王耀光， 陳偉權(quán)， 吳鎮(zhèn)邦， 秦 勇， 黃 翰

(1.廣東省東莞市質(zhì)量監(jiān)督檢測中心，廣東 東莞 523000； 2.東莞理工學(xué)院 計(jì)算機(jī)學(xué)院， 廣東 東莞 523000； 3.華南理工大學(xué) 軟件學(xué)院，廣東 廣州 510006)

基于混合差分演化的網(wǎng)絡(luò)入侵檢測算法

王耀光1， 陳偉權(quán)1， 吳鎮(zhèn)邦1， 秦 勇2， 黃 翰3

(1.廣東省東莞市質(zhì)量監(jiān)督檢測中心，廣東 東莞 523000； 2.東莞理工學(xué)院 計(jì)算機(jī)學(xué)院， 廣東 東莞 523000； 3.華南理工大學(xué) 軟件學(xué)院，廣東 廣州 510006)

基于機(jī)器學(xué)習(xí)方法的入侵檢測算法是目前網(wǎng)絡(luò)設(shè)備檢測領(lǐng)域的研究熱點(diǎn).網(wǎng)絡(luò)入侵檢測源數(shù)據(jù)的多樣性是影響機(jī)器學(xué)習(xí)方法在該領(lǐng)域?qū)嶋H應(yīng)用性能的主要因素.研究通過設(shè)計(jì)多擾動向量混合差分演化算法，穩(wěn)定地優(yōu)化了最小二乘支持向量機(jī)模型的關(guān)鍵參數(shù)；在不增加測試集檢測計(jì)算復(fù)雜性的前提下，通過最優(yōu)化參數(shù)的方式，提高了最小二乘支持向量機(jī)算法入侵檢測的精度和穩(wěn)定性.KDD Cup 99測試集的仿真實(shí)驗(yàn)結(jié)果顯示，所提出的基于混合差分演化的網(wǎng)絡(luò)入侵檢測算法比目前多種同類算法有著更好的平均性能.

網(wǎng)絡(luò)入侵檢測； 測試穩(wěn)定性； 混合差分演化； 最小二乘支持向量機(jī)

0 引言

入侵檢測系統(tǒng)IDS(intrusion detection system)是計(jì)算機(jī)信息安全領(lǐng)域的一個重要分支.IDS的特點(diǎn)是主動防御，即對入侵行為進(jìn)行預(yù)警，關(guān)鍵技術(shù)是對入侵事件的識別和分類上.近年來，機(jī)器學(xué)習(xí)與智能計(jì)算相結(jié)合的方法成為了網(wǎng)絡(luò)入侵檢測研究的熱門技術(shù).Hu等[1]利用粒子群算法對在線Adaboost的參數(shù)進(jìn)行優(yōu)化，解決了動態(tài)分布式網(wǎng)絡(luò)入侵問題.劉羿[2]提出了蝙蝠算法優(yōu)化神經(jīng)網(wǎng)絡(luò)，提高了網(wǎng)絡(luò)入侵檢測的效率.李振剛等[3]運(yùn)用改進(jìn)的蟻群算法來優(yōu)化SVM參數(shù)，提升了入侵檢測的效率和準(zhǔn)確率.王亞等[4]研究發(fā)現(xiàn)通過優(yōu)化RBF神經(jīng)網(wǎng)絡(luò)的參數(shù)，可以有效降低特征維數(shù)和 RBF 神經(jīng)網(wǎng)絡(luò)輸入節(jié)點(diǎn)數(shù)，從而降低計(jì)算復(fù)雜度，加快網(wǎng)絡(luò)入侵檢測速度.Dastanpour等[5]系統(tǒng)研究了遺傳算法在在優(yōu)化神經(jīng)網(wǎng)絡(luò)和支持向量機(jī)參數(shù)上的效果，發(fā)現(xiàn)網(wǎng)絡(luò)入侵檢測源數(shù)據(jù)的多樣性是影響演化算法實(shí)際應(yīng)用性能的主要因素.實(shí)際工程應(yīng)用對網(wǎng)絡(luò)入侵檢測的準(zhǔn)確率和響應(yīng)速度要求較高，因此，高速、高準(zhǔn)確率的要求是困擾智能計(jì)算方法應(yīng)用于網(wǎng)絡(luò)入侵檢測的核心難題.

為了解決這一難題，差分演化算法和網(wǎng)絡(luò)入侵檢測的結(jié)合成為了研究熱點(diǎn).馬琰等[6]將混沌差分算法用于網(wǎng)絡(luò)入侵檢測，降低了檢測的誤差；邊根慶等[7]將免疫克隆與差分進(jìn)化相統(tǒng)一，為進(jìn)化算法在網(wǎng)絡(luò)入侵檢測中的實(shí)際應(yīng)用做了理論鋪墊;Sailaja等[8]基于差分演化算法對網(wǎng)絡(luò)入侵檢測問題進(jìn)行了研究.考慮到網(wǎng)絡(luò)入侵檢測源數(shù)據(jù)的多樣性，筆者采用了多擾動向量的混合差分演化算法，對最小支持向量機(jī)(LSSVM)的大量關(guān)鍵參數(shù)進(jìn)行優(yōu)化，通過對于差分演化算法的改進(jìn)，使得優(yōu)化后的LSSVM提高了網(wǎng)絡(luò)入侵檢測的準(zhǔn)確率和穩(wěn)定性.

1 基于最優(yōu)參數(shù)LSSVM網(wǎng)絡(luò)入侵檢測的可行性分析

由于入侵事件種類的多樣性和穩(wěn)定性，網(wǎng)絡(luò)入侵檢測可以建模為一個模式分類問題.許多網(wǎng)絡(luò)入侵檢測技術(shù)都應(yīng)用最小支持向量機(jī)(LSSVM)來進(jìn)行入侵事件的分類；然而，LSSVM的分類準(zhǔn)確率受其多個參數(shù)的影響.通過參數(shù)優(yōu)化來提高網(wǎng)絡(luò)入侵檢測精度的研究是目前學(xué)術(shù)界研究的熱點(diǎn)，其技術(shù)路線如圖1所示.

圖1 基于LSSVM模式分類的網(wǎng)絡(luò)入侵檢測技術(shù)路線圖Fig.1 Technology roadmap of network intrusion detection based on LSSVM model classification

LSSVM算法定義如公式(1)：

(1)

可以通過引入拉格朗日乘子將式(1)的模型變化為式(2)的實(shí)優(yōu)化問題：

(2)

一般的做法是將式(2)對ω、ξi、b和ai求偏導(dǎo)，通過消去ω和ξi得到關(guān)于b和ai的方程組,用數(shù)值計(jì)算的方法可以求解方程組并得到最優(yōu)化的b和ai，i=1,2,…,n,n為采樣的規(guī)模.因?yàn)閿?shù)值計(jì)算的方法所需計(jì)算時間長且復(fù)雜性較大，一些LSSVM應(yīng)用為了節(jié)省計(jì)算時間而采用了近似算法，如粒子群優(yōu)化算法等.但是，因?yàn)榫W(wǎng)絡(luò)入侵檢測的實(shí)時性要求較高，故而采用更高效的連續(xù)優(yōu)化啟發(fā)式算法來求得最優(yōu)的b和ai.

在實(shí)際工程應(yīng)用中可以運(yùn)用訓(xùn)練集樣本來評估LSSVM優(yōu)化的效果.如果用于評估的樣本足夠描述網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的特征，那么優(yōu)化后的LSSVM模型可以高精確度地分類出網(wǎng)絡(luò)入侵事件.由于最優(yōu)參數(shù)的LSSVM算法在實(shí)際檢測過程中不再需要增加額外的計(jì)算量，因此，圖1所示的方法在計(jì)算時間復(fù)雜性上是可行的.

2 改進(jìn)算法設(shè)計(jì)

考慮到網(wǎng)絡(luò)入侵檢測的實(shí)時性與精確性要求，因此采用了差分演化算法(DE)[9]作為優(yōu)化LSSVM參數(shù)的核心技術(shù)，而DE是目前解決連續(xù)優(yōu)化問題最有效的算法之一.雖然DE算法在單目標(biāo)連續(xù)優(yōu)化問題的求解上表現(xiàn)出了較強(qiáng)的性能，但是在求解式(2)的優(yōu)化問題時容易陷入局部最優(yōu)解和收斂慢的困境，而擾動向量是對DE算法性能影響最大的一個因素.因此，筆者通過采用多個擾動向量設(shè)計(jì)擾動向量池來實(shí)現(xiàn)混合差分變異規(guī)則，從而提高算法的全局搜索能力和收斂速度.

2.1基于擴(kuò)展擾動向量池的混合差分演化算法

考慮到網(wǎng)絡(luò)數(shù)據(jù)的多樣性與入侵事件類型的穩(wěn)定性，筆者設(shè)計(jì)了混合策略用來改進(jìn)差分演化算法的性能.在混合策略中，將針對每一個混合步驟個體的變異設(shè)計(jì)多個擾動向量來生成新個體進(jìn)入下一代，通過混合策略可以計(jì)算多個擾動向量的新子代，然后選取最優(yōu)的進(jìn)入下一代.混合策略可以被分為兩類：①計(jì)算每一個擾動向量產(chǎn)生子代的最優(yōu)值，如果其中有優(yōu)過父代的則選取最優(yōu)的一個進(jìn)入下一代，反之繼續(xù)沿用父代個體;②構(gòu)建一個選擇模型用來預(yù)測每一代應(yīng)該通過哪一個擾動向量來產(chǎn)生新個體.通常一個好的預(yù)測模型可以在大多數(shù)迭代過程中選擇最優(yōu)的擾動向量.候選擾動向量的列表如式(3)～(15)所示.

(3)

(4)

(5)

(6)

(7)

(8)

由于公式(2)的優(yōu)化模型由網(wǎng)絡(luò)數(shù)據(jù)的樣本向量決定，基于網(wǎng)絡(luò)數(shù)據(jù)的多樣性，圖1所示的技術(shù)路線將造成優(yōu)化模型的動態(tài)變化，因此，單一的優(yōu)化策略難以有效地解決該問題.與經(jīng)典LSSVM參數(shù)優(yōu)化算法不同，混合使用多種擾動向量可以增加差分演化算法種群的多樣性.因此，可以參考基因算法的情況，每個個體可以選取同樣的個體來產(chǎn)生新的子代，這在數(shù)學(xué)上增加了個體的多樣性，參見圖2.

圖2 在2維空間內(nèi)解釋DE擾動向量組件Fig.2 Explained disturbance vector components of DE in the two-dimensional space

(9)

(10)

(11)

(12)

(13)

(14)

(15)

式(9)～(15)提出的擾動向量兼顧了局部搜索以及全局搜索的能力，在多樣性的優(yōu)化問題上比較容易取得穩(wěn)定的效果，可以彌補(bǔ)Storn和Price提出的差分演化擾動向量家族的不足.

2.2改進(jìn)差分演化算法的流程

按照式(3)～(15)選取擾動向量，流程如圖3所示.啟發(fā)式步驟包括：在差分演化算法初始化時，隨機(jī)從擾動向量池內(nèi)選擇一個擾動向量；運(yùn)行差分演化算法時，如果所選的擾動向量沒有進(jìn)一步優(yōu)化公式(2)的問題，重新隨機(jī)選擇一個不同于之前所選的擾動向量.

圖3 改進(jìn)差分演化算法的流程Fig.3 The process of improved differential evolution algorithm

當(dāng)基于新網(wǎng)絡(luò)數(shù)據(jù)的優(yōu)化問題生成時，即某個擾動向量不能使差分演化算法得到更優(yōu)解時，可以重新選擇擾動向量池內(nèi)的擾動向量.而擾動向量可以根據(jù)不同的優(yōu)化模型來選取，式(3)～(15)提供了備選擾動向量更新公式，它們都具有良好的可裝卸性.通過拆卸和組裝混合擾動向量池的擾動向量組合，可以更有效方便地解決不同類型網(wǎng)絡(luò)數(shù)據(jù)在圖1技術(shù)路線下形成的優(yōu)化問題：如單峰問題適合使用best驅(qū)動的擾動向量；多峰問題適合利用rand偏移來跳出局部最優(yōu)解.

3 仿真實(shí)驗(yàn)

3.1實(shí)驗(yàn)設(shè)置

本實(shí)驗(yàn)采用KDD CUP 99數(shù)據(jù)進(jìn)行離線測試，驗(yàn)證基于混合差分演化的網(wǎng)絡(luò)入侵檢測算法(簡記為HDE-SVM)的效率.筆者提出的HDE-LSSVM算法包含了差分演化和最小支持向量機(jī)兩部分，參數(shù)設(shè)置如下：LSSVM公式(2)中的參數(shù)由HDE算法優(yōu)化確定，采樣規(guī)模n設(shè)置為30.根據(jù)文獻(xiàn)[9-10]建議，HDE種群規(guī)模N設(shè)置為100，慣性權(quán)重w=0.5，CR=0.9.

3.2實(shí)驗(yàn)結(jié)果與分析

筆者提出的HDE-SVM算法采用6個節(jié)點(diǎn)進(jìn)行測試，通過KDD CUP 99的數(shù)據(jù)測試對比了PSO-SVM、PSO-LSSVM、投票方法[11]、DE-LSSVM、SaDE-LSSVM[12]和HDE-LSSVM的性能，研究結(jié)果以檢測準(zhǔn)確率和誤報(bào)率作為對比指標(biāo)，實(shí)驗(yàn)結(jié)果如表1所示.

表1 PSO-SVM、PSO-LSSVM、投票方法、DE-LSSVM、SaDE-LSSVM和HDE-LSSVM的對比實(shí)驗(yàn)結(jié)果

表1顯示，HDE-LSSVM在6個節(jié)點(diǎn)的網(wǎng)絡(luò)測試數(shù)據(jù)上有著比較穩(wěn)定的檢測準(zhǔn)確率和誤報(bào)率.雖然，HDE-LSSVM并沒有在每個節(jié)點(diǎn)相對其他方法取得最高準(zhǔn)確率，但是總體的平均準(zhǔn)確率次于投票方法.穩(wěn)定的高準(zhǔn)確率說明，HDE求得的最優(yōu)LSSVM模型可以達(dá)到穩(wěn)定且準(zhǔn)確分類的水平，提高了LSSVM的魯棒性.值得一提的是，HDE-LSSVM的誤報(bào)率相對較低，這說明了HDE比PSO達(dá)到了更高精度的優(yōu)化效果.

除此以外，還進(jìn)行了標(biāo)準(zhǔn)差分演化算法(DE)和自適應(yīng)差分演化算法(SaDE)優(yōu)化LSSVM的仿真實(shí)驗(yàn).實(shí)驗(yàn)結(jié)果表明，DE-LSSVM和SaDE-LSSVM在檢測準(zhǔn)確率和誤報(bào)率上都劣于PSO-LSSVM方法,這一現(xiàn)象也說明了Dastanpour等的觀點(diǎn)：網(wǎng)絡(luò)入侵檢測源數(shù)據(jù)的多樣性影響了演化算法優(yōu)化SVM的精度.筆者提出的HDE-LSSVM算法則彌補(bǔ)了這一缺陷，顯著提高了網(wǎng)絡(luò)入侵檢測的效率.

4 結(jié)論

筆者從優(yōu)化最小二乘支持向量機(jī)的關(guān)鍵參數(shù)入手，用差分演化算法取得了更高、更穩(wěn)定的優(yōu)化效率；并針對網(wǎng)絡(luò)數(shù)據(jù)的多樣性，研究設(shè)計(jì)了多種擾動向量豐富了差分演化算法的擾動向量池，實(shí)現(xiàn)了LSSVM的自適應(yīng)參數(shù)調(diào)優(yōu).實(shí)驗(yàn)結(jié)果表明，多擾動向量的策略大大提高了優(yōu)化性能，并且使得LSSVM在網(wǎng)絡(luò)入侵檢測上有更穩(wěn)定的平均性能.

[1] HU W M，GAO J，WANG Y G，et al. Online adaboost-based parameterized methods for dynamic distributed network intrusion detection[J]. IEEE transactions on cybernetics，2014，44(1)：66-82.

[2] 劉羿. 蝙蝠算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測[J].計(jì)算機(jī)仿真，2015，32(2)：311-314.

[3] 李振剛，甘泉. 改進(jìn)蟻群算法優(yōu)化SVM參數(shù)的網(wǎng)絡(luò)入侵檢測模型研究[J].重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版)，2014，26(6)：785-789.

[4] 王亞，熊焰，龔旭東，等. 基于混沌PSO算法優(yōu)化RBF網(wǎng)絡(luò)入侵檢測模型[J].計(jì)算機(jī)工程與應(yīng)用，2013，49(10)：84-87.

[5] DASTANPOUR A，IBRAHIM S，MASHINCHI R，et al. Comparison of genetic algorithm optimization on artificial neural network and support vector machine in intrusion detection system[J].Open systems，2014,77(10):72-77.

[6] 馬琰，閆兵. 基于混沌差分優(yōu)化算法的網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].科學(xué)技術(shù)與工程，2013,13(36)：10967-10970.

[7] 邊根慶，趙宏，張維琪，等. 基于免疫克隆與差分進(jìn)化的入侵檢測方法[J].微電子學(xué)與計(jì)算機(jī)，2012，29(5)：124-128.

[8] SAILAGA M，KUMAR R K，MURTY P S R. Intrusion detection model based on differential evolution [J]. International journal of computer applications，2011，36(6)：10-13.

[9] STORN R，PRICE K. Differential evolution-a simple and efficient heuristic for global optimization over continuous spaces[J].Journal of global optimization，1997，11(4)：341-359.

[10] BREST J，?UMER V，MAUCEC M. Self-adaptive differential evolution algorithm in constrained real-parameter optimization[J]. IEEE congress on evolutionary computation，2006,98：215-222.

[11] DENG W，YANG X，ZOU L，et al. An improved self-adaptive differential evolution algorithm and application[J].Chemometrics and intelligent laboratory systems，2013，128(15)：66-76.

[12] YU C C，CHEN J，HUANG Q，et al. A new hybrid differential evolution algorithm with simulated annealing and adaptive Gaussian immune[C]∥2012 8th IEEE International Conference on Natural Computation (ICNC).Chongqin, China: IEEE, 2012:600-607.

NetworkIntrusionDetectionAlgorithmBasedonHybridDifferentialEvolutionAlgorithm

WANG Yaoguang1, CHEN Weiquan1, WU Zhenbang1, QIN Yong2, HUANG Han3

(1.Guangdong Dongguan Quality Supervision Testing Center，Dongguan 523000, China; 2.School of Computer Science and Network Security, Dongguan University of Technology, Dongguan 523000, China; 3.School of Software Engineering, South China University of Technology, Guangzhou 510006, China)

Intrusion detection algorithm based on machine learning method is one of research hotspot in the field of network equipment testing. In the face of the real-world application requirement, machine learning methods should be further optimized to achieve accurate and stable detection effect. The study optimize steadily several key parameters of least squares support vector machine (SVM) by designing a hybrid differential evolution algorithm with disturbance vector and improved the intrusion detection accuracy and stability of least squares support vector machine (SVM) algorithm by means of adaptive parameter tuning. The experimental results in KDD Cup 09 test set showed that, the proposed network intrusion detection algorithm based on hybrid differential evolution algorithm had better performance on average than many similar algorithm at present.

network intrusion detection; stability test; hybrid differential evolution; least squares support vector machine

2017-05-20；

2017-07-18

國家自然科學(xué)基金資助項(xiàng)目(61370102)；廣東省高等院校學(xué)科與專業(yè)建設(shè)專項(xiàng)資金建設(shè)項(xiàng)目(2013KJCX0178)

王耀光(1964— )，男，廣東東莞人，廣東省東莞市質(zhì)量監(jiān)督檢測中心高級工程師，主要從事信息技術(shù)設(shè)備安全質(zhì)量評估方面的研究,E-mail:wyg@gddqt.com.

1671-6833(2017)06-0029-04

TP301.6

A

10.13705/j.issn.1671-6833.2017.06.006