APP下载

基于粒子群和支持向量机的网络入侵检测模型的建立与仿真

2018-06-11李治国

电子设计工程 2018年11期
关键词:误报率子群量子

李治国

(91550部队辽宁大连116023)

随着科技的进步和互联网的不断发展,网络逐渐成为社会基础设施建设中不可或缺的重要组成部分,使人们的生产生活更加便捷[1-2]。然而,网络的开放性和脆弱性也意味着网络不可避免地存在漏洞及安全隐患。一旦恶意攻击者利用这些漏洞发动网络攻击或入侵,就有可能使国家和个人蒙受信息泄露、数据篡改等严重后果[3-5]。因此,在网络入侵类型和方法发展日益多样化的当下,如何有效提升入侵检测效果,防止网络入侵的发生,是应时刻关注的问题。

网络入侵检测过程中,如何对特征及其最优子集进行选择将对入侵检测效果产生较大的影响。网络入侵检测相关的特征选择算法中,按照原理不同可分为两类:穷举搜索算法和群智能优化算法[6-8]。前者由于复杂程度大,故所需的计算量较大且耗时久,无法满足实时检测的要求;而后者算法中的粒子群算法虽具有优异的性能,但其极易进入局部极值的缺陷难以克服。因此,也难以直接应用于网络入侵检测之中[9]。目前,基于粒子群算法提出的协同量子粒子群CQPSO算法通过引入量子行为的改进,有效改善了上述问题,并使粒子群算法具备较强的鲁棒性和可操作性,为特征选择算法的使用提供了新的选择[10]。

此外,如何构建合理有效的分类器也将直接影响网络入侵的检测效果。目前,构建的分类器主要有支持向量机SVM、神经网络、最小二乘支持向量机LSSVM等[11-12]。其中,神经网络需要大量的样本,若样本数不达标,则其检测效果较差。因此,其应用具有局限性;支持向量机具有优秀的性能表现,但其训练过程的效率较低,故不能应用于实时性要求较高的领域(如军事安全等),应用局限性较大[13];至于LLSVM,则对上述两种分类器的优点进行了有效综合,其具有较快的训练速度和较强的泛化能力,作为分类器具有一定的应用潜力[14]。

因此,为了提高网络入侵的检测效果,在最大程度上防止网络入侵行为的发生。本文将协同量子粒子群CQPSO算法以及最小二乘支持向量机LSSVM进行了有机结合,建立了CQPSO-LSSVM网络入侵检测模型。经过仿真测试实验,该模型运行良好,能对网络入侵进行有效检测,且满足了设计要求,具有一定的应用价值。

1 CQPSO-LSSVM入侵检测原理

文中CQPSO-LSSVM模型的检测原理,如下图1所示。具体描述为:首先预处理采集到的网络数据,之后利用CQPSO算法和LSSVM对特征子集与入侵检测分类器进行选择、构建。

图1 本文CQPSO-LSSVM入侵检测模型工作流程

2 CQPSO算法分析

2.1 QPSO算法

假设某粒子群含有N个个体,其第i个粒子所处的位置Xi和速度Vi,可分别描述为Xi=(xi1,xi2,…,xiD)和Vi=(vi1,vi2,…,viD);个体与粒子群的历史最优位置,可分别描述为Pi=(pi1,pi2,…,piD)和Pg=(pg1,pg2,…,pgD)。因此,粒子群优化PSO算法的相应粒子更新策略可表述为

其中,c1(c2)代表的是学习因子;r1(r2)代表的是随机数;t和ω分别代表的是迭代次数及惯性权重。

为了有效提升PSO算法的检测性能和效果,引入量子行为改进,改进后的量子粒子群QPSO算法的应用条件为

鉴于量子粒子没有速度向量却存在空间飞行行为,记量子粒子的状态为Φ。对其薛定谔方程进行求解,并对其的概率分布进行计算

其中,L表示的是δ势阱对应的特征长度。

借助蒙特卡洛模拟法对粒子的位置进行更新

其中,u代表的是随机数(u∈(0,1))。

mbest的相应计算公式可描述为

因此,mbest和xij之间的距离可表示为

式中的β表示的是收缩扩张系数。将各变量与式(4)联立,得到最终的粒子更新公式为

2.2 协同搜索策略

协同搜索策略的核心为协同进化,即在问题解空间内,将种群进行合理有效地划分,从而避免单一种群搜索策略的使用。最终使种群在多次迭代后,不会出现早熟问题(多样性下降导致)。本文为了使子群之间能够及时进行信息共享,创建了相应的种群基因库[15-16]。

2.3 粒子的学习行为

为了有效增强粒子群的搜索能力,文中将式(2)进行改进,让粒子在进化中可实现互相学习

上式中的lrand代表的是随机数(lrand∈(0,1)),s表示了其他子群;k则表示了s子群下的某一粒子的序号,lc则代表的是学习概率参数。

此外,需要对各子群中粒子的lc采取一定的策略,以实现种群搜索能力及粒子发展的最终平衡:

其中,lcMAX(lcMIN)代表的是学习参数的最大值(最小值),α则表示的是某比0大的常数。

至此,将上述搜索策略与QPSO算法(具有学习行为)相结合,即可得到本文网络入侵检测模型的核心算法——协同量子粒子群(CQPSO)算法。

文中选用3种测试函数(属于标准的Benchmark函数)对CQPSO算法性能进行检测和验证,分别为

对比实验的算法选用的QPSO算法,将子群规模设置为4,粒子群设置为18,β设置为由1.0向0.4的线性下降。相关的测试结果,可见图2所示。有图易知,在确保相同收敛精度的情况下,本文算法相较于QPSO算法具有更快的收敛速度,且性能、稳定性与可靠性更优。

3 CQPSO-LSSVM入侵检测具体步骤和分析

1)对网络状态信息进行采集,经预处理后得到对应的特征向量。

2)对N个粒子的初始当前位置Xi进行随机生成,并对适应值f(Xi)进行计算,取个体最优pi=Xi。

3)划分粒子群(s个),并通过计算,获得各子群内适应值最优所对应的粒子序号得到各子群所对应的最优解以基因比例Rgene为依据,将适应值最优的各子群中的粒子挑选出来,建立相应的种群基因库。

图2 算法性能对比结果

4)对βt和βti(i∈[1,s])进行计算,并在各子群中计算lc以确定qi,之后对粒子的位置进行更新。

5)对各粒子的适应值、各子群和种群的最优解(pi、pg和pgpop)进行更新。

6)若此时已达到进化周期,则对种群基因库进行更新。并以死亡比例Rdead为依据,对劣质粒子进行替换。

7)跳转至步骤4),在完成迭代前对上述步骤不断重复。

8)求解pgpop,获得最优特征子集,并以此确定本文的入侵检测模型。

4 仿真测试实验

文中仿真测试实验的硬件平台(Windows 7电脑)配置为:Inter Core i7-4790(3.60 GHz)处理器,16 G DDR4内存,1 T机械硬盘。仿真测试实验基于VC++语言,仿真对象使用的是KDD CUP 99数据集(各条记录具备41个特征,见表1所示),该数据集的样本数据,可见表2所示。

表1 本文所用KDD CUP 99数据集中各条记录的特征

表2 仿真测试实验样本数据

为了验证本文建立的CQPSO-LSSVM网络入侵检测模型的性能,文中以漏报率、误报率、检测率和运行速度作为考察指标,并与PSO-LSSVM、QPSOLSSVM模型的入侵检测效果进行了对比。由于网络入侵变化范围较大、特征较多,故在测试前先对特征值执行预处理操作,以提高入侵检测的效果。

其中,xi和分别代表的是预处理前、后的特征值;max(xi)则代表的是各xi特征值中的最大值。

最终的测试结果(漏报率、误报率、检测率以及运行速度),可见图3~5所示。

图3 各模型在误报率指标上的对比结果

图4 各模型在误报率指标上的对比结果

1)从总体趋势来看,QPSO-LSSVM网络入侵检测模型的检测效果比PSO-LSSVM模型好。其具有更低的漏报率和误报率,更高的检测率以及更快的运行速度。经过分析认为改进量子行为的QPSOLSSVM具有相对更优的特征子集,对网络入侵检测效果的提高起到了关键作用。

2)本文的CQPSO-LSSVM网络入侵检测模型相较于其他两类模型具有更优的入侵检测结果,表现为最低的漏报率和误报率,最高的检测率以及最短的运行时间,从而反映出较好的检测性能。经过分析认为融入协同策略能有效改善QPSO算法陷入局部极值的缺陷,进而提高算法的收敛速度,并提供更好的入侵检测效果,满足目前网络入侵检测的实时性要求。

图5 各模型在检测率指标上的对比结果

图6 各模型在运行速度指标上的对比结果

5 结束语

为了有效提升网络入侵的检测率和检测速度,尽可能地预防网络入侵行为的发生,本文基于协同量子粒子群CQPSO算法以及最小二乘支持向量机LSSVM,建立了CQPSO-LSSVM网络入侵检测模型。该模型利用CQPSO算法对网络入侵的相关特征进行选择,从而减少后续LSSVM所需处理的输入特征给数,有效降低计算量。经过仿真测试实验,该模型检测效果良好,具有较高的检测率、较低的误报率和漏报率,且检测速率较快,能够满足网络入侵检测的实时性与准确性的要求。

猜你喜欢

误报率子群量子
超聚焦子群是16阶初等交换群的块
原始数据动态观察窗法在火灾特征信号融合提取中的应用研究
《量子电子学报》征稿简则
家用燃气报警器误报原因及降低误报率的方法
子群的核平凡或正规闭包极大的有限p群
钻杆管体超声波探伤误报分析及措施
决定未来的量子计算
新量子通信线路保障网络安全
一种简便的超声分散法制备碳量子点及表征
神经网络技术在网络入侵检测模型及系统中的应用