王 偉，代 紅，趙斯祺

(遼寧科技大學(xué) 計算機與軟件工程學(xué)院，遼寧 鞍山 114051)

0 引 言

及時發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為或入侵意圖，將成為保護網(wǎng)絡(luò)安全的主要手段。防火墻是計算機網(wǎng)絡(luò)內(nèi)第一道相對隔絕的保護屏障，而網(wǎng)絡(luò)入侵檢測作為繼其之后的又一層防御，已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵技術(shù)之一[1]。近年來，入侵檢測技術(shù)得到了廣泛地研究。戴遠飛等[2]提出對網(wǎng)絡(luò)入侵數(shù)據(jù)進行特征選擇，采用不同離散化方法生成多個不同的最佳屬性子集，隨后進行分類預(yù)測，經(jīng)過實驗驗證這種方法有效提高了檢測率，并且縮短了建模時間。顧兆軍等[3]利用極限學(xué)習(xí)機和K近鄰算法對數(shù)據(jù)進行篩選，并以此構(gòu)建入侵檢測模型，該模型解決了傳統(tǒng)神經(jīng)網(wǎng)絡(luò)算法容易陷入局部極小的問題，并且提高了檢測攻擊的準確率。張睿哲等[4]利用相關(guān)性分析和自適應(yīng)遺傳算法對數(shù)據(jù)進行篩選，隨后選取支持向量機作為分類器進行建模測試。結(jié)果表明，該方法明顯提高了網(wǎng)絡(luò)入侵檢測率。

現(xiàn)有對于網(wǎng)絡(luò)入侵檢測的研究一般有以下幾個局限：①缺乏關(guān)鍵特征的挖掘能力；②U2R、R2L檢測率較低；③忽略了建模時間的重要性。本文圍繞這3個問題，通過對網(wǎng)絡(luò)入侵行為進行數(shù)據(jù)預(yù)處理和特征優(yōu)化，并利用優(yōu)化改進的BP神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)入侵行為進行分類和預(yù)測。

1 相關(guān)知識

1.1 SMOTE技術(shù)與隨機采樣技術(shù)

SMOTE技術(shù)是一種經(jīng)典的合成少數(shù)類過采樣技術(shù)，常用于處理不均衡數(shù)據(jù)。它對少數(shù)類數(shù)據(jù)進行剖析，進而模擬少數(shù)類數(shù)據(jù)構(gòu)建出新的數(shù)據(jù)，增添到原始數(shù)據(jù)集中，使原始數(shù)據(jù)集中的數(shù)據(jù)類別不再嚴重失衡。算法流程如下[5]：

(1)對于每一個少數(shù)類樣本x，計算它到少數(shù)類樣本集中所有樣本的歐氏距離，得到其k近鄰；

(2)根據(jù)樣本不平衡比例,設(shè)置少數(shù)類樣本需要擴大的倍數(shù)。對于每一個少數(shù)類樣本x，從其k近鄰中隨意選取的樣本設(shè)為xi；

(3)對于每一個隨機選中的樣本點，按式(1)構(gòu)造新的樣本xnew

xnew=x+rand(0,1)×(xi-x)

(1)

隨機采樣技術(shù)是指在待抽數(shù)據(jù)集中按照隨機原則抽取一些數(shù)據(jù)進行分析，根據(jù)分析結(jié)果推論整個數(shù)據(jù)集[6]。待抽數(shù)據(jù)集中每條數(shù)據(jù)都有相同被抽中的機會。簡單隨機采樣分為重復(fù)抽樣和不重復(fù)抽樣兩種方式，是一種最基礎(chǔ)的抽樣方法。在重復(fù)抽樣中，每次抽中的數(shù)據(jù)仍重置回數(shù)據(jù)集中，即同一條數(shù)據(jù)有被多次抽中的可能。在不重復(fù)抽樣中，抽中的數(shù)據(jù)直接從數(shù)據(jù)集中剔除，即一條數(shù)據(jù)最多只能被抽中一次。

1.2 特征重要性衡量

一個特征是否對分類系統(tǒng)有意義，衡量標準就是看特征存在與否是否對分類有影響，若有說明這個特征很關(guān)鍵。假設(shè)有一個變量Y，Y可能的變化越多，則它對分類結(jié)果的貢獻越大，說明Y越重要。Y的熵即是Y對分類結(jié)果的貢獻。

一個變量的熵可以體現(xiàn)其不確定性。假設(shè)隨機變量Y有n個取值，每一個取值被選中的幾率是P(Y=yi)=pi,(i=1,2,…，n)。因此Y的熵為

(2)

(3)

(1)信息增益

在集合中，熵的大小與樣本的不確定性呈正相關(guān)[7]。因此特征劃分前后集合熵的差值可以作為特征對于樣本集合S劃分結(jié)果貢獻大小的權(quán)衡準則。首先使用特征F對樣本集合S進行劃分，劃分前樣本集合S的熵是一定的，再計算劃分后的樣本子集的熵。特征F的信息增益g(S,F)是利用F對S進行劃分前后熵的差值所得，如式(4)所示

g(S,F)=H(S)-H(S|F)

(4)

在計算特征F的信息增益時，劃分歸類前的熵是不變的。F的不確定性越大，樣本集合根據(jù)F進行劃分歸類可以獲得分類更明確的子集。即歸類之后的熵越小，信息增益越大。因此信息增益?zhèn)戎夭淮_定性較大的特征。

(2)信息增益率

信息增益率gR(S,F)如式(5)所示

(5)

其中，HF(S)表示特征F作為隨機變量對于樣本集合S求得的經(jīng)驗熵，如式(6)所示

(6)

信息增益率本質(zhì)是在信息增益的基礎(chǔ)上乘以一個懲罰參數(shù)。以特征F作為隨機變量時，懲罰參數(shù)就是數(shù)據(jù)集S的熵的倒數(shù)。當特征取值類型較少時，經(jīng)驗熵值較小，懲罰參數(shù)較大，則信息增益率較大；特征取值類型較多時則相反。因而信息增益率偏向取值類型較少的特征。

(3)相關(guān)屬性

相關(guān)屬性(correlation attribute)是根據(jù)單個屬性和類別的相關(guān)性進行選擇，進而為每個類別值創(chuàng)建一個二進制指標屬性，針對每個指標屬性分別計算與相關(guān)預(yù)測變量屬性有關(guān)的Pearson相關(guān)系數(shù)。Pearson相關(guān)系數(shù)r如式(7)[8]所示

(7)

其中，Cov(x,y)為x與y的協(xié)方差，Var(x)為x的標準差，Var(y)為y的標準差。一個屬性的整體相關(guān)性為這些單個相關(guān)性系數(shù)的加權(quán)算術(shù)平均值，每個系數(shù)由相應(yīng)類別中的數(shù)據(jù)量加權(quán)得到。

1.3 BP神經(jīng)網(wǎng)絡(luò)

BP神經(jīng)網(wǎng)絡(luò)是一種多層前饋神經(jīng)網(wǎng)絡(luò)，采用梯度下降算法實現(xiàn)收斂[9]。經(jīng)過反復(fù)權(quán)值校正，達到最終期望。BP神經(jīng)網(wǎng)絡(luò)包括輸入層、隱含層和輸出層，其中隱含層的層數(shù)可以根據(jù)需求隨意設(shè)計。隱含層可以進行信息傳遞和互換，負責信息處置。如圖1所示，本文采用了包含單隱含層的三層BP神經(jīng)網(wǎng)絡(luò)。圖中X1，X2，…，Xi為輸入值，Wij和Wjk為權(quán)重，隱含層節(jié)點由激活函數(shù)訓(xùn)練，Yi為輸出值。

圖1 BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

BP神經(jīng)網(wǎng)絡(luò)算法包括由數(shù)據(jù)的前向傳播和誤差的反向傳播兩個過程。前向傳播時，數(shù)據(jù)進入輸入層各神經(jīng)元，傳遞給隱含層各神經(jīng)元，最后到達輸出層產(chǎn)生輸出。如果輸出與預(yù)期不符，進入誤差的反向傳播階段。誤差通過輸出層到隱含層，最后到輸入層，各層按梯度方向下降方式調(diào)整權(quán)值。經(jīng)過反復(fù)學(xué)習(xí)訓(xùn)練，直到實際輸出與預(yù)期相符，或者達到設(shè)置好的迭代次數(shù)，模型建立完成。此時經(jīng)過訓(xùn)練的BP神經(jīng)網(wǎng)絡(luò)模型已經(jīng)具有很強的泛化能力，能夠?qū)νN類型的未知數(shù)據(jù)進行準確的分類。

2 基于特征優(yōu)化和BP神經(jīng)網(wǎng)絡(luò)的AS-BP入侵檢測方法

基于特征優(yōu)化和BP神經(jīng)網(wǎng)絡(luò)的入侵檢測方法AS-BP(intrusion detection method based on feature optimization and BP neural network)框架如圖2所示。在網(wǎng)絡(luò)入侵檢測過程中，引入SMOTE技術(shù)和隨機采樣技術(shù)對網(wǎng)絡(luò)入侵數(shù)據(jù)進行平衡約簡，利用集成方法權(quán)衡特征取舍，進行重要特征提取，降低數(shù)據(jù)處理維度，最后采用BP神經(jīng)網(wǎng)絡(luò)對數(shù)據(jù)進行判斷完成預(yù)測。

圖2 AS-BP框架

2.1 SMOTE與隨機采樣處理數(shù)據(jù)

各種攻擊數(shù)量的極大不平衡是目前的網(wǎng)絡(luò)入侵檢測領(lǐng)域面臨的一個重要關(guān)卡[10]。某些攻擊檢測率極低的主要誘因就是攻擊類別的連接記錄數(shù)量過少。在本文使用的KDD CUP 99數(shù)據(jù)集中，各類攻擊數(shù)據(jù)量分布極不平衡，Probe、DoS攻擊數(shù)量巨大，有上萬條記錄，R2L、U2R數(shù)據(jù)量卻只有幾百條。而在網(wǎng)絡(luò)入侵檢測中，把DoS攻擊判斷錯誤的危害遠遠大于把U2R攻擊判斷錯誤的危害[11]。因此，目前網(wǎng)絡(luò)入侵檢測的首要任務(wù)是全面提高各種攻擊識別率尤其是少數(shù)類攻擊的識別率。針對上述問題，本文采用過采樣與隨機采樣相結(jié)合的方式進行網(wǎng)絡(luò)入侵數(shù)據(jù)平衡。使用SMOTE過采樣方法對數(shù)據(jù)集中少數(shù)類別U2R和R2L進行人工合成，并采用隨機采樣方法對多數(shù)類Normal、DoS和Probe進行不重復(fù)隨機采樣，得到各類別數(shù)據(jù)量相對平衡的狀態(tài)。如此保證了模型對各種攻擊類型數(shù)據(jù)的學(xué)習(xí)，以提高各類攻擊的識別率，同時提高模型整體性能。

2.2 集成方法進行特征優(yōu)化

在特征優(yōu)化中，特征對于系統(tǒng)預(yù)測結(jié)果是否有關(guān)鍵性作用決定特征能否保留，特征對于預(yù)測結(jié)果越關(guān)鍵被留用的機會就越大[12]。

在前文介紹的3種特征重要性衡量標準中，信息增益偏向取值較多的特征，信息增益率偏向取值較少的特征，相關(guān)屬性則是根據(jù)單個屬性和類別的相關(guān)性進行選擇。

由于這3種特征重要性衡量標準各有千秋，所以采用集成方法降低網(wǎng)絡(luò)入侵數(shù)據(jù)處理維度。采用這3種方法分別對數(shù)據(jù)特征進行關(guān)鍵性權(quán)衡，判斷特征是否對分類結(jié)果有關(guān)鍵性作用，并根據(jù)特征對于分類結(jié)果作用大小進行排列。采用中值法集成3組排列結(jié)果，并以此作為最終特征關(guān)鍵性的排序，據(jù)其進行數(shù)據(jù)特征篩選，并進行實驗。選擇模型分類精度最高時的特征子集作為最終特征優(yōu)化結(jié)果。本文所提出的特征優(yōu)化算法描述如下所示：

輸入：入侵檢測數(shù)據(jù)集S=(N,P,D,U,R)，屬性集A

輸出：數(shù)據(jù)集S=(N,P,D,U,R)的特征優(yōu)化子集F’

(1)計算信息增益g(S,A)，按值從大到小排序，記為{Gi}

(2)計算信息增益率gR(S,A)，按值從大到小排序，記為{Ri}

(3)計算相關(guān)屬性CorrelationAttribute(S,A)，按值從大到小排序，記為{Ci}

(4)集成三組排序Ti=Gi∪Ri∪Ci

(5)DoubleAcc=0,inti=7

//Acc為準確率，i為保留特征個數(shù)

(6)Whilei<42

(7) 特征約簡集F=S∩Ti

(8) 輸入BP神經(jīng)網(wǎng)絡(luò)，得到準確率記為accuracy(i)

(9) ifaccuracy(i)>Accthen

(10)F’=? //初始特征子集設(shè)為空集

(11)Acc←accuracy(i)

(12)F’=F∪F’

//F’為準確率最高時的特征約簡集

(13) End if

(14)i←i+5

(15)End while

(16)輸出特征優(yōu)化子集F’

2.3 優(yōu)化BP神經(jīng)網(wǎng)絡(luò)

(8)

這個誤差也稱為一條數(shù)據(jù)的方差，但在實際輸入中一定不止一條數(shù)據(jù)，因此不能只考慮一條數(shù)據(jù)的誤差Eq最小。對于BP神經(jīng)網(wǎng)絡(luò)而言，必須考慮所有數(shù)據(jù)產(chǎn)生的整體偏差，將整體偏差降到最小才是BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練目標。這個整體偏差ET可表示為

(9)

這個偏差也稱為所有數(shù)據(jù)的方差和。

設(shè)ω為神經(jīng)網(wǎng)絡(luò)的任一連接權(quán)值，按照梯度下降，權(quán)值的修正量Δω為

(10)

其中，η為一個[0,1]的小數(shù)，稱為學(xué)習(xí)率。這種權(quán)值修正方法是將所有訓(xùn)練數(shù)據(jù)輸入BP神經(jīng)網(wǎng)絡(luò)后，計算整個訓(xùn)練數(shù)據(jù)的綜合誤差，據(jù)此進行一次權(quán)值修正。

在BP神經(jīng)網(wǎng)絡(luò)中，學(xué)習(xí)率與神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)過程的平穩(wěn)性息息相關(guān)[13]。BP神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)過程就像是描摹一條曲線，學(xué)習(xí)率越小，描摹的越精細，但同時學(xué)習(xí)速度也會降低，學(xué)習(xí)時間就會越長；學(xué)習(xí)率越大，描摹的跨度越大，學(xué)習(xí)的速度越快，但可能會失去很多曲線的扭曲信息，導(dǎo)致描摹的曲線局部直線化嚴重。由式(10)可以得知，η越大，Δω就會越大，可能會導(dǎo)致權(quán)值在修正過程中低于某個誤差的極小值，造成權(quán)值不收斂。一般情況下，大的學(xué)習(xí)率可以加快模型訓(xùn)練速度，但是只有誤差變化較小時可以考慮大的學(xué)習(xí)率；小的學(xué)習(xí)率可以保證模型收斂，因而當誤差大幅度變化時，可以選取較小的學(xué)習(xí)率。為了找到適合本實驗的最佳學(xué)習(xí)率，本文進行了反復(fù)實驗，不斷調(diào)試BP神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)率，最終模型可以達到最好效果。

在BP神經(jīng)網(wǎng)絡(luò)中，往往需要學(xué)習(xí)很多次樣本特征來提高模型的泛化能力，而神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)的次數(shù)就是迭代次數(shù)[14]。迭代次數(shù)過少，BP神經(jīng)網(wǎng)絡(luò)模型對樣本規(guī)律的學(xué)習(xí)程度不夠，可能導(dǎo)致模型分類準確性不夠，但迭代次數(shù)過多又會導(dǎo)致模型對樣本學(xué)習(xí)過度，所以需要慎重選擇最大迭代次數(shù)，使得模型達到最佳分類效果。使用上一小節(jié)經(jīng)過平衡約簡和特征優(yōu)化的數(shù)據(jù)集作為實驗數(shù)據(jù)，不斷調(diào)試設(shè)置最大迭代次數(shù)，得到適合本實驗的最佳迭代次數(shù)。

3 實驗分析

本文利用Weka2019軟件進行數(shù)據(jù)預(yù)處理并建立BP神經(jīng)網(wǎng)絡(luò)模型。使用KDD CUP 99網(wǎng)絡(luò)入侵檢測公共數(shù)據(jù)集(以下均稱KDD CUP 99數(shù)據(jù)集)，數(shù)據(jù)集中包含了22種攻擊類型和一種正常標識類型，對這些攻擊類型進行劃分合并，得到Normal、DoS、Probe、U2R和R2L這5種類型數(shù)據(jù)。本文在實驗中采用了十折交叉驗證的方法，利用SMOTE技術(shù)和隨機采樣得到的16 055條實驗數(shù)據(jù)，測得BP神經(jīng)網(wǎng)絡(luò)模型檢測攻擊的準確率、精確率和召回率等。

3.1 特征優(yōu)化

由于數(shù)據(jù)量較大且分布不平衡，本文對數(shù)據(jù)進行了預(yù)處理，使其分類效果更加明確。數(shù)據(jù)預(yù)處理過程分為4步：

(1)對原始數(shù)據(jù)集進行SMOTE過采樣和隨機采樣處理，以達到數(shù)據(jù)平衡。本文中，無放回對Normal隨機抽取10%、DoS隨機抽取13%、Probe隨機抽取50%，U2R、R2L利用SMOTE技術(shù)分別擴大110倍和50倍，得到各分類標簽數(shù)據(jù)量相對平衡且數(shù)據(jù)約簡的狀態(tài)。

(2)進行網(wǎng)絡(luò)入侵數(shù)據(jù)特征重要性排序，根據(jù)實驗結(jié)果剔除部分對分類結(jié)果貢獻不大的特征屬性。由于數(shù)據(jù)集中數(shù)據(jù)量較多，對于建立模型及測試都會耗費許多時間，為了能夠更快建立模型并進行測試，可以刪除數(shù)據(jù)中部分與分類結(jié)果相關(guān)性較小的屬性，這樣可以極大地縮短建模時間，同時又不降低分類結(jié)果的準確率。為此，本文利用信息增益、信息增益率、相關(guān)屬性分別進行特征重要性排序，最后采用中值法集成最終排序結(jié)果，根據(jù)排序結(jié)果進行實驗，確定特征提取結(jié)果。本文分別對刪除排名后5/10/15/20/25/30/35后的數(shù)據(jù)進行實驗，得到各個情況下分類的準確率如圖3所示。

圖3 特征選擇實驗對比

由圖3中可以得出在刪除排名后15個數(shù)據(jù)特征時分類模型準確率最高，達到97%，所以本文選擇刪除特征重要性排名后15個特征后的約簡數(shù)據(jù)作為實驗數(shù)據(jù)。

(3)用屬性映射法將字符型特征數(shù)據(jù)數(shù)值化。KDD CUP 99數(shù)據(jù)集的每條連接記錄是由38個數(shù)字特征和3個符號型特征組成，分別將Protocol_type，Service和Flag這3種符號型特征映射為二進制值。其中，Protocol_type特征包括TCP(傳輸控制協(xié)議)，UDP(用戶數(shù)據(jù)報協(xié)議)，ICMP(網(wǎng)際控制報文協(xié)議)3種協(xié)議類型，Service和Flag分別包括70種和11種符號。Protocol_type可分別映射為(0,0,1)，(0,1,0)，(1,0,0)，因此數(shù)值化完成后數(shù)據(jù)集特征維度增加至117維。

(4)采用最大、最小值規(guī)劃方法對網(wǎng)絡(luò)入侵數(shù)據(jù)進行歸一化，如式(11)所示

(11)

其中，fi為數(shù)據(jù)屬性值，min(fi)為fi的最小值，max(fi)為fi的最大值。

3.2 優(yōu)化BP神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)率、迭代次數(shù)的設(shè)定

為了找到適合本實驗的BP神經(jīng)網(wǎng)絡(luò)的最佳學(xué)習(xí)率和迭代次數(shù)，對其不斷調(diào)試并進行實驗，最終得到了各個學(xué)習(xí)率所對應(yīng)的模型性能和適合的最佳迭代次數(shù)，分別如圖4、圖5所示。

圖4 學(xué)習(xí)率調(diào)參實驗對比

圖5 迭代次數(shù)調(diào)參實驗

從圖4可以得知，學(xué)習(xí)率為0.1時準確率最高，達到98%，效果最好；從圖5可以得知，迭代200次時，準確率接近最高值，且建模時間相對于較短，所以迭代次數(shù)設(shè)置200次效果最好。

3.3 結(jié)果與分析

為了驗證本文所提出AS-BP模型的性能，在實驗中參數(shù)選擇上述實驗中得出的結(jié)果，激活函數(shù)選擇Sigmoid函數(shù)，學(xué)習(xí)率和最大迭代次數(shù)分別設(shè)置為0.1和200。

(1)性能指標

為了評估提出的入侵檢測模型的效果，本文使用以下4個性能指標來評價檢測效果，分別是準確率(Accuracy)，精確率(Precision)、召回率(Recall)和F值(F-measure)。表1所示為混淆矩陣，性能指標式(12)～式(15)也可以通過表1求得。

表1 混淆矩陣

則性能公式分別如下

(12)

(13)

(14)

(15)

(2)AS-BP與傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)對比

本文利用傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)使用原始數(shù)據(jù)進行十折交叉驗證得到的實驗結(jié)果與本文AS-BP模型得出的實驗結(jié)果進行對比，見表2。表2分別列出了模型整體準確率、建模時間、精確率、召回率和F值的比較。

從表2中可以看出，本文所提出的AS-BP模型整體準確率比傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)降低了不到1%，但是建模時間卻縮短了近15倍；同時，本文所提出的AS-BP模型在各個攻擊類型分類上都有較好的表現(xiàn)，尤其U2R、R2L分類效果遠遠優(yōu)于傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)，U2R和R2L精確率達到了97%和96%，比傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)分別提高了30.3%和19%，克服了原始數(shù)據(jù)集不平衡導(dǎo)致傳統(tǒng)神經(jīng)網(wǎng)絡(luò)分類時U2R、R2L檢測率較低的缺陷，驗證本文所提出的AS-BP是有意義的，可行的。

表2 與傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)性能對比

(3)AS-BP與其它分類器對比

本文選取當前廣泛使用的支持向量機(SVM)和樸素貝葉斯(NaiveBayes)分類器，利用經(jīng)過特征提取的數(shù)據(jù)進行十折交叉驗證，得到表3所示的實驗結(jié)果對比，分別為模型整體準確率、精確率、召回率和F值的對比。

表3 與其它分類器性能對比

從表3中可以得出，本文所提出的AS-BP模型各個方面性能較好，整體準確率比SVM高出了15.5%，比Nai-veBayes高出了16.7%；同時，檢測DoS、Probe、U2R、R2L和Normal的精確率分別達到97.2%、99.3%、98.7%、97%、96%，召回率和F-measure均達到了96%以上?？梢缘贸?，本文所提出的AS-BP模型在各攻擊類別的分類結(jié)果上均有不錯的表現(xiàn)，從而得出本文所提出的AS-BP模型具有很好的分類性能和實用性。

3.4 模型性能分析

Kappa statistic指Kappa統(tǒng)計量，是一個[-1,1]區(qū)間內(nèi)的數(shù)。一般來說，分類模型的Kappa統(tǒng)計量與AUC指標呈正相關(guān)，即分類模型的Kappa統(tǒng)計量越高，模型預(yù)測的準確率越高。所以該指標的值越接近1，說明模型性能越好。

絕對誤差的平均值稱為平均絕對誤差，通常使用MAE(mean absolute error)表示。MAE能很好體現(xiàn)出估計值與真實值偏差的大小。

均方誤差MSE是實際值與估計值差值的平方和的均值，可以用來評價數(shù)據(jù)的變化程度，且MSE的值是與分類器分類準確率成負相關(guān)的。而RMSE(root mean squared error)意為均方根誤差，是MSE的算術(shù)平方根。

從表4中可以得出，本文所提出的AS-BP模型的Kappa statistic比SVM高出了19.4%，比NaiveBayes高出了20.79%；AS-BP模型的MAE比SVM降低了5.8%，比NaiveBayes降低了6.31%；AS-BP模型的RMSE比SVM降低了17.19%，比NaiveBayes降低了18.41%?？梢缘贸觯珹S-BP模型各項指標都遠遠優(yōu)于SVM和NaiveBayes模型，說明本文所建立的模型能夠很好地對網(wǎng)絡(luò)入侵數(shù)據(jù)進行分析和識別。

表4 模型性能指標對比

4 結(jié)束語

針對傳統(tǒng)入侵檢測方法在檢測效果上的不足，提出了一種集特征優(yōu)化和BP神經(jīng)網(wǎng)絡(luò)于一體的網(wǎng)絡(luò)入侵識別發(fā)現(xiàn)框架AS-BP。對于KDD CUP 99數(shù)據(jù)集，引入SMOTE技術(shù)和隨機采樣技術(shù)對網(wǎng)絡(luò)入侵檢測數(shù)據(jù)進行均衡約簡處理，以此解決攻擊類別數(shù)據(jù)量不均衡的問題。利用集成方法對網(wǎng)絡(luò)入侵數(shù)據(jù)進行特征降維，得到最優(yōu)特征子集。對BP神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)率、訓(xùn)練次數(shù)進行調(diào)節(jié)，并進行了實驗對比。最后通過優(yōu)化BP神經(jīng)網(wǎng)絡(luò)算法，對網(wǎng)絡(luò)入侵數(shù)據(jù)進行識別分類。從實驗結(jié)果可以得出，本文所提出的AS-BP模型能夠很好地構(gòu)建分類模型，而且在不降低其它攻擊類型檢測率的同時，大大地提高了U2R和R2L檢測率，解決了以往研究中這兩種攻擊類型檢測率極低的問題，且克服了傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)建模時間過長的問題。與SVM，NaiveBayes分類器進行比較，也驗證本文所提出的AS-BP模型具有較高的檢測率。