熊云龍

摘 要： 針對(duì)目標(biāo)網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)存在大量高維和冗余特征，而現(xiàn)有入侵檢測(cè)方法僅定性選取特征，導(dǎo)致入侵檢測(cè)率低、誤報(bào)率高、實(shí)時(shí)性差的問(wèn)題，提出基于改進(jìn)遺傳算法的網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)選取方法。采用半監(jiān)督學(xué)習(xí)算法對(duì)歸一化處理后的數(shù)據(jù)進(jìn)行自動(dòng)標(biāo)記以獲取更大規(guī)模的網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)，將其作為入侵檢測(cè)模型的訓(xùn)練數(shù)據(jù)集；采用重采樣算法從訓(xùn)練數(shù)據(jù)集中隨機(jī)選取一個(gè)訓(xùn)練數(shù)據(jù)子集，計(jì)算訓(xùn)練數(shù)據(jù)子集中疑似入侵?jǐn)?shù)據(jù)特征的信息增益率，選取信息增益率最大的特征構(gòu)造有效疑似入侵?jǐn)?shù)據(jù)特征集；采用偏F檢驗(yàn)對(duì)特征進(jìn)一步選取，構(gòu)建待優(yōu)化疑似入侵?jǐn)?shù)據(jù)特征集，利用改進(jìn)的遺傳算法對(duì)待優(yōu)化特征集進(jìn)行優(yōu)化選擇，選取出最能反應(yīng)入侵狀態(tài)的數(shù)據(jù)集。實(shí)驗(yàn)結(jié)果表明，所提方法在確保入侵檢測(cè)率、誤報(bào)率盡可能低的前提下，有效提高了檢測(cè)效率。

關(guān)鍵詞： 遺傳算法； 網(wǎng)絡(luò)疑似入侵； 重采樣； 入侵檢測(cè)； 數(shù)據(jù)集； 優(yōu)化選擇

中圖分類號(hào)： TN915?34； TP393.08 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2018）22?0163?03

Abstract： The suspected intrusion data of the target network has a large quantity of high?dimensional and redundant features， and the current intrusion detection method can only select features qualitatively， resulting in problems of low intrusion detection rate， high false alarm rate， and poor real?time performance. Therefore， an optimal data selection method based on the improved genetic algorithm is proposed for suspected network intrusion. The semi?supervised learning algorithm is used to automatically mark the normalized processing data， so as to obtain a large scale of suspected network intrusion data， which is taken as the training data set of the intrusion detection model. The re?sampling algorithm is adopted to randomly select a training data subset from the training data set. The information gain rates of suspected intrusion data features in the training data subset are calculated. The features with the highest information gain rates are selected to construct the suspected valid intrusion data feature set. The partial F?detection is adopted to further select features， so as to construct the to?be optimized feature set of suspected intrusion data. The improved genetic algorithm is used to optimize the selection of the to?be optimized feature set， so as to select out the data set that can best reflect the intrusion state. The experimental results show that the proposed method can effectively improve the detection efficiency on the premise of ensuring the intrusion detection rate and false alarm rate as low as possible.

Keywords： genetic algorithm； suspected network intrusion； re?sampling； intrusion detection； data set； optimization selection

隨著計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)及應(yīng)用的飛速發(fā)展和日益普及，其安全問(wèn)題也逐漸顯現(xiàn)出來(lái)[1?2]。如何采用有效方式防御目標(biāo)網(wǎng)絡(luò)免受入侵，成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域亟待解決的主要問(wèn)題[3]。入侵檢測(cè)系統(tǒng)作為監(jiān)測(cè)網(wǎng)絡(luò)事件的一種系統(tǒng)，通過(guò)對(duì)疑似入侵?jǐn)?shù)據(jù)的分析來(lái)發(fā)現(xiàn)攻擊行為，這些數(shù)據(jù)多數(shù)來(lái)自于系統(tǒng)和應(yīng)用程序，通常含有大量高維和冗余數(shù)據(jù)，若不對(duì)這些數(shù)據(jù)進(jìn)行有效處理，將會(huì)對(duì)入侵檢測(cè)效果產(chǎn)生影響[4]。在這種情況下，如何有效地從網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)中獲取最有可能的攻擊數(shù)據(jù)，是對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行安全評(píng)估的重要措施，對(duì)于提高網(wǎng)絡(luò)入侵檢測(cè)性能具有重要意義[5?6]。

目前，很多學(xué)者通過(guò)采用不同的特征選取方法對(duì)網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)進(jìn)行選取，例如文獻(xiàn)[7]提出一種基于互信息的網(wǎng)絡(luò)疑似入侵特征選取方法。在對(duì)目標(biāo)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)處理過(guò)程中，結(jié)合互信息理論選取出網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)最優(yōu)特征，結(jié)合支持向量機(jī)算法對(duì)最優(yōu)數(shù)據(jù)特征進(jìn)行分類完成檢測(cè)。文獻(xiàn)[8]提出基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)疑似入侵特征選取方法，利用層次分析法調(diào)整影響網(wǎng)絡(luò)疑似入侵特征選取的參數(shù)權(quán)重并構(gòu)建模糊判斷矩陣，通過(guò)該矩陣調(diào)整參數(shù)概率來(lái)優(yōu)化蛙跳算法。當(dāng)前方法對(duì)網(wǎng)絡(luò)疑似入侵攻擊的檢測(cè)具有較好的檢測(cè)性能，但均沒(méi)有考慮到未被選取的疑似入侵特征中含有的分類信息，導(dǎo)致入侵檢測(cè)過(guò)程耗時(shí)長(zhǎng)，且存在較高的誤報(bào)率。

針對(duì)上述問(wèn)題，提出基于改進(jìn)遺傳算法的網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)選取方法。仿真實(shí)驗(yàn)結(jié)果表明，所提算法在保證入侵檢測(cè)精度的前提下，降低了網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)特征維度，提高了檢測(cè)效率。

1 基于改進(jìn)遺傳算法的疑似入侵最優(yōu)數(shù)據(jù)選取

采用min?max標(biāo)準(zhǔn)化法對(duì)目標(biāo)網(wǎng)絡(luò)數(shù)據(jù)集進(jìn)行歸一化處理，對(duì)歸一化處理后的數(shù)據(jù)使用半監(jiān)督學(xué)習(xí)算法進(jìn)行自動(dòng)標(biāo)記以獲取更大規(guī)模的網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)，并將其作為入侵檢測(cè)模型的訓(xùn)練數(shù)據(jù)集；采用重采樣算法從訓(xùn)練數(shù)據(jù)集中隨機(jī)選取一個(gè)訓(xùn)練數(shù)據(jù)子集，計(jì)算訓(xùn)練數(shù)據(jù)子集中疑似入侵?jǐn)?shù)據(jù)特征的信息增益率，選取信息增益率最大的疑似入侵?jǐn)?shù)據(jù)特征，構(gòu)造有效疑似入侵?jǐn)?shù)據(jù)特征集[9?10]。

采用偏F檢驗(yàn)對(duì)構(gòu)建的有效疑似入侵?jǐn)?shù)據(jù)特征集進(jìn)一步選取，構(gòu)建待優(yōu)化疑似入侵?jǐn)?shù)據(jù)特征集，利用改進(jìn)的遺傳算法對(duì)待優(yōu)化特征集進(jìn)行優(yōu)化選擇，選取出最能反應(yīng)入侵狀態(tài)的數(shù)據(jù)集，具體過(guò)程如下。

式中：[β]表示模型中復(fù)相關(guān)系數(shù)。其中有[m′]個(gè)自變量的入侵檢測(cè)模型中復(fù)相關(guān)系數(shù)的平方和為[R2]，去除自變量[xi]后模型中的復(fù)相關(guān)系數(shù)的平方和為[R2i]。[ΔR2i=R2-R2i]，假設(shè)[ΔR2i]的值越趨近于零，則說(shuō)明變量[xi]對(duì)變量[y]沒(méi)有顯著影響；假設(shè)[ΔR2i]的值較大，說(shuō)明變量[xi]對(duì)變量[y]的影響越大。

上述過(guò)程等同于檢驗(yàn)假設(shè)，[H0：ΔR2i=0]，[H1：ΔR2i≠0]?？蓪⑦@種檢驗(yàn)方式稱之為偏F檢驗(yàn)，作為網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)特征變量篩選的依據(jù)。通過(guò)偏F檢驗(yàn)的疑似入侵?jǐn)?shù)據(jù)特征集稱作待優(yōu)化疑似入侵?jǐn)?shù)據(jù)特征集，表示為[L′]。

采用改進(jìn)的遺傳算法對(duì)網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)特征進(jìn)行尋優(yōu)，設(shè)定[p（x）]表示種群中個(gè)體[x]的全部基因相應(yīng)的疑似入侵?jǐn)?shù)據(jù)特征中，含有攻擊信息量大于給定閾值N的特征概率，即個(gè)體變異概率。用[t]表示當(dāng)前階段種群迭代次數(shù)，[T]表示進(jìn)化總代數(shù)，[p（x）logtT]表示種群適應(yīng)度函數(shù)。在種群迭代過(guò)程中，統(tǒng)計(jì)各個(gè)節(jié)點(diǎn)的交換概率，當(dāng)該值小于給定閾值[N]時(shí)，說(shuō)明網(wǎng)絡(luò)疑似入侵特征為最重要特征的幾率較小，以交叉概率[P（xj）=ci?xj?placeci?length]在染色體之間進(jìn)行基因交叉操作。其中，[ci?xj?place]用于描述與基因[xj]具有相同編號(hào)的基因在染色體中的排列位置，[ci?length]表示染色體長(zhǎng)度。

式中：[xj]用于描述染色體基因；[m″]表示染色體執(zhí)行變異操作后的長(zhǎng)度；[H（xj）]表示個(gè)體含有的信息量。

假設(shè)，[p（c）]表示全部個(gè)體中高[n]位中出現(xiàn)相同模式的個(gè)體閾值概率，[T]表示最大迭代次數(shù)。當(dāng)滿足以上兩個(gè)條件中的其中一個(gè)時(shí)算法截止。從中選取高[n]位模式相同的染色體，將含有“1”的數(shù)量較少的個(gè)體作為最優(yōu)解，則該染色體中編碼為“1”的節(jié)點(diǎn)相應(yīng)的網(wǎng)絡(luò)疑似入侵特征即為被選取的最優(yōu)數(shù)據(jù)特征，用由[K2]表示，這些特征構(gòu)造最能反應(yīng)可選取得到入侵狀態(tài)的數(shù)據(jù)集，表示為[L″]：

2 實(shí)驗(yàn)結(jié)果與分析

為了驗(yàn)證基于改進(jìn)遺傳算法的網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)選取方法的綜合有效性，需要進(jìn)行一次仿真實(shí)驗(yàn)。實(shí)驗(yàn)環(huán)境配置為：CPU為Intel Core i7 2.50 GHz；內(nèi)存為8 GB；操作系統(tǒng)為Windows 7 32位，采用Matlab仿真軟件搭建網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)實(shí)驗(yàn)平臺(tái)，實(shí)驗(yàn)數(shù)據(jù)來(lái)源于KDD99數(shù)據(jù)集，該數(shù)據(jù)集包含多條攻擊連接記錄。為了驗(yàn)證所提方法選取的網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)對(duì)未知攻擊類型的有效性，設(shè)定的訓(xùn)練數(shù)據(jù)集中僅含有5種攻擊類型，測(cè)試數(shù)據(jù)集中含有4種攻擊類型（DOS，U2R，R2L，Proce）。

式中：[DR]用于描述檢測(cè)率；[DC]表示檢測(cè)出的疑似入侵?jǐn)?shù)據(jù)的數(shù)量；[AC]表示真實(shí)入侵?jǐn)?shù)據(jù)的數(shù)量；[FPR]表示誤報(bào)率；[MIC]表示正常網(wǎng)絡(luò)數(shù)據(jù)被誤報(bào)為入侵?jǐn)?shù)據(jù)的數(shù)量；[NIC]表示正常網(wǎng)絡(luò)數(shù)據(jù)的數(shù)量。實(shí)驗(yàn)結(jié)果如表1所示。

分析表1可知，所提方法通過(guò)進(jìn)行網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)選取，有效降低了數(shù)據(jù)維度。相比原始數(shù)據(jù)全集，檢測(cè)率提高了7.7%，誤報(bào)率降低了2%，驗(yàn)證了所提方法的有效性。

為了驗(yàn)證所提方法的優(yōu)越性，將所提方法與基于互信息的網(wǎng)絡(luò)入侵特征選取方法以及基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法進(jìn)行入侵檢測(cè)實(shí)驗(yàn)。將得到的檢測(cè)率和誤報(bào)率進(jìn)行對(duì)比，對(duì)比結(jié)果如表2所示。為了簡(jiǎn)化描述，將所提方法、基于互信息的網(wǎng)絡(luò)入侵特征選取方法以及基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法描述為A，M，U。

分析表2結(jié)果可知，基于互信息的網(wǎng)絡(luò)入侵特征選取方法的檢測(cè)率要高于基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法，主要原因在于基于互信息的網(wǎng)絡(luò)入侵特征選取方法對(duì)目標(biāo)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行了預(yù)處理操作，去除了冗余數(shù)據(jù)和干擾數(shù)據(jù)。所提方法的檢測(cè)率要更優(yōu)于基于互信息的網(wǎng)絡(luò)入侵特征選取方法，主要原因在于所提方法利用改進(jìn)的遺傳算法找到了最能反應(yīng)入侵狀態(tài)的數(shù)據(jù)集。實(shí)驗(yàn)結(jié)果表明，所提方法是有效的，且優(yōu)于現(xiàn)行的其他方法。

對(duì)所提方法、基于互信息的網(wǎng)絡(luò)入侵特征選取方法，以及基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法進(jìn)行入侵檢測(cè)實(shí)驗(yàn)，得到的檢測(cè)時(shí)間結(jié)果如圖1所示。為了簡(jiǎn)化描述，將所提方法、基于互信息的網(wǎng)絡(luò)入侵特征選取方法以及基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法分別描述為A，M，U。

分析圖1可知，隨著檢測(cè)數(shù)據(jù)量的不斷增加，不同方法相應(yīng)的檢測(cè)時(shí)間均呈現(xiàn)出逐漸上升的趨勢(shì)，但基于互信息的網(wǎng)絡(luò)入侵特征選取方法相應(yīng)的檢測(cè)時(shí)間與所提方法相比多了1倍，基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法比所提方法的檢測(cè)時(shí)間多了近2倍。這對(duì)目標(biāo)網(wǎng)絡(luò)入侵檢測(cè)實(shí)時(shí)性具有重要意義。

3 結(jié) 論

針對(duì)當(dāng)前網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)選取方法存在的誤報(bào)率高、檢測(cè)耗時(shí)長(zhǎng)等問(wèn)題，提出基于改進(jìn)遺傳算法的網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)方法，有效提高了網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)檢測(cè)效率，保證了網(wǎng)絡(luò)入侵檢測(cè)模型的檢測(cè)精度，同時(shí)降低了檢測(cè)誤報(bào)率。

參考文獻(xiàn)

[1] 顧艷林.大數(shù)據(jù)驅(qū)動(dòng)下網(wǎng)絡(luò)入侵信號(hào)提取檢測(cè)仿真[J].計(jì)算機(jī)仿真，2017，34（9）：370?373.

GU Yanlin. Simulation of network intrusion signal extraction and detection based on big data drive [J]. Computer simulation， 2017， 34（9）： 370?373.

[2] 吳麗云，李生林，甘旭升，等.基于PLS特征提取的網(wǎng)絡(luò)異常入侵檢測(cè)CVM模型[J].控制與決策，2017，32（4）：755?758.

WU Liyun， LI Shenglin， GAN Xusheng， et al. Network anomaly intrusion detection CVM model based on PLS feature extraction [J]. Control and decision， 2017， 32（4）： 755?758.

[3] 安尼瓦爾·加馬力，亞森·艾則孜，木尼拉·塔里甫.基于連接數(shù)據(jù)分析和OSELM分類器的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)應(yīng)用研究，2017，34（12）：3749?3752.

Anwar Jamal， Yasen Aizezi， Munila Talifu. Network intrusion detection system based on connection data analysis and OSELM classifier [J]. Application research of computers， 2017， 34（12）： 3749?3752.

[4] 韓紅光，周改云.基于Markov鏈狀態(tài)轉(zhuǎn)移概率矩陣的網(wǎng)絡(luò)入侵檢測(cè)[J].控制工程，2017，24（3）：698?704.

HAN Hongguang， ZHOU Gaiyun. A network intrusion detection method based on fusion of Markov chain state transfer probability matrix [J]. Control engineering of China， 2017， 24（3）： 698?704.

[5] 莊夏.基于互信息特征選擇和LSSVM的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].中國(guó)測(cè)試，2017，43（11）：134?139.

ZHUANG Xia. Network intrusion detection system based on mutual information feature selection and LSSVM [J]. China measurement & testing technology， 2017， 43（11）： 134?139.

[6] 劉云，向嬋，王?；?基于互信息的特征選擇在入侵檢測(cè)中的優(yōu)化[J].西北大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，47（5）：666?673.

LIU Yun， XIANG Chan， WANG Haihua. Optimization of feature selection based on mutual information in intrusion detection [J]. Journal of Northwest University （Natural science edition）， 2017， 47（5）： 666?673.

[7] 彭平，孫立新，王鐵柱，等.基于自適應(yīng)蛙跳算法的入侵檢測(cè)特征選擇[J].濟(jì)南大學(xué)學(xué)報(bào)（自然科學(xué)版），2016，30（2）：129?132.

PENG Ping， SUN Lixin， WANG Tiezhu， et al. Intrusion detection feature selection based on adaptive frog leaping algorithm [J]. Journal of University of Jinan （Science and technology）， 2016， 30（2）： 129?132.

[8] 陳虹，萬(wàn)廣雪，肖振久.基于優(yōu)化數(shù)據(jù)處理的深度信念網(wǎng)絡(luò)模型的入侵檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用，2017，37（6）：1636?1643.

CHEN Hong， WAN Guangxue， XIAO Zhenjiu. Intrusion detection method of deep belief network model based on optimization of data processing [J]. Journal of computer applications， 2017， 37（6）： 1636?1643.

[9] 高一為，周?？?，賴英旭，等.基于仿真建模的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法研究[J].通信學(xué)報(bào)，2017，38（7）：186?198.

GAO Yiwei， ZHOU Ruikang， LAI Yingxu， et al. Research on industrial control system intrusion detection method based on simulation modelling [J]. Journal on communications， 2017， 38（7）： 186?198.

[10] 崔君榮，尚文利，萬(wàn)明，等.基于半監(jiān)督分簇策略的工控入侵檢測(cè)[J].信息與控制，2017，46（4）：462?468.

CUI Junrong， SHANG Wenli， WAN Ming， et al. Intrusion detection of industrial control based on semi?supervised clustering strategy [J]. Information and control， 2017， 46（4）： 462?468.