基于機器學習算法的網絡入侵檢測

張夏

摘 要： 網絡入侵的頻率越來越高，嚴重危害了網絡安全。為了獲得高正確率的網絡入侵檢測結果，針對當前網絡入侵檢測模型的局限性，提出基于機器學習算法的網絡入侵檢測模型，通過機器學習算法中性能優異的支持向量機構建“一對一”的網絡入侵檢測分類器，采用當前標準網絡入侵檢測數據庫對模型的有效性進行驗證，網絡入侵檢測正確率高達95%以上，檢測誤差遠遠低于實際應用范圍，可以應用于實際的網絡安全管理中。

關鍵詞： 網絡安全； 入侵行為； 機器學習算法； 入侵檢測； 分類器； 檢測誤差

中圖分類號： TN915.08?34 文獻標識碼： A 文章編號： 1004?373X（2018）03?0124?04

Abstract： The frequent network intrusion endangers the network security seriously. In order to obtain the network intrusion detection results with high accuracy， a network intrusion detection model based on machine learning algorithm is proposed for the limitations of the current network intrusion detection model. The support vector machine of machine learning algorithm is used to construct the one?to?one network intrusion detection classifier. The standard network intrusion detection database is used to verify the effectiveness of the model with experiment. The network intrusion detection rate is higher than 95%， the detection error is far below the actual application range. The model can be applied to the practical network security management.

Keywords： network security； intrusion behavior； machine learning algorithm； intrusion detection； classifier； detection error

0 引 言

隨著網絡應用的不斷推廣，網絡安全問題受到了人們的高度關注。傳統網絡安全防范技術主要有數據加密、殺毒軟件等，這些都是被動防范方式，無法抵擋外來的入侵行為，這樣網絡安全性就無法得到有效保護[1]。主動網絡安全防范技術主要為入侵檢測，可以對網絡安全狀態進行實時檢測，發現一些非法的入侵行為，網絡入侵成為當前研究的重點[2?3]。

當前對網絡入侵檢測的研究已經很深入，出現了許多性能較優的網絡入侵檢測模型。當前網絡入侵檢測模型大致可以分為誤用檢測和異常檢測兩大類。誤用檢測是最原始的入侵檢測技術，其構建一種網絡入侵檢測的數據庫，將待檢測行為與數據庫中的入侵行為進行匹配，如果匹配就將其劃分到相應的入侵類別中，反之就是正常行為[4?5]。在實際應用中，誤用檢測模型只能檢測到已經存在的入侵行為，無法檢測到一些新的入侵行為，因此，當有新的入侵行為時，該模型就無能為力了，實際應用價值較低[5]。相對于誤用檢測技術，異常檢測技術屬于模式識別，通過一定的規則對入侵行為進行分析，可以檢測到一些新的、從來沒有出現過的入侵行為，實際應用價值相對較高，成為當前網絡安全領域研究的一個重要方向[6?8]。在網絡入侵的異常檢測過程中，入侵行為的分類器選擇十分關鍵，當前主要有神經網絡進行網絡入侵行為分類器的構建，而神經網絡是一種基于大數據理論的建模方法，要求訓練樣本足夠多，這就增加了網絡入侵檢測的成本，同時網絡入侵實際是一種小樣本，難以滿足大樣本的要求，因此，神經網絡的網絡入侵檢測結果不太穩定，檢測正確率時高時低，檢測結果不太可信[9]。近年來，隨著機器學習理論研究的不斷深入，出現了一種新型建模技術——支持向量機，相對神經網絡，支持向量機對訓練樣本數量要求沒有那么高，而且學習性能也不比神經網絡差，為此有學者將其引入到網絡入侵檢測的應用中[10]。在基于支持向量機的網絡入侵檢測建模過程中，存在以下難題：支持向量機參數的確定，當前對于參數確定問題，有學者采用梯度下降算法、遺傳算法進行尋優得到，但是梯度下降算法的尋優時間長，影響網絡入侵檢測的效率；遺傳算法的遺傳算子設置沒有統一的理論指導，易獲得局部最優的參數值，影響網絡入侵的檢測結果[11]。

為了獲得高正確率的網絡入侵檢測結果，針對當前網絡入侵檢測模型的局限性，提出基于蟻群算法確定支持向量機參數的網絡入侵檢測模型，通過機器學習算法——支持向量機構建“一對多”的網絡入侵檢測分類器，采用蟻群算法確定最優參數，采用當前標準網絡入侵檢測數據庫對模型的有效性進行測試，網絡入侵檢測正確率高達95%以上，檢測誤差遠遠低于實際應用范圍。

1 相關理論

1.1 支持向量機

支持向量機是由Vapnik等提出的一種性能優異、專門針對小樣本的機器學習算法，與神經網絡的工作原理不同，其根據結構風險最小化原理進行建模，是一種二分類算法，通過找到一個最優平面，將全部訓練樣本劃分為兩類：一類位于平面上方；另一類位于平面下方。同時使樣本盡可能遠離最優平面，處于最優平面上的樣本稱之為支持向量，其工作原理如圖1所示。endprint

對于含有個樣本的集合采用函數對樣本進行映射，然后在映射空間進行樣本的分類，則有：

要找到最優分類平面，必須找到最優與值，而對于式（1）進行直接求解，得到最優與值十分困難，為此基于結構風險最小化原理，設置如下約束條件：

1.2 參數對網絡入侵檢測的影響分析

對支持向量機的工作原理進行分析可以發現，參數和對其學習性能的影響十分重要。選擇一個訓練樣本，分析不同參數條件下，網絡入侵檢測的正確率，結果如表1所示。對表1進行分析可知，即使環境和數據均相同，不同參數的入侵檢測正確率差別仍然很大，因此需要選擇參數和的最優值。

1.3 蟻群算法

蟻群算法是一種較常用的搜索優化算法。蟻群在覓食過程中，在路徑上遺留下信息素，其他螞蟻通過信息素進行爬行路徑識別，信息素濃度越高，螞蟻經過該路徑的數量就越多，其他螞蟻選擇該條路徑的概率就越高，基本工作原理如圖2所示。

設螞蟻數為那么就可以得到如下計算公式：

式中表示節點上的螞蟻數。

在時刻，節點和的路徑殘留信息素濃度為：

式中為的信息素濃度。

蟻群算法的初始工作階段，螞蟻選擇下一個節點的轉移概率為：

式中：為節點轉移到的局部啟發信息；為未訪問的節點集合；和為權重參數。

經過一段時間后，蟻群完成一次路徑搜索，需要更新路徑上的信息素，具體為：

式中：為信息素的揮發度；為路徑上的信息素增量；為信息素之和，其表達式為：

式中：為常量；為本次循環的總時間。

2 網絡入侵模型的構建

在網絡入侵檢測中，LSSVM參數優化問題可以采用下式進行表示：

網絡入侵檢測的步驟如下：

Step1：對網絡狀態信息進行收集，提取網絡入侵檢測的特征，并對特征進行如下處理：

式中和分別為最大和最小值。

Step2：將支持向量機參數看作蟻群爬行的一條路徑，根據每一組參數對網絡入侵檢測訓練樣本進行建模，得到不同的檢測正確率。

Step3：通過蟻群的信息素更新操作和節點轉移，實現路徑爬行，最后通過路徑尋優找到最優的參數組合。

Step4：根據最優的參數組合建立最優的網絡入侵檢測模型。

由于支持向量機針對兩個類別的分類問題，而網絡入侵行為有很多種類型，如：拒絕服務攻擊、未授權遠程訪問攻擊、端口掃描攻擊等。本文采用一種“一對一”的方式構建多分類器，如圖3所示。

3 實驗結果與分析

選擇省理工學院的KDD Cup的網絡入侵檢測數據集作為測試對象，包括4種網絡入侵行為：DoS，Probe，U2R和R2L。由于該數據集的規模十分龐大，為此，從中隨機選取10%的數據進行具體實驗。為了使本文模型（ACO?SVM）實驗結果具有說服力，采用BP神經網絡（BPNN）、遺傳算法優化SVM（GA?SVM）的網絡入侵檢測模型作為對比模型，采用如下指標作為實驗結果評價標準：

仿真實驗結果如圖4所示。從圖4可知，在所有模型中，ACO?SVM的網絡入侵檢測正確率最高，其次為GA?SVM，網絡入侵檢測正確率最低者為BPNN，同時誤報率也最低，這表明ACO?SVM可以比較精確地實現網絡入侵行為的識別，獲得比較理想的檢測結果。同時從圖4b）可以看出，ACO?SVM網絡入侵檢測用時最少，可以滿足網絡入侵檢測的效率要求，網絡入侵檢測結果的優越性十分明顯。

4 結 語

網絡入侵檢測的建模是一種重要網絡安全防范技術，當前網絡入侵檢測模型無法準確刻畫入侵行為，導致網絡入侵檢測不理想，為此設計了基于機器學習算法的網絡入侵檢測模型，通過支持向量機對網絡入侵檢測特征和網絡入侵行為之間的映射關系進行擬合，建立反應兩者關系的網絡入侵檢測模型。實驗結果表明，該模型不僅可以精確地對網絡入侵行為進行識別，而且檢測的速度相當快，獲得了比其他模型更優的網絡入侵檢測結果，具有廣泛的應用前景。

參考文獻

[1] DENNING D E. An intrusion detection model [J]. IEEE transactions on software engineering， 2010， 13（2）： 222?232.

[2] SUNG A H. Identify important features for intrusion detection using support vector machines and neural networks [C]// Proceedings of 2003 IEEE Symposium on Application and the Internet. Orlando： IEEE， 2013： 209?217.

[3] 李響.基于經驗模態分解的局域網絡入侵檢測算法[J].西南師范大學學報（自然科學版），2016，41（8）：132?137.

LI Xiang. Local network intrusion detection algorithm based on empirical mode decomposition [J]. Journal of Southwestern Normal University （natural science edition）， 2016， 41（8）： 132?137.

[4] 沈夏炯，王龍，韓道軍.人工蜂群優化的BP神經網絡在入侵檢測中的應用[J].計算機工程，2016，42（2）：190?194.

SHEN Xiajiong， WANG Long， HAN Daojun. BP neural network artificial bee colony optimization in the application of intrusion detection [J]. Computer engineering， 2016， 42（2）： 190?194.endprint

[5] 魏旻，王一帆，李玉，等.基于WIA?PA網絡的周界入侵檢測系統設計與實現[J].重慶郵電大學學報（自然科學版），2013，25（2）：148?153.

WEI Min， WANG Yifan， LI Yu， et al. WIA?PA network based perimeter intrusion detection system design and implementation [J]. Journal of Chongqing University of Post and Telecommunications （natural science edition）， 2013， 25（2）： 148?153.

[6] VILAPLANA V， MARQUES F， SALEMBIER P. Binary partition trees for object detection [J]. IEEE transactions on image processing， 2010， 17（11）： 2201?2216.

[7] HONG J， SU M Y， CHEN Y H， et a1. A novel intrusion detection system based on hierarchical clustering and support vector machines [J]. Expert systems with applications， 2011（38）： 306?313.

[8] MUNI D P， PAL N R， DAS J. Genetic programming for simultaneous feature selection and classifier design [J]. IEEE transactions on systems， man， and cybernetics： part B， 2009， 36（1）： 106?117.

[9] KENNEDY J， EBERHART R C. Particle swarm optimization [C]// Proceedings of 2005 IEEE International Conference on Neural Networks. Perth： IEEE， 2005： 1942?1948.

[10] 楊宏宇，趙明瑞，謝麗霞.基于自適應進化神經網絡算法的入侵檢測[J].計算機工程與科學，2014，36（8）：1469?1475.

YANG Hongyu， ZHAO Mingrui， XIE Lixia. Intrusion detection based on adaptive evolutionary neural network algorithm [J]. Computer engineering and science， 2014， 36（8）： 1469?1475.

[11] 江峰，王春平，晉惠芬.基于相對決策熵的決策樹算法及其在入侵檢測中的應用[J].計算機科學，2012，39（4）：223?226.

JIANG Feng， WANG Chunping， JIN Huifen. Decision tree algorithm based on relative decision entropy and its application in intrusion detection [J]. Computer science， 2012， 39（4）： 223?226.

[12] 龔儉，王卓然，蘇琪，等.面向網絡安全事件的入侵檢測與取證分析[J].華中科技大學學報（自然科學版），2016，44（11）：30?33.

GONG Jian， WANG Zhuoran， SU Qi， et al. Intrusion detection and forensics analysis for network security incidents [J]. Journal of Huazhong University of Science and Technology （natural science edition）， 2016， 44（11）： 30?33.endprint