基于ＳＳＡ 和ＥＬＭ 的醫院網絡入侵特征選擇與檢測分析

摘 要：將醫院網絡入侵行為作為研究對象，提出基于SSA和 ELM 的網絡入侵特征選擇模型，有效實施網絡入侵行為檢測。該方法應用 SSA 算法優選網絡入侵特征屬性，用于改進 EI.M 網絡分類性能，通過減少模型輸入特征數，來降低計算復雜度。將模型用于醫院網絡 Dos，Probe，R2L.等攻擊行為樣本檢測，結果表明檢測準確率能夠達 90%以上，檢測時長在 0.5 s 以內，誤報率不超 0.3%，能滿足醫院網絡入侵檢測高效、準確、可靠的檢測要求

關鍵詞：SSA;ELM;醫院網絡：入侵檢測

中圖法分類號：TP393文獻標識碼：A

１ 引言

隨著網絡技術的普及與應用，各種網絡攻擊、非法入侵層出不窮，給網絡信息安全帶來了較大威脅。醫院內部網絡一旦遭受非法入侵，容易造成患者隱私數據泄露、丟失，從而影響醫院正常運營，甚至引發嚴重的經濟損失和社會影響。在網絡入侵檢測方面，對各種機器學習方法進行了研究，如采用布谷鳥算法和支持向量機實現入侵檢測，但僅在處理小樣本時可以達到較高準確率，而處理海量數據時容易出現滯后情況［１］ ；采用網絡搜索法依靠特征參數尋優，盡管能夠通過分類器分類，但遍歷搜索列表中每組參數將造成搜索時間過長，模型訓練效率較低；采用麻雀搜索算法（ＳＳＡ）直接在相鄰特征參數間搜索，更新判斷參數選取方向，舍棄無法優化分類器性能的參數，可以迅速查找到優秀特征參數組［２］ 。在此基礎上，應考慮入侵檢測數據不均衡的問題，為避免直接采用機器學習方法造成少數類分類精度較低的問題，需從算法層面著手，結合入侵行為相對正常行為數量少的特點，采用極限學習機（ＥＬＭ）建立單隱層前饋神經網絡，設定隱含層神經元快速學習，以獲得良好的泛化性能。綜上所述，提出采用基于ＳＳＡ 算法和ＥＬＭ 算法的醫院網絡入侵特征選擇和檢測模型，通過優化特征參數、模型分類性能，從而獲得較高整體檢測效率，提升入侵行為檢測準確率。

２ 網絡入侵特征選擇模型

２．１ ＳＳＡ 算法

作為群體智能優化方法，ＳＳＡ 算法模仿麻雀覓食和逃避捕食者的過程，按照比例將整個麻雀群劃分為發現者和追隨者，并隨機選擇個體兼任警戒者［３］ 。其中，發現者能量儲備較高，負責食物搜索，為追隨者指明食物方向；隨著追隨者能量下降，將跟隨發現者去往覓食位置獲取能量；警戒者在發現捕食者入侵后，將向群體發出警報，以確保群體安全。采用該算法，假設麻雀群體在Ｎ×Ｄ 維空間內尋找食物，Ｎ 為群體規模， Ｄ 為搜索優化維度?？臻g內食物Ｆ ＝ ［ Ｆ１，Ｆ２，…，ＦＤ ］Ｔ ，麻雀中個體位置為Ｘ ＝ ［Ｘｎ１，Ｘｎ２，…，ＸｎＤ ］Ｔ ，ｎ ＝ １，２，…，Ｎ，搜索空間上限為ｕｂ ＝ ［ｕｂ１，ｕｂ２，…，ｕｂＤ ］Ｔ ，下限為ｌｂ ＝［ｌｂ１，ｌｂ２，…，ｌｂＤ ］Ｔ ，則能夠完成群體初始化，得到：

式中，Ｅ（Ｓ，β）為網絡輸出誤差值，Ｈ 為深入矩陣，β 為輸出權重矩陣，Ｔ 為樣本目標輸出矩陣。采用ＥＬＭ 實現非線性問題優化，應用極限定理、差值定理等使網絡隱含層激活函數達到無窮小，確認輸入層權值和隱含層閾值不會給輸出層結果輸出帶來明顯影響。因此，采用ＥＬＭ 可以將訓練過程轉換為求解最小二乘數β 的過程，得到：

β ＝Ｈ＋Ｔ （８）

式中，Ｈ＋為Ｈ 的廣義逆矩陣，通過正交法獲取，能夠求解得到唯一的最小值。

２．３ 基于ＳＳＡ 的ＥＬＭ 模型

建立基于ＳＳＡ 算法的ＥＬＭ 模型實現網絡入侵特征選擇，能夠通過參數優化解決訓練樣本偏差較大的問題，以避免產生病態矩陣，從而給網絡信號分類器性能帶來不良影響［４］ 。為將兩種算法結合，需先設計適應度函數：

ｆｉｔｎｅｓｓ＝ａｒｇ ｍｉｎ（ＴｒａｉｎＥｒｒｏｒＲａｔｅ＋ＴｅｓｔＥｒｒｏｒＲａｔｅ）（９）

式中，ｆｉｔｎｅｓｓ 為最終選擇網絡入侵特征，ＴｒａｉｎＥｒｒｏｒＲａｔｅ為訓練集錯誤率，ＴｅｓｔＥｒｒｏｒＲａｔｅ 為測試集錯誤率，使這兩個數值達到最小，能夠獲得最高的網絡入侵檢測準確率，在可選擇的網絡入侵特征最少的情況下選擇最佳的特征組合。將麻雀群體中發現者的位置向量當成是特征集，ｘｉ 為一個特征，采用二進制編碼方式，在第ｊ 個入侵行為特征被選中時，ｘｉ 取值為１，反之則取值為０，確保從Ｎ 個特征中識別ｉ 個尋優特征集合。采用ＳＳＡ 算法實現ＥＬＭ 優化，流程如圖１ 所示，特征子集與訓練數據集相對應，并根據個體適應度判斷是否達到終止條件，以獲得最優特征子集，從而將其應用于網絡入侵檢測。

３ 基于ＳＳＡ 和ＥＬＭ 的醫院網絡入侵檢測

３．１ 樣本分析

采用ＳＳＡ?ＥＬＭ 模型實現醫院網絡入侵檢測，并結合醫院網絡建設情況，將ＫＤＤ ＣＵＰ９９ 網絡作為測試對象，常見入侵包含Ｐｒｏｂｅ，Ｄｏｓ，Ｕ２Ｒ，Ｒ２Ｌ 幾種網絡攻擊。在網絡訓練階段，使用２ ８５６ 個樣本展開訓練，其中正常樣本１ ９８３ 個，攻擊樣本不到９００ 個，每個樣本包含４０ 多種屬性。在網絡測試階段，測試樣本數為２ ２３４ 個，正常樣本數為１ ４５３ 個。在樣本中，Ｄｏｓ 占比最大，約占３５％，其次為Ｐｒｏｂｅ，約占３０％，Ｒ２Ｌ 樣本數約占２５％，Ｕ２Ｒ 樣本數在１０％左右。

３．２ 檢測流程

采用ＳＳＡ?ＬＥＭ 模型進行入侵檢測，輸入層神經元數量設定為４１，隱含層神經元數量為８３，激勵函數為高斯核函數。使用的測試設備配備２．４ ＧＨｚ 的ＣＰＵ，以及４ ＧＢ 內存，芯片為Ｉｎｔｅｌ Ｃｏｒｅｉ５，操作系統為Ｗｉｎｄｏｗｓ ９。在開展實驗室仿真測試時，使用Ｍａｔｌａｂ軟件。

按照入侵檢測流程，先完成醫院網絡入侵檢測數據讀取，將數據劃分為訓練集和測試集，最后統一進行歸一化處理。在利用計算機軟件生成ＥＬＭ 模型后，需確定層數、各層節點數等，然后采用二進制編碼方式完成特征編碼。對ＳＳＡ 種群進行初始化后，設定種群規模Ｎ，并確定最大迭代次數Ｔ，實際取值為５０次，系統將自動生成麻雀群體。首先，將不同特征屬性帶入模型訓練中，在獲得個體初始適應度后，再對發現者、追隨者位置進行初始化，最后完成全部成員初始適應度排序，并從中選擇最優位置，即食物位置［５］ 。在標記該位置后，將其定義為發現者，將其他麻雀位置按照適應度進行排序，并定義為追隨者。在完成發現者、追隨者位置更新后，對群體適應度進行重新計算，找尋具有最佳適應度的麻雀位置，將其作為最新食物位置?；诖?，采用隨機選擇警戒者的方法來確定麻雀移動方向，并對其進行不斷尋優，直至獲得全局最優位置信息。在經過反復迭代后，達到最大迭代次數，并輸出最優位置信息，從而生成醫院網絡入侵最優特征子集，最后將特征子集輸入ＥＬＭ 模型中，完成網絡入侵檢測，輸出最終檢測結果。

３．３ 檢測效果

為驗證算法的有效性，利用訓練好的模型進行網絡入侵測試，并根據檢測準確率和時長等對結果展開評價。根據正常樣本正確分類個數與總樣本數比值，能夠分析得到模型檢測準確率。為驗證模型可靠性，需要對入侵行為檢測的誤報率展開分析，即攻擊樣本錯報數量和總數量的比值。

將ＳＳＡ?ＥＬＭ 模型和ＥＬＭ 模型進行比較，能夠得到如表１ 的測試結果。從Ｄｏｓ 攻擊檢測情況來看，使用傳統ＥＬＭ 模型和使用ＳＳＡ 算法改進后的ＥＬＭ 模型均能達到９９％以上的檢測準確率，但改進后的模型準確率更高，且檢測時間明顯縮短。由此可見，兩種模型用于常見Ｄｏｓ 攻擊檢測均能達到較高準確率，但由于傳統模型反應時間較長，因此無法實現實時檢測醫院網絡入侵行為的目標。從誤報率情況來看，采用ＳＳＡ?ＥＬＭ 模型可以將Ｄｏｓ 攻擊誤報率從０．０９％降低至０，從而有效地增強網絡入侵檢測系統運行的可靠性。而針對Ｐｒｏｂｅ 等平時并不常見的入侵行為實施檢測，采用ＥＬＭ 模型的準確率較低，在５０％ ～８０％之間波動，檢測時大多不超１ ｓ，盡管響應速度較快，但卻無法有效識別各種網絡攻擊行為，且對ＵＳＲ 攻擊的誤報率較高，達到了１．６１％，容易給醫院網絡正常工作帶來干擾。采用ＳＳＡ?ＥＬＭ 模型進行入侵檢測，僅對Ｐｒｏｂｅ 攻擊檢測準確率較低，但也達到了９０％以上，而對ＵＳＲ 攻擊檢測準確率達到了１００％，檢測時長則統一控制在０．５ ｓ 以內，可以達到較高檢測效率。此外，ＳＳＡ?ＥＬＭ 模型的誤報率較低，最大不超過０．３％，能夠保證醫院網絡入侵檢測系統的可靠工作。由此可見，采用ＳＳＡ 算法能夠有效優化ＥＬＭ 模型分類性能。

為進一步確認增加迭代次數能否增強模型入侵檢測效果，將迭代次數增加至１００ 次。從測試結果來看，Ｄｏｓ，Ｐｒｏｂｅ，Ｒ２Ｌ，Ｕ２Ｒ 的檢測準確率分別為９９．９％，９３．２％，９８．９％和１００％，檢測時長則分別達到１．２１ ｓ，０．１０ ｓ，０．３４ ｓ 和０．０５ ｓ，誤報率分別達到０．００％，０．０５％，０．００％和０．２３％。由此可見，增加迭代次數對模型入侵檢測準確率和誤報率的改善效果并不明顯，但卻造成檢測時長增加１ 倍左右。經過綜合考量，應將迭代次數設定為５０ 次，在降低模型復雜度和冗余度的同時，保證模型用于醫院網絡入侵檢測的高效性和可靠性。

４ 結束語

基于醫院網絡面臨復雜入侵行為的情況，在當前網絡入侵檢測算法存在響應速度慢、特征識別率不高等問題的基礎上，提出采用ＳＳＡ 算法優化ＥＬＭ 分類性能，通過最小二乘法快速完成入侵行為特征選擇，從而提高網絡入侵檢測效率和質量。對ＳＳＡ?ＥＬＭ 模型建立過程展開分析，然后通過實驗驗證方式檢驗模型分類性能，最終確定采用改進后的ＥＬＭ 模型能夠明顯提高對Ｐｒｏｂｅ，Ｒ２Ｌ，Ｕ２Ｒ３ 種攻擊行為的檢測準確率，同時能夠有效降低對Ｄｏｓ 和Ｕ２Ｒ 入侵行為檢測誤報率，并縮短各種入侵行為檢測時長。在較少迭代次數下，ＳＳＡ?ＥＬＭ 模型即可體現較好的網絡分類器性能，以及保持較高檢測效率和結果可靠性，因此在醫院網絡入侵檢測領域擁有較好的應用前景。

參考文獻：

［１］ 魏明軍，張鑫楠，劉亞志，等．一種基于ＳＳＡ?ＢＲＦ 的網絡入侵檢測方法［Ｊ］．河北大學學報（自然科學版），２０２２，４２（５）：５５２?５６０．

［２］ 張志飛，王露漫．基于機器學習的網絡入侵檢測算法研究［Ｊ］．計算機應用與軟件，２０２２，３９（１０）：３３６?３４３．

［３］ 高兵，鄭雅，秦靜，等．基于麻雀搜索算法和改進粒子群優化算法的網絡入侵檢測算法［Ｊ］．計算機應用，２０２２，４２（４）：１２０１?１２０６．

［４］ 陳愛萍．基于ＰＳＯ?ＥＬＭ 算法的網絡入侵檢測研究［Ｊ］．安陽師范學院學報，２０２２（２）：３５?３９．

［５］ 楊彥榮，宋榮杰，周兆永．基于ＧＡＮ?ＰＳＯ?ＥＬＭ 的網絡入侵檢測方法［Ｊ］．計算機工程與應用，２０２０，５６（１２）：６６?７２．

作者簡介：

楊威（ １９７６—）， 網絡工程師， 研究方向： 計算機科學與技術。