鮑夢

摘 要： 入侵檢測是保證網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，為了解決神經(jīng)網(wǎng)絡(luò)在入侵檢測應(yīng)用中的參數(shù)優(yōu)化難題，提出蟻群算法選擇神經(jīng)網(wǎng)絡(luò)參數(shù)的網(wǎng)絡(luò)入侵檢測模型。首先描述蟻群算法與神經(jīng)網(wǎng)絡(luò)參數(shù)之間的聯(lián)系，并建立神經(jīng)網(wǎng)絡(luò)參數(shù)選擇的目標(biāo)函數(shù)，然后采用蟻群算法對目標(biāo)函數(shù)的最優(yōu)解進(jìn)行搜索，確定神經(jīng)網(wǎng)絡(luò)的最佳參數(shù)，最后通過神經(jīng)網(wǎng)絡(luò)自組織學(xué)習(xí)實(shí)現(xiàn)入侵檢測分類器的構(gòu)建，選擇入侵檢測標(biāo)準(zhǔn)數(shù)據(jù)在Matlab 2014平臺上實(shí)現(xiàn)仿真實(shí)驗(yàn)。結(jié)果表明，該模型解決了神經(jīng)網(wǎng)絡(luò)在入侵檢測中的參數(shù)優(yōu)化難題，建立了綜合性能良好的入侵檢測分類器，分類結(jié)果和分類速度均比典型模型有較顯著的優(yōu)勢。

關(guān)鍵詞： 網(wǎng)絡(luò)安全； 神經(jīng)網(wǎng)絡(luò)； 參數(shù)優(yōu)化； 蟻群算法； 入侵檢測分類器

中圖分類號： TN915.08?34； TP391 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2017）17?0091?03

Network intrusion detection based on ant colony algorithm

selecting neural network parameter

BAO Meng

（Jiangxi University of Technology， Nanchang 330098， China）

Abstract： The intrusion detection is a key technology to ensure the network security. In order to solve the problem of parameter optimization of neural network in the application of intrusion detection， a network intrusion detection model based on ant colony algorithm selecting neural network parameter is proposed. The relation between the ant colony algorithm and neural network parameter is described. The objective function chosen by neural network parameters was established. The ant colony algorithm is used to search the optimal solution of objective function， and determine the optimal parameters of the neural network. The neural network self?organization learning is adopted to construct the classifier of intrusion detection. The simulation experiment for selected intrusion detection standard data was carried out on Matlab 2014 platform. The results show that the model can solve the problem of parameter optimization of neural network in the application of intrusion detection. The intrusion detection classifier with perfect comprehensive performance was est ablished， and its classification result and classification rate are superior to the typical model.

Keywords： network security； neural network； parameter optimization； ant colony algorithm； intrusion detection classifier

0 引 言

入侵是危害網(wǎng)絡(luò)安全的一種惡意行為，它可以盜取網(wǎng)絡(luò)系統(tǒng)中的機(jī)密信息，非法修改一些重要信息，有時(shí)可以導(dǎo)致網(wǎng)絡(luò)癱瘓，使得網(wǎng)絡(luò)不能正常工作[1?2]。入侵檢測指通過一定技術(shù)對網(wǎng)絡(luò)中的各種行為進(jìn)行分析和判斷，根據(jù)判斷結(jié)果采取相應(yīng)的防范措施，提高網(wǎng)絡(luò)的安全性[3?4]。

入侵檢測問題分為誤用檢測和異常檢測，其中基于誤用的入侵檢測使用先驗(yàn)知識實(shí)現(xiàn)網(wǎng)絡(luò)入侵行為的檢測，它的缺點(diǎn)是無法識別新的入侵行為，導(dǎo)致入侵檢測的誤檢率以及漏檢率相當(dāng)高[5]；基于異常的入侵檢測不需要先驗(yàn)知識，而是從正常行為中區(qū)分入侵、攻擊行為，可以有效檢測到新的入侵行為，因此本文針對基于異常的入侵檢測問題進(jìn)行研究。網(wǎng)絡(luò)入侵檢測本質(zhì)上是一種多分類問題，因此它具有多分類的一些基本特征，如要構(gòu)建分類器等[6]，當(dāng)前構(gòu)建網(wǎng)絡(luò)入侵的多分類器很多，如K近鄰、決策樹、支持向量、神經(jīng)網(wǎng)絡(luò)等[7?9]，在所有算法中，神經(jīng)網(wǎng)絡(luò)的建模速度最快、分類性能更優(yōu)，因此在網(wǎng)絡(luò)入侵檢測中得到了廣泛的應(yīng)用。神經(jīng)網(wǎng)絡(luò)的檢測性能與其參數(shù)值有重要聯(lián)系，像BP神經(jīng)網(wǎng)絡(luò)、RBF神經(jīng)網(wǎng)絡(luò)、極限學(xué)習(xí)機(jī)網(wǎng)絡(luò)等，它們的參數(shù)如果確定不合理，那么就無法保證獲得較高精度的網(wǎng)絡(luò)入侵檢測結(jié)果，入侵檢測的誤報(bào)率高[10]。將神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測中時(shí)，首先要解決參數(shù)確定問題。當(dāng)前參數(shù)確定主要通過一些生物模擬算法實(shí)現(xiàn)，如遺傳算法等，而遺傳算法的自身參數(shù)首先要確定，否則就易得到局部極優(yōu)的神經(jīng)網(wǎng)絡(luò)參數(shù)，因此神經(jīng)網(wǎng)絡(luò)參數(shù)確定問題還有待進(jìn)一步解決[11]。endprint

相對于遺傳算法，蟻群算法的搜索和問題求解的性能更優(yōu)，在模式識別等領(lǐng)域得到了廣泛的應(yīng)用[12]。為了解決神經(jīng)網(wǎng)絡(luò)在入侵檢測應(yīng)用中的參數(shù)優(yōu)化難題，提出蟻群算法選擇神經(jīng)網(wǎng)絡(luò)參數(shù)的網(wǎng)絡(luò)入侵檢測模型。結(jié)果表明，該模型建立了綜合性能良好的入侵檢測分類器，分類結(jié)果和分類速度均比典型模型有較顯著的優(yōu)勢。

1 背景理論

1.1 蟻群算法

為了解決多目標(biāo)優(yōu)化問題，有學(xué)者提出一種新的智能算法——蟻群算法。針對一個(gè)待優(yōu)化問題：所有螞蟻均置于節(jié)點(diǎn)上，信息素描述螞蟻經(jīng)過路徑的優(yōu)劣，其可以吸引其他螞蟻向該路徑的轉(zhuǎn)移，根據(jù)待解決問題，確定螞蟻的初始信息素為：

（1）

螞蟻的初始位置為表示螞蟻的數(shù)目，如果滿足條件那么就可知（0，1]，適應(yīng)度的計(jì)算公式變?yōu)椋?/p>

（2）

式中：avg為的均值；和分別為原始和變換后的值。

當(dāng)螞蟻完成一次尋優(yōu)后，就要重新確定下一次尋優(yōu)的規(guī)則，隨機(jī)選擇個(gè)螞蟻，為選擇比率，選擇螞蟻中信息素濃度最大者作為尋優(yōu)目標(biāo)。

（3）

式中為上次搜索過程中的最優(yōu)解。

信息素濃度越大，吸引同伴的程度越大，螞蟻向目標(biāo)螞蟻移動的方式為：

（4）

在當(dāng)前最優(yōu)解螞蟻的周圍進(jìn)行進(jìn)一步尋優(yōu)，找到更優(yōu)的解，搜索方式具體為：

（5）

（6）

式中：“”描述探測模式，其判斷方式為：

（7）

若滿足條件：，就為“+”；否則為“-”，表示搜索步長，即：

（8）

式中：和表示的最大值和最小值；和表示當(dāng)前和最大迭代次數(shù)。

當(dāng)完成全部尋優(yōu)后，對信息素更新，具體為：

（9）

式中為揮發(fā)系數(shù)。

1.2 神經(jīng)網(wǎng)絡(luò)

BP神經(jīng)網(wǎng)絡(luò)是一個(gè)強(qiáng)有力的機(jī)器學(xué)習(xí)算法，可以對輸入與輸出進(jìn)行高度非線性擬合，采用網(wǎng)絡(luò)入侵檢測的特征作為神經(jīng)網(wǎng)絡(luò)的輸入，網(wǎng)絡(luò)狀態(tài)作為期望輸出，對神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，建立網(wǎng)絡(luò)入侵檢測模型。BP神經(jīng)網(wǎng)絡(luò)的工作步驟如下：

Step1：個(gè)訓(xùn)練樣本組成網(wǎng)絡(luò)入侵的訓(xùn)練樣本，并輸入到BP神經(jīng)網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)。

Step2：計(jì)算BP神經(jīng)網(wǎng)絡(luò)的期望輸出層和隱含層單元的狀態(tài)，即：

（10）

Step3：計(jì)算BP神經(jīng)網(wǎng)絡(luò)輸入層的估計(jì)誤差為：

（11）

Step4：在時(shí)刻，修正BP神經(jīng)網(wǎng)絡(luò)的權(quán)值和閾值，具體為：

（12）

（13）

Step5：計(jì)算全部訓(xùn)練樣本集的誤差，并判斷是否滿足預(yù)先設(shè)置精度（ε）要求，即：

（14）

式中為樣本的誤差。

Step6：輸出入侵檢測的結(jié)果。

2 蟻群算法選擇神經(jīng)網(wǎng)絡(luò)參數(shù)的入侵檢測模型

2.1 神經(jīng)網(wǎng)絡(luò)參數(shù)選擇目標(biāo)函數(shù)

在神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測建模過程中，權(quán)值和閾值的初值對網(wǎng)絡(luò)入侵檢測效果影響十分明顯，不同初始權(quán)值和閾值的BP神經(jīng)網(wǎng)絡(luò)入侵檢測精度如表1所示。

BP神經(jīng)網(wǎng)絡(luò)的初始權(quán)值和閾值的選擇目標(biāo)就是提高網(wǎng)絡(luò)入侵的檢測效果，因此神經(jīng)網(wǎng)絡(luò)參數(shù)選擇的目標(biāo)函數(shù)可以描述為：

（15）

式中：表示網(wǎng)絡(luò)的檢測正確率；表示可能的最優(yōu)解個(gè)數(shù)。

2.2 蟻群算法選擇神經(jīng)網(wǎng)絡(luò)參數(shù)的入侵檢測模型的工作步驟

Step1：采用專用設(shè)備對一臺網(wǎng)絡(luò)服務(wù)器一段時(shí)間的狀態(tài)信息進(jìn)行檢測，得到相應(yīng)數(shù)據(jù)。

Step2：從網(wǎng)絡(luò)信息數(shù)據(jù)中提取網(wǎng)絡(luò)狀態(tài)特征。

Step3：設(shè)置BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值的取值范圍。

Step4：隨機(jī)初始蟻群，并將全部螞蟻個(gè)體分布于同一個(gè)起點(diǎn)。

Step5：通過模擬蟻群覓食行為，對起點(diǎn)與終點(diǎn)之間的路徑進(jìn)行搜索，并采用目標(biāo)函數(shù)值即網(wǎng)絡(luò)入侵檢測率對路徑好壞進(jìn)行動態(tài)評價(jià)。

Step6：不斷更新路徑上的信息素深度。

Step7：達(dá)到最大迭代次數(shù)時(shí)，把最優(yōu)路徑上的節(jié)點(diǎn)連接起來，得到BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值的最優(yōu)值。

Step8：采用最優(yōu)的BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值設(shè)計(jì)網(wǎng)絡(luò)入侵檢測的分類器，并通過分類器對待檢測網(wǎng)絡(luò)狀態(tài)進(jìn)行檢測，并輸出檢測結(jié)果。

3 網(wǎng)絡(luò)入侵檢測效果測試實(shí)驗(yàn)

為了分析蟻群算法選擇神經(jīng)網(wǎng)絡(luò)參數(shù)的入侵檢測模型（ACO?BP）的效果，選擇標(biāo)準(zhǔn)網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行仿真實(shí)驗(yàn)，在Matlab 2014平臺實(shí)現(xiàn)。為了使結(jié)果更具說服力，使本文模型的實(shí)驗(yàn)結(jié)果具有可比性，設(shè)計(jì)了兩種對比模型，具體為：憑經(jīng)驗(yàn)確定BP神經(jīng)網(wǎng)絡(luò)的初始權(quán)值和閾值的入侵檢測模型（BP）、遺傳算法選擇BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值的入侵檢測模型（GA?BP），BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值如表2所示。

統(tǒng)計(jì)GA?BP，ACO?BP以及BP的網(wǎng)絡(luò)入侵檢測精度和平均檢測時(shí)間（單位：s），結(jié)果如圖1和圖2所示。

分析圖1，圖2可知：

（1） 與BP網(wǎng)絡(luò)入侵檢測相比，GA?BP和ACO?BP的平均入侵檢測精度分別提高了很多，同時(shí)平均檢測時(shí)間分別下降，這表明GA?BP和ACO?BP的網(wǎng)絡(luò)入侵檢測綜合性能更優(yōu)，驗(yàn)證了經(jīng)驗(yàn)隨機(jī)確定BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值的不合理性，難以獲得理想的網(wǎng)絡(luò)入侵檢測結(jié)果，導(dǎo)致BP神經(jīng)網(wǎng)絡(luò)的執(zhí)行時(shí)間明顯變長。

（2） 與GA?BP相比，ACO?BP的平均入侵檢測精度分別提高了一定的幅度，同時(shí)平均檢測時(shí)間分別下降了許多，這表明蟻群算法比遺傳算法的尋優(yōu)效果更佳，確定最合理的BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值，加快了網(wǎng)絡(luò)入侵檢測速度，驗(yàn)證了本文模型的優(yōu)越性。endprint

4 結(jié) 語

優(yōu)異的入侵檢測結(jié)果是網(wǎng)絡(luò)能夠安全、正常工作的基礎(chǔ)，在神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測過程中，其參數(shù)設(shè)置對入侵檢測結(jié)果產(chǎn)生重要的影響，同時(shí)對入侵檢測速度也會產(chǎn)生一定的作用。為了更好地保證網(wǎng)絡(luò)安全，針對神經(jīng)網(wǎng)絡(luò)參數(shù)優(yōu)化問題，引入蟻群算法解決參數(shù)優(yōu)化難題，設(shè)計(jì)了一種基于蟻群算法選擇神經(jīng)網(wǎng)絡(luò)參數(shù)的入侵檢測模型，利用KDD Cup 99數(shù)據(jù)進(jìn)行性能測試。測試結(jié)果表明，該模型解決了神經(jīng)網(wǎng)絡(luò)參數(shù)難以確定的問題，得到了性能更好的神經(jīng)網(wǎng)絡(luò)，同時(shí)能夠更加準(zhǔn)確地識別各種網(wǎng)絡(luò)入侵行為，可以過濾掉對網(wǎng)絡(luò)安全產(chǎn)生不利影響的入侵行為，使網(wǎng)絡(luò)系統(tǒng)可以在安全環(huán)境中運(yùn)行。

參考文獻(xiàn)

[1] 卿斯?jié)h，蔣建春，馬恒太，等.入侵檢測技術(shù)研究綜述[J].通信學(xué)報(bào)，2004，25（7）：19?29.

[2] SUNG A H. Identifying important features for intrusion detection using support vector machines and neural networks [C]// Proceedings of 2003 IEEE Symposium on Application and the Internet. Orlando： IEEE， 2003： 209?217.

[3] QIAN Y， ZHANG H， SANG Y， et al. Multigranulation decision?theoretic rough sets [J]. International journal of approximate reasoning， 2014， 55（1）： 225?237.

[4] DENNING D E. An intrusion detection model [J]. IEEE transactions on software engineering， 2010， 13（2）： 222?232.

[5] 樊愛宛，時(shí)合生.基于特征選擇和SVM參數(shù)同步優(yōu)化的網(wǎng)絡(luò)入侵檢測[J].北京交通大學(xué)學(xué)報(bào)，2013，37（5）：58?61.

[6] 楊雅輝，黃海珍，沈晴霓，等.基于增量式GHSOM神經(jīng)網(wǎng)絡(luò)模型的入侵檢測研究[J].計(jì)算機(jī)學(xué)報(bào)，2014，27（5）：1204?1211.

[7] 趙軍.基于CEGA?SVM的網(wǎng)絡(luò)入侵檢測算法[J].計(jì)算機(jī)工程，2009，35（23）：166?167.

[8] 趙夫群.基于混合核函數(shù)的LSSVM網(wǎng)絡(luò)入侵檢測方法[J].現(xiàn)代電子技術(shù)，2015，38（21）：96?99.

[9] 馬海峰，岳新，孫名松.基于神經(jīng)網(wǎng)絡(luò)的分布式入侵檢測研究[J].計(jì)算機(jī)應(yīng)用，2006，26（12）：63?65.

[10] 史長瓊，陳旭，唐賢瑛.基于融合免疫算法和RBF網(wǎng)絡(luò)的入侵檢測系統(tǒng)[J].計(jì)算機(jī)工程，2007，33（9）：160?162.

[11] KIM D S， NGUYEN H N， OHN S Y， et al. Fusions of GA and SVM for anomaly detection in intrusion detection system [C]// Proceedings of 2005 International Symposium on Advances in Neural Networks. Berlin： Springer Verlag， 2005： 415?420.

[12] 夏棟梁，劉玉坤，魯書喜.基于蟻群算法和改進(jìn)SSO的混合網(wǎng)絡(luò)入侵檢測方法[J].重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2016，28（3）：406?413.endprint