改进ACO-SVM在网络入侵检测中的应用
2018-11-17杨正校
刘 静,杨正校
改进ACO-SVM在网络入侵检测中的应用
刘 静,杨正校
(苏州健雄职业技术学院 软件与服务外包学院,江苏 太仓 215411)
为了提高网络入侵检测正确率,降低特征冗余,提出一种蚁群优化与支持向量机相结合的入侵检测方法(ACO-SVM)。利用支持向量机的分类精度和特征子集维数加权构造综合适应度指标,利用蚁群算法的全局寻优和多次优解搜索能力实现特征子集搜索,并设计了局部细化搜索方式,实现特征选择结果降维,提高算法的收敛性。
特征选择;蚁群优化算法;支持向量机;网络入侵检测
0 引言
随着网络的迅猛发展,网络攻击方式多样化,攻击数量及其危害程度日益严重,网络入侵检测作为一种安全防御技术显得越来越重要[1]。
网络入侵检测实质是一个多模式识别问题,包含大量冗余信息和噪声特征,如果不加筛选直接使用,会削弱分类器的性能,降低检测速度;由于入侵特征数与检测算法不存在线性关系,当特征数量超过限度时,检测算法性能变坏[2]。因此如何选择网络入侵关键特征,消除冗余,降低入侵检测模型的输入特征维度,成为网络入侵检测建模的关键[3]。目前针对特征选择提出许多有效网络入侵检测算法,主要基于组合搜索策略的设计,其中遗传算法是一种基于仿生学原理的群智能算法,因其设置灵活,全局寻优能力强,成为主流特征选择算法[4]。蚁群优化算法[5,6]在降低特征冗余方面也有一定的优势。大量研究表明,在实际应用中遗传算法能够有效地提取关键特征,但对关联比较强的多组特征时。其难以获得稳定的特征寻优结果,且对样本较敏感[7]。除了特征选择外,支持向量机[8,9](Support Vector Machine,SVM)因其泛化能力强,成为网络检测的主要算法。
为了提高网络入侵检测效果,针对特征选择问题,本文提出一种蚁群优化算法(Ant Colony Optimization,ACO)和支持向量机相结合的入侵检测方法(ACO-SVM),并对算法进行仿真测试。
1 入侵检测算法框架
蚁群优化与支持向量机相结合的入侵检测方法采用wrapper特征选择模型,使用基于SVM的5-fold进行全局搜索并交叉验证,得到最优特征集;根据SVM分类器进行特征集分类判断并更新,得到最佳分类结果特征集进行入侵检测,如图1所示。
图1 入侵检测算法框架
2 网络入侵检测算法设计
2.1 ACO算法
ACO算法是一种模拟蚂蚁觅食的过程中信息如何交流与协作的集体智能算法,具有全局搜索能力强、分布式计算的优点,得到了广泛应用,具有较好的效果。在进行网络入侵检测特征选择时,将入侵检测特征作为蚁群信息交换点,特征优化问题则转化为如何进行最优路径选择。
2.2 适应度函数
网络入侵特征选择中,特征子集优劣一般通过适应函数来评价[10],因此适应度函数建立是一个十分重要环节。支持向量机(SVM)是最近发展起来的一种新的机器学习技术,具有先进完备的理论体系和更好的泛化能力,因此本研究选择支持向量机构建网络入侵检测分类器,并检测正确率[11]。入侵特征选择目标分为两方面:选择特征子集提高正确率、降低特征维度。因此对于特征子集s来讲,其适应度函数如公式1:
其中为的维数;为候选特征集的维数;Perror为分类错误率。
错误率权重系数如公式2:
其中,表示特征维度加1后入侵检错误率减少的百分数。
2.3 蚂蚁状态转移概率
蚂蚁算法对特征进行搜索时,转移概率决定了蚁群的前进方向,从特征i转移到特征j的概率为式(3):
式中,0为权值初值,为迭代次数,N为最大循环次数。
由于是动态变化,在算法运行初期,可以加快蚂蚁搜索效率,在运行后期,能够加快算法的收敛速度。
2.4 局部细化搜索
假设蚂蚁经过次重要特征搜索,得到了k个特征,为了减少冗余,最优子集u需要满足:
S为修正当前特征集。
2.5 更新信息素
完成一轮搜索后,蚂蚁(编号)均需更新路径信息浓度,方式如下:
式中,为增长浓度,(s)为适应度值;为残留因子。对于适应度函数越小的特征子集,信息素浓度越大。为强化最优路径影响,可附加激励:
式中,(s)为最优特征子集的适应度函数。
2.6 搜索终止条件
蚂蚁搜索终止条件设定为:连续3次增加特征,()没有发生太大改变,即终止。
2.7 网络入侵检测器的设计
式中,为超平面法向量,为超平面偏移向量。
二次优化,即:
约束条件为:
对于大样本的分类问题,SVM学习速度慢,通过引入Lagrange乘子将SVM分类问题转化对偶问题来解决得到SVM决策函数:
由于RBF只需确定核函数宽度参数,这样有利于参数优化,因此,RBF核函数定义如下:
网络入侵检测是一种多分类问题,因此必须通过组合策略构建网络入侵检测器。本文采用有向无环图将两分类的SVM组合在一起,构造网络入侵检测器,具体构造如图2所示。
3 仿真实验
3.1 特征数据来源
模拟异常检测数据集分为四类:扫描与探Probe、拒绝服务攻击DoS、对本地超级用户的非法访问U2R、未经授权的远程访问R2L。一个连接记录为一个完整会话,每条记录共有41个属性(9个离散、32个连续)。训练集、测试集的比例为4∶1。
3.2 特征对网络入侵检测性能影响
为了测试不同特征子集对网络入侵检测性能的影响,采采用未进行特征选择的SVM模型(SVM),只采用遗传算法进行特征选择的SVM模型(GA- SVM)作为对比模型用支持向量机建立的网络入侵检测模型,各种模型在各个数据集上运行10次所得结果的平均网络入侵检测正确率(%)如图3所示。
从图3可知,相对于传统SVM,特征选择模型(GA-SVM、ACO-SVM)的检测正确率都得到了提高,有效消除冗余特征。改进ACO-SVM的入侵检测的正确率略高于GA-SVM,说明采用ACO对特征进行选择降,能够找到更优的特征子集。
图3 不同模型性能比较
4 结束语
针对网络入侵检测中的特征集建立与降维问题,提出一种改进蚁群优化与支持向量机相融合的入侵检测算法ACO-SVM。仿真结果表明,该算法能进行选择性降维,通过局部细化搜索,更新信息素,优化核函数参数,提高了算法整体收敛性。
[1] Yu L, Liu H. Efficient Feature Selection via Analysis of Relevance and Redundancy[J]. Journal of Machine Learning Research, 2004(5): 1205-1224.
[2] Denning D. E. An Intrusion Detection Model[J]. IEEE Transaction on Software Engineering, 2010, 13(2): 222-232.
[3] Cheng-Lung Huang, Chieh-Jen Wang. A GA-based feature selection and parameters optimization for support vector machines[J]. Expert Systems with Applications, August 2009, 31(2): 231-240.
[4] Durga Prasad Muni, Nikhil R Pal, Jyotirmoy Das. Genetic programming for simultaneous feature selection and classifier design[J]. IEEE Transactions on Systems, Man, and Cybernetics- Part B, February, 2009 36(1): 106-117.
[5] 沙娓娓, 刘增力. 基于改进蚁群算法的无线传感器网络的路由优化[J]. 软件,2018, 39(1): 01-04.
[6] 杨苏影, 陈世平. 基于包簇框架平衡蚁群算法的资源分配策略[J]. 软件,2018, 39(6): 04-08.
[7] Kennedy J, Eberhart R C. Particle swarm optimization[C]. Proc of IEEE International Conference on Neural Networks, USA: IEEE Press, 2005: 1942-1948.
[8] 聂敬云, 李春青, 李威威等. 关于遗传算法优化的最小二乘支持向量机在MBR 仿真预测中的研究[J]. 软件,2015, 36(5): 40-44.
[9] 徐朝辉, 施丛丛, 吕超贤等. 基于结构化支持向量机的泄洪联动设计[J]. 软件, 2015, 36(9): 62-65
[10] 赵宏, 郭万鹏. 深度神经网络代价函数选择与性能评测研究[J]. 软件, 2018, 39(1): 14-20.
[11] Montemanni R, Smith DH, Gambardella LM. Ant colony systems for large sequential ordering problems[C]. Proceedings of the 2007 IEEE Swarm Intelligence Symposium, 2007: 478-482.
[12] Tu Yaping, Liu Ping, Xie Baoling, et al. Improvement for parameters of ant algorithm [J]. Journal of Chinese Computer Systems, 2010, 28(11): 1985-1987.
Improved ACO-SVM for Network Intrusion Detection
LIU Jing, YANG Zheng-xiao
(Software and service outsourcing Institute, Suzhou Chien-Shiung Institue of Technology, Taicang 215411, China)
In order to improve the detection accuracy network intrusion detection, this paper proposes a novel network intrusion detection method, namely the ACO-SVM which is based ant colony optimization algorithm and support vector machine to cope with feature selection issue for network intrusion detection. The classification accuracy of support vector machine and the selected feature dimension form the fitness function, and the ant colony optimization algorithm provides good global searching capability and multiple sub-optimal solutions, and a local refinement searching scheme is designed to exclude the redundant features and improves the convergence rate. The experimental results show that the proposed method has reduced features dimensionality greatly and improve the detection accuracy of network intrusion.
Feature selection; Ant colony optimization algorithm; Support vector machine; Network intrusion detection
TP181
A
10.3969/j.issn.1003-6970.2018.10.012
2018年江苏省“青蓝工程”项目资助;2018年江苏省333高层次人才培养工程项目;2017年太仓市科技局科技计划项目基础研究计划《基于攻击原型建模的工业控制网络安全技术研究》
刘静(1979-),女,硕士,副教授,主要研究领域为网络安全技术等;杨正校(1963-),男,硕士,教授,主要研究领域为网络安全技术、软件算法等。
刘静,杨正校. 改进ACO-SVM在网络入侵检测中的应用[J]. 软件,2018,39(10):57-59
