(jù)樣本對網(wǎng)絡入侵檢測模型進行訓練和測試，以驗證所提出網(wǎng)絡入侵檢測方法的性能。測試實驗結(jié)果表明，提出的基于混合核函數(shù)的PSO?LSSVM算法具有更好的檢測性能，提高了檢測系統(tǒng)的檢測率。

關(guān)鍵詞： 最小二乘支持向量機； 粒子群優(yōu)化； 網(wǎng)絡入侵檢測； 混合核函數(shù)

中圖分類號： TN711?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2015）21?0096?04

Detection method of LSSVM network intrusion based on hybrid kernel function

ZHAO Fuqun

（Xianyang Normal University， Xianyang 712000， China）

Abstract： Since the conventional detection algorithm of network intrusion has low detection rate， high false positive rate and low detection efficiency， the least squares support vector machine （LSSVM） algorithm based on hybrid kernel function is taken as the core algorithm of the network intrusion detection model， and each parameter of the LSSVM is optimized by using particle swarm optimization （PSO） algorithm. The network intrusion detection model was trained and tested by partial data samples in famous KDD CUP99 database to verify the performance of the proposed network intrusion detection method. The test results show that the PSO?LSSVM algorithm based on hybrid kernel function has better detection performance， and can improve the detection rate of the detection system.

Keywords： LSSVM； PSO； network intrusion detection； hybrid kernel function

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)與計算機技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)得到了廣泛的普及，為人們的生活、學習、工作帶來了無限的便利，可以說人們已經(jīng)無法離開互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)為人們帶來便利的同時，也帶來了新的問題，也就是互聯(lián)網(wǎng)網(wǎng)絡安全問題。隨著互聯(lián)網(wǎng)犯罪率的逐年升高以及惡劣程度逐漸加劇，網(wǎng)絡安全越來越多地引起了人們的更深入的關(guān)注。網(wǎng)絡入侵檢測一直是人們研究互聯(lián)網(wǎng)技術(shù)的熱點問題之一，隨著互聯(lián)網(wǎng)入侵類型以及技術(shù)的不斷更新，傳統(tǒng)常規(guī)的網(wǎng)絡入侵檢測方法已經(jīng)不能夠滿足現(xiàn)階段網(wǎng)絡入侵檢測要求；提高網(wǎng)絡入侵檢測系統(tǒng)檢測率以及檢測效率是研究網(wǎng)絡入侵檢測方法的主要問題之一[1?2]。

基于統(tǒng)計學習理論發(fā)展起來的支持向量機因為其具有較強的泛化能力以及處理非線性問題的能力，同時在局收斂性、處理非線性問題、小數(shù)據(jù)樣本等問題上要優(yōu)于其他機器學習算法，因此其在網(wǎng)絡入侵檢測系統(tǒng)中得到了廣泛的應用。但是其算法存在稀疏性差、核函數(shù)容易受到條件制約等缺陷[3]。

因此，本文研究一種基于混合核函數(shù)的最小二乘支持向量機作為網(wǎng)絡入侵檢測模型的核心算法，使用粒子群優(yōu)化算法對最小二乘支持向量機的各個參數(shù)進行優(yōu)化。RBF核函數(shù)屬于局部核函數(shù)，Polynomial核函數(shù)屬于全局核函數(shù)。局部核函數(shù)與全局核函數(shù)區(qū)別在于：局部核函數(shù)具有較強的學習能力以及較弱的泛化能力；全局核函數(shù)正好相反，其具有較強的泛化能力以及較弱的學校能力。因此將上述兩種核函數(shù)進行混合，構(gòu)造一種新型混合函數(shù)，以發(fā)揮兩種核函數(shù)的優(yōu)勢，規(guī)避其劣勢。

1 混合函數(shù)PSO?LSSVM

1.1 最小二乘支持向量機

Vapnik基于統(tǒng)計學習理論提出一種依據(jù)最小化結(jié)構(gòu)風險原理的小樣本學習方法，這種學習方法辨識支持向量機，簡稱SVM。

設(shè)定[xi]是[n]維輸入向量，[yi]是一維輸出值，[l]是樣本數(shù)量，你們訓練樣本集合表示為：

RBF核函數(shù)屬于局部核函數(shù)，Polynomial核函數(shù)屬于全局核函數(shù)。局部核函數(shù)與全局核函數(shù)區(qū)別在于，局部核函數(shù)具有較強的學習能力以及較弱的泛化能力，全局核函數(shù)正好相反，其具有較強的泛化能力以及較弱的學校能力。因此可以上述兩種核函數(shù)進行混合，構(gòu)造一種新型混合函數(shù)，以發(fā)揮兩種核函數(shù)的優(yōu)勢，規(guī)避其劣勢?；旌虾瘮?shù)可以表示為[6]：

[K=aKpoly+1-aKRBF=axxi+1q+1-aexp-x-xi2γ] （12）

式中：[γ]為RBF核函數(shù)懲罰系數(shù)；[q]為Polynomial核函數(shù)核階數(shù)；[a]為混合權(quán)重系數(shù)，[a∈0，1]。RBF核函數(shù)即為[a]為0時的混合函數(shù)；Polynomial核函數(shù)即為[a]為1時的混合函數(shù)。

由上述分析可知，核函數(shù)的核矩陣均是半正定的。其滿足運行由簡單構(gòu)建塊構(gòu)造復雜核的閉性質(zhì)。

若[K1，][K2]是[X×X]的核，[X∈Rn，][fx]屬于[X]上實值函數(shù)，那么下列組合函數(shù)還是核函數(shù)：

式中：[wmin]為最后權(quán)重，通常[wmin=0.45]；[T]為現(xiàn)在迭代次數(shù)；[Tmax]為迭代次數(shù)最大值，[Tmax=200；][wmax]為初始權(quán)重[9]，通常[wmax=0.9；]

1.4 基于混合核函數(shù)的PSO?LSSVM算法

首先需要對RBF核函數(shù)參數(shù)[γ]和懲罰系數(shù)[c]這兩個參數(shù)進行優(yōu)化，方能使用基于傳統(tǒng)RBF核函數(shù)支持向量機的粒子群優(yōu)化算法。基于混合核函數(shù)的PSO?LSSVM優(yōu)化算法為了得到最好的性能，需要對RBF核函數(shù)參數(shù)[γ]、懲罰系數(shù)[c]、Polynomial核函數(shù)核階數(shù)[q]以及混合權(quán)重[a]這4個參數(shù)進行優(yōu)化[10]。

2 實驗研究

2.1 數(shù)據(jù)來源

在實驗室的Intel i7 2620QM，16 GB RAM，1 TB硬盤，Windows 7 操作系統(tǒng)環(huán)境的工作站中使用Matlab網(wǎng)絡入侵檢測模型進行模擬仿真研究，數(shù)據(jù)來源于著名的KDD CUP99數(shù)據(jù)庫。KDD CUP99數(shù)據(jù)庫涵蓋了各種類型網(wǎng)絡入侵攻擊數(shù)據(jù)，最典型的有以下四類：

（1） Probe：掃描攻擊（）；

（2） DOS：拒絕服務攻擊；

（3） U2L：未授權(quán)使用本地超級權(quán)限訪問攻擊；

（4） U2R：遠程用戶未授權(quán)訪問攻擊[11]。

由于KDD CUP99數(shù)據(jù)庫非常龐大，不可能對數(shù)據(jù)庫中所有數(shù)據(jù)進行提取使用，因此只從KDD CUP99數(shù)據(jù)庫隨機提出一定的樣本數(shù)據(jù)用于實驗分析。提取樣本數(shù)量如下：

（1） 50個Probe掃描攻擊樣本；

（2） 200個DOS拒絕服務攻擊樣本；

（3） 100個U2L未授權(quán)使用本地超級權(quán)限訪問攻擊樣本；

（4） 80個U2R遠程用戶未授權(quán)訪問攻擊樣本；

（5） 1 000個正常樣本。

2.2 數(shù)據(jù)處理

通常使用誤報率、檢測率以及檢測時間對網(wǎng)絡入侵檢測方法的檢測性能進行評價：

[誤報率=被誤報為入侵的正常樣本數(shù)量正常樣本總數(shù)×100%] （16）

[檢測率=檢測出入侵樣本數(shù)量入侵樣本總數(shù)×100%] （17）

為了消除少量樣本數(shù)據(jù)的特征對支持向量機性能的影響，需要對樣本數(shù)據(jù)做歸一化處理：

[x′i=xi-xxstd ，i=1，2，…，n] （18）

式中：[xstd]是樣本的特征標準差；[n]是用于訓練的樣本數(shù)量[12]。

通過粒子群優(yōu)化算法尋優(yōu)后的混合核函數(shù)最小二乘支持向量機的RBF核函數(shù)參數(shù)[γ、]懲罰系數(shù)[c、]Polynomial核函數(shù)核階數(shù)[q]以及混合權(quán)重[a]這4個參數(shù)，如表1所示[13]。

對比結(jié)果表明，LSSVM算法能夠有效避免使用龐大訓練樣本的BP神經(jīng)網(wǎng)絡容易陷入局部最小值以及收斂速度低等問題。因此，對于網(wǎng)絡入侵檢測這種高維數(shù)、訓練樣本數(shù)量小以及線性不可分模型，使用本文研究的LSSVM算法能夠有效實現(xiàn)入侵檢測功能。

3 結(jié) 論

本文對網(wǎng)絡入侵檢測方法進行了研究，首先對網(wǎng)絡入侵檢測系統(tǒng)進行了分析，并根據(jù)傳統(tǒng)網(wǎng)絡入侵檢測算法劣勢和缺陷，研究新型網(wǎng)絡入侵檢測方法，以混合核函數(shù)的粒子群優(yōu)化最小二乘支持向量機算法作為算法核心。為了驗證所提出網(wǎng)絡入侵檢測方法的性能，在實驗室工作站環(huán)境下使用著名的KDD CUP99數(shù)據(jù)庫中的部分數(shù)據(jù)樣本對網(wǎng)絡入侵檢測模型進行訓練和測試。使用基于傳統(tǒng)的RBF核的LSSVM算法以及基于粒子群優(yōu)化的BP神經(jīng)網(wǎng)絡算法與所提出的算法進行對比，實驗結(jié)果表明，本文提出的基于混合核函數(shù)的PSO?LSSVM算法具有更好的檢測性能，提高了網(wǎng)絡入侵檢測系統(tǒng)的檢測率，降低了誤報率。

參考文獻

[1] 肖國榮.改進蟻群算法和支持向量機的網(wǎng)絡入侵檢測[J].計算機工程與應用，2014（3）：75?78.

[2] 張拓，王建平.基于CQPSO?LSSVM的網(wǎng)絡入侵檢測模型[J].計算機工程與應用，2015（2）：113?116.

[3] 劉明珍.基于CPSO?LSSVM的網(wǎng)絡入侵檢測[J].計算機工程，2013（11）：131?135.

[4] 劉智國，張雅明，林立忠.基于粒子群LSSVM的網(wǎng)絡入侵檢測[J].計算機仿真，2010（11）：136?139.

[5] 左申正.基于機器學習的網(wǎng)絡異常分析及響應研究[D].北京：北京郵電大學，2010.

[6] 郭通.基于自適應流抽樣測量的網(wǎng)絡異常檢測技術(shù)研究[D].鄭州：解放軍信息工程大學，2013.

[7] 王雪松，梁昔明.改進蟻群算法優(yōu)化支持向量機的網(wǎng)絡入侵檢測[J].計算技術(shù)與自動化，2015（2）：95?99.

[8] 劉潔.基于支持向量機的網(wǎng)絡入侵檢測系統(tǒng)研究[D].長沙：中南大學，2008.

[9] 譚龍.基于聚類和支持向量機的網(wǎng)絡入侵檢測[D].秦皇島：燕山大學，2010.

[10] 胡天騏，單劍鋒，宋曉濤.基于改進PSO?LSSVM的模擬電路診斷方法[J].計算機技術(shù)與發(fā)展，2015（6）：193?196.

[11] 孫衛(wèi)紅，童曉，李強.改進PSO優(yōu)化參數(shù)的LSSVM燃煤鍋爐NO_X排放預測[J].數(shù)據(jù)采集與處理，2015（1）：231?238.

[12] 鄭志成，徐衛(wèi)亞，徐飛，等.基于混合核函數(shù)PSO?LSSVM的邊坡變形預測[J].巖土力學，2012（5）：1421?1426.

[13] 陳健，陳雪剛，張家錄，等.杜鵑鳥搜索算法優(yōu)化最小二乘支持向量機的網(wǎng)絡入侵檢測模型[J].微電子學與計算機，2013（10）：29?32.

[14] 呂曼.基于數(shù)據(jù)挖掘的入侵檢測方法的研究[D].大慶：大慶石油學院，2007.

[15] 張躍軍.提高基于SVM的網(wǎng)絡入侵檢測性能的研究[D].濟南：山東大學，2006.