基于自適應進化神經(jīng)網(wǎng)絡算法的入侵檢測*

楊宏宇,趙明瑞,謝麗霞

(中國民航大學計算機科學與技術學院,天津 300300)

基于自適應進化神經(jīng)網(wǎng)絡算法的入侵檢測*

楊宏宇,趙明瑞,謝麗霞

(中國民航大學計算機科學與技術學院,天津 300300)

針對目前多數(shù)入侵檢測系統(tǒng)的低檢測率問題，提出一種自適應進化神經(jīng)網(wǎng)絡算法AENNA。基于遺傳算法和BP神經(jīng)網(wǎng)絡算法，利用模擬退火算法的概率突跳和局部搜索強的特性對遺傳算法進行改進，采用雙種群策略的遺傳進化規(guī)則實現(xiàn)BP神經(jīng)網(wǎng)絡權值和結構的雙重優(yōu)化；通過對遺傳算法的交叉算子與變異算子的改進，設計一種自適應的神經(jīng)網(wǎng)絡訓練方法。實驗結果表明，基于AENNA的入侵檢測方法能夠有效提高系統(tǒng)的檢測率并降低誤報率。

遺傳算法；神經(jīng)網(wǎng)絡算法；模擬退火算法；入侵檢測

1 引言

當今社會，隨著網(wǎng)絡技術和網(wǎng)絡規(guī)模的不斷發(fā)展，針對網(wǎng)絡和計算機系統(tǒng)的攻擊變得越來越頻繁，攻擊手法也復雜多樣。而傳統(tǒng)的入侵檢測技術由于技術自身的局限和不足已無法滿足安全高度敏感部門的需求，研究人員對諸如神經(jīng)網(wǎng)絡技術、專家系統(tǒng)、機器學習和進化算法等智能方法在入侵檢測中的應用開展了大量研究，為入侵檢測領域的研究開啟了一個嶄新的方向[1]。

文獻[2]在基于最小閉包球的支持向量機算法的基礎上，提出了基于廣泛內核的最小閉包球算法的入侵檢測方法,但該方法無法高效處理多類問題且范圍限制嚴格。文獻[3]提出一種基于關聯(lián)決策的網(wǎng)絡多源入侵檢測算法，該算法運用模糊識別手段，通過計算各個多源子攻擊的關聯(lián)度，對入侵行為進行模糊差異聚類，完成入侵檢測，但過于依賴參數(shù)特征的計算準確性，對預分類的結果影響較大。文獻[4]提出一種神經(jīng)網(wǎng)絡專家系統(tǒng)模型，并將該模型應用于入侵檢測系統(tǒng)，通過關聯(lián)檢測性能的方法擴充了單一系統(tǒng)的檢測能力，但該模型也增加了檢測時間，時間復雜度偏高。文獻[5]提出一種自適應遺傳算法，該算法首先考慮個體適應度的變化，并將交叉和變異概率在最大適應度與平均適應度之間作線性變換，但該算法在演化初期，較優(yōu)個體幾乎不發(fā)生變化，因此容易走向局部收斂。文獻[6]提出一種改進的自適應遺傳算法，并有效地應用到非線性系統(tǒng)的參數(shù)辨識問題上，但該算法中的局部較優(yōu)個體不易被淘汰，全局搜索能力不強，且對于分布偏多于平均適應度范圍的種群演化容易停滯不前。

傳統(tǒng)神經(jīng)網(wǎng)絡算法的收斂速度較慢；遺傳算法局部搜索能力差但全局搜索能力卻很強；模擬退火算法具有強收斂及概率突跳的特性。本文基于智能互補融合的觀點，將遺傳算法、模擬退火算法和神經(jīng)網(wǎng)絡結合提出一種自適應進化神經(jīng)網(wǎng)絡算法AENNA(Adaptive Evolutionary Neural Network Algorithm)。

2 神經(jīng)網(wǎng)絡改進進化算法

2.1 改進算法設計思路

傳統(tǒng)BP算法雖然具有簡單和可塑的優(yōu)點，但由于BP算法本質上是采用梯度下降搜索方法，因而不可避免地存在固有的不足，如易陷入誤差函數(shù)的局部極小點，而且對于較大搜索空間、多峰值和不可微函數(shù)等問題也不能有效搜索到全局極小點。而遺傳算法是克服這一不足的有效解決辦法，主要是由于遺傳算法是一種全局優(yōu)化搜索算法，因而能夠避開局部極小點，而且在進化過程中無需提供所要解決問題的梯度信息。另一方面，標準遺傳算法易出現(xiàn)未成熟收斂現(xiàn)象，雖然相應的改進方法很多，如調整操作參數(shù)、增加種群規(guī)模等，但都沒有考慮使改進后的算法具有學習能力和魯棒特性，這恰是神經(jīng)網(wǎng)絡的優(yōu)勢所在。因此，本文提出一種自適應進化神經(jīng)網(wǎng)絡算法 (AENNA)，通過改進遺傳算法，優(yōu)化BP神經(jīng)網(wǎng)絡的連接權值與網(wǎng)絡結構，應用于BP神經(jīng)網(wǎng)絡的訓練。

鑒于傳統(tǒng)遺傳算法個體的多樣性下降過快，影響遺傳算法通過交叉和變異跳出局部最優(yōu)的能力，本文采用雙種群遺傳策略。此策略屬于并行遺傳策略，即同時進行多種群的進化，這種策略的優(yōu)點在于可以改變種群內停滯的局面，在交換不同種群中優(yōu)秀個體遺傳信息的同時，能夠跳出局部最優(yōu)，這也加快了算法的進化速度。

用一個類來表示群體中的每個個體，同一種群的不同個體具有不同的隱含層數(shù)、節(jié)點數(shù)和連接權值。大種群中每個個體都來自一個小種群，小種群中所有個體均具有相同的網(wǎng)絡結構、不同的連接權值。不同小種群中的個體在群體內進化，小種群中適應度較高的個體則有較大概率進入大種群進行交叉和變異操作，而后回到原小種群進行下一次的小群體內部進化。小種群中的進化操作選用調整的自適應交叉算子和變異算子，大種群中的進化操作則采用調整的增加算子和刪除算子。

考慮到模擬退火算法在解決大型優(yōu)化組合問題上的有效性，本文將其引入到對遺傳算法的改進中，結合遺傳算法群體并行搜索能力和模擬退火概率突跳特性來改善優(yōu)化效率并避免局部極小的可能性。

遺傳算法中交叉算子和變異算子對于遺傳算法解空間的影響較大，這是由于交叉算子會造成染色體局部相似，交叉概率偏大會破壞適應度值高的個體，偏小則容易讓算法停滯；同樣，變異概率過大則變成了純粹的隨機搜索，過小則會導致無法驅動搜索轉向其他解空間，而無法接近最優(yōu)解。在參考了文獻[5,6]提出的自適應遺傳算法的基礎上，本文從小種群的交叉算子和小種群變異算子兩方面對遺傳算法進行改進。

2.2 小種群交叉算子

小種群選用調整自適應交叉算子進行種群個體間的交叉。根據(jù)種群適應度值的大小，逐漸地調整整個種群的交叉概率。調整后的交叉概率Pc的計算公式[6]為：

(1)

其中,fa表示最大適應度值，fi表示最小適應度值，fv表示平均適應度值，這三個值用來表示種群適應度的集中程度，使Pc隨適應度值在fa、fi和fv之間進行變化。f′為待交叉的兩個個體中較大的適應度值。公式中k1=0.6，k3=0.9，k2在(k1,k3)間取值。適應度函數(shù)為：

(2)

其中，F(xiàn)為適應度函數(shù)值，取值在[0,1]之間；E為誤差函數(shù)值；N為訓練樣本總數(shù)；ok(t)表示期望輸出；yk(t)表示網(wǎng)絡的實際輸出[7]。

對于個體的選擇，采用高適應度值、高概率中選方法將個體從父代中選出，其中概率pi的計算公式[8]為：

(3)

(4)

(5)

(6)

由于模擬退火法能有效解決大規(guī)模的組合優(yōu)化問題，所以運用模擬退火機制[10]對交叉后生成的子代進行取舍，具體步驟設計為：

步驟1依據(jù)式(5)和式(6)對父代個體X1、X2進行交叉，生成子代個體Y1、Y2，按照式(2)計算子代個體的適應度值F(Y1)、F(Y2)。

步驟2若F(Y1)>F(X1)且F(Y2)>F(X2)，則子代個體Y1取代父代個體X1，子代個體Y2取代父代個體X2，轉向步驟4；否則，若子代個體的適應度值小于父代個體的適應度值,則進行步驟3操作。

步驟3在[0,1]產(chǎn)生隨機數(shù)β，計算Δ=F(X)-F(Y)，其中，X為父代的個體，Y為子代個體；

其中，T0為初始溫度，d為初始種群個體間適應度的最大差值，α取0.01；Ti=T0(0.99i-1)，其中，i為進化代數(shù)；

Prob=min(1.0,exp(-Δ/Ti))

若Prob≥β，則子代個體Y取代父代個體X;否則保留父代個體X。

步驟4輸出取舍后的個體。

2.3 小種群變異算子

小種群采用調整自適應變異算子進行個體變異操作。變異概率依據(jù)適應度值的集中程度自適應地變化，通過設置參數(shù)區(qū)間來限制變異概率的取值范圍，可有效保證變異操作的合理性，調整后的變異概率Pm計算公式[9]為：

(7)

其中，fa、fv和fi分別代表種群中的最大適應度值、平均適應度值和最小適應度值；f為待變異的個體適應度值；k1=0.1，k3=0.09，k2均在(k3,k1)取值。

(8)

其中，t表示種群的總進化代數(shù)，r表示在[0,1]內非均勻分布的隨機數(shù)，T表示最大的進化代數(shù)，b表示系統(tǒng)參數(shù)(通常設為2)。

3 算法流程設計

在對神經(jīng)網(wǎng)絡進化算法的改進中，在交叉概率算子和變異概率算子的計算中采用了個體適應度概率方差，這樣能提高遺傳算法的收斂速度。同時，引入模擬退火算法對交叉子代進行取舍，也加快了遺傳迭代的進度。基于前文對神經(jīng)網(wǎng)絡進化算法的改進并參考文獻[11]，設計AENNA的實現(xiàn)步驟如下：

步驟1設定初始參數(shù)。設置BP神經(jīng)網(wǎng)絡的層數(shù)、每層神經(jīng)元個數(shù)、樣本數(shù)據(jù)模式和誤差值等。

步驟2初始化操作。用符合正態(tài)分布的小隨機數(shù)隨機產(chǎn)生p個染色體bi作為初始化的大種群。

步驟3估算操作。根據(jù)權值、閾值向量，用BP算法處理輸入、輸出樣本，獲得全局誤差E。若E滿足條件，則結束，若個體適應度值符合設定要求，則結束；否則轉入步驟4。

步驟4小種群演化操作(小種群的演化操作流程如圖1所示)。將大種群中的個體按照編碼長度的差異重組為多個小種群，并對每個小種群進行m代的進化處理。

步驟4.1選擇操作。按式(3)和式(4)的選取概率，采用高適應度值、高概率選擇法從父代中選擇個體進行計算。

步驟4.2交叉操作。按式(1)計算交叉概率，并依據(jù)式(5)和式(6)進行交叉運算。

步驟4.3對交叉后的個體進行模擬退火處理，做出必要的取舍。

步驟4.4變異操作。按式(7)計算變異概率，并依據(jù)式(8)進行變異運算。

步驟4.5判斷操作。若進化代數(shù)G

Figure 1 Small population evolution process圖1 小種群演化操作流程

步驟5大種群演化(大種群演化操作流程如圖2所示)。大種群中主要是不同結構網(wǎng)絡的演化競爭，個體按式(3)和式(4)的選擇概率計算公式進行改變其網(wǎng)絡結構的演化運算，其變異算子步驟如下：

步驟5.1刪除操作。將隱含層中所包含的某些節(jié)點的權值設置為0，即刪除節(jié)點及其連接。

步驟5.2增加操作。添加一些節(jié)點到隱含層，并產(chǎn)生相應的權值，然后按式(7)進行自適應變異。

步驟6新的大種群重組，轉到步驟3。

Figure 2 Big population evolution process圖2 大種群演化操作流程

4 基于AENNA的入侵檢測

基于AENNA算法的入侵檢測系統(tǒng)模型如圖3所示，其中包括數(shù)據(jù)捕獲引擎、特征提取模塊、數(shù)據(jù)預處理模塊、數(shù)據(jù)庫、AENNA訓練模塊、AENNA分類器模塊和響應模塊。

Figure 3 Intrusion detection model based on AENNA圖3 基于AENNA的入侵檢測模型

數(shù)據(jù)捕獲引擎模塊負責在網(wǎng)絡中發(fā)送和接收數(shù)據(jù)包。特征提取模塊主要將網(wǎng)絡數(shù)據(jù)包信息轉化為包含對應數(shù)據(jù)包特征值的網(wǎng)絡連接記錄。數(shù)據(jù)預處理模塊負責將字段數(shù)值歸一化到一個較小的區(qū)間范圍，減少由于記錄間字段數(shù)值差異過大而引發(fā)的網(wǎng)絡訓練不良表現(xiàn)。數(shù)據(jù)庫模塊主要是為了方便存儲，選用數(shù)據(jù)庫存放預處理模塊處理的數(shù)據(jù)以及通過分類器檢測后的結果。AENNA訓練模塊將從數(shù)據(jù)庫中提取標準的數(shù)據(jù)(包括給定的樣本記錄向量和網(wǎng)絡訓練要達到的目標)對分類器進行訓練。AENNA分類器模塊可以對輸入中的未知的網(wǎng)絡連接記錄判別為正常或入侵，并做出相應處理。響應模塊主要用以接收從AENN分類器檢測出的結果，并對入侵行為發(fā)出警報。

本文的重點是設計對AENNA分類器，其原理是應用數(shù)據(jù)及劃分后的訓練樣本集對BP神經(jīng)網(wǎng)絡分類器進行訓練，在進化神經(jīng)網(wǎng)絡內部建立起對訓練樣本的識別模型并存儲這些攻擊行為的特征模式；然后對捕獲的網(wǎng)絡數(shù)據(jù)流進行分析處理，以區(qū)分正常的網(wǎng)絡行為和異常網(wǎng)絡行為；當檢測到未知類型的攻擊行為時，將其反饋給學習樣本庫以供BP神經(jīng)網(wǎng)絡進行再學習，從而體現(xiàn)AENNA算法分類引擎所具備的通過學習不斷擴展檢測范圍的能力。

5 實驗與結果分析

5.1 實驗數(shù)據(jù)

目前入侵檢測研究領域常用的數(shù)據(jù)集有MITLL、SOTM(Scanofthemonth)、Defcon數(shù)據(jù)集及由哥倫比亞大學IDS實驗室基于MITLL采集整理形成的KDDCUP99數(shù)據(jù)集。由于MITLL數(shù)據(jù)集未經(jīng)格式化處理，數(shù)據(jù)的攻擊特征不規(guī)范；SOTM和Defcon數(shù)據(jù)集中數(shù)據(jù)無攻擊標記，數(shù)據(jù)篩選比較復雜繁瑣；KDDCUP99(簡稱KDD99)對MITLL數(shù)據(jù)集的網(wǎng)絡流量進行了格式化處理，改進并規(guī)范了特征的表示，提供了適用于各種入侵檢測算法進行測試和評估的數(shù)據(jù)集[12]。所以，KDD99網(wǎng)絡數(shù)據(jù)集仍是目前公認的最優(yōu)秀且影響最廣泛的網(wǎng)絡安全審計數(shù)據(jù)集，自公布以來出現(xiàn)了許多基于此數(shù)據(jù)集的研究成果和研究論文。因此，為了驗證AENNA入侵檢測算法的檢測效果，本文采用KDD99數(shù)據(jù)集進行檢測驗證實驗。

KDD99數(shù)據(jù)集是入侵檢測領域通用的實驗數(shù)據(jù)集，其中包括四種攻擊類型的39種不同攻擊的大約500萬條連接記錄，22種出現(xiàn)在訓練數(shù)據(jù)集中，17種出現(xiàn)在測試集中。四種類型分別是刺探攻擊Probe、拒絕服務DOS、獲取根權限U2R、遠程攻擊R2L。

原始數(shù)據(jù)集中記錄數(shù)過于龐大，依據(jù)各類型所占比例，從KDDdata_10_percent和Correct中提取相應的攻擊記錄，其中DOS攻擊記錄約占94%，Probe攻擊記錄數(shù)約占3%，R2L攻擊記錄數(shù)約占2%，U2R攻擊記錄數(shù)約占1%。在攻擊集的基礎上，選取一部分正常連接記錄數(shù)據(jù)與DOS數(shù)據(jù)記錄，按照1∶3的概率將其混雜入正常數(shù)據(jù)流量集，形成不均衡數(shù)據(jù)集。選取49 400個有效數(shù)據(jù)形成訓練集，并選取80 500個數(shù)據(jù)構成測試集[12]。

數(shù)據(jù)集中每個網(wǎng)絡連接記錄中都包含41維數(shù)據(jù)，利用信息熵理論[13]，計算數(shù)據(jù)集中每個特征判定網(wǎng)絡連接為攻擊還是正常狀態(tài)的信息量，并按信息量大小進行排列，最終選取判定所含信息量較大的前10維特征用于實驗，從而實現(xiàn)數(shù)據(jù)集中連接記錄特征的降維，形成了更為高效精簡的數(shù)據(jù)集以用于后續(xù)的實驗。實驗數(shù)據(jù)的具體構成如表1所示。

Table 1 Composition of experimental data sets表1 實驗數(shù)據(jù)集的組成

5.2 實驗測試與結果

實驗測試環(huán)境為PC機，操作系統(tǒng)為Windows XP、奔騰雙核2.0 GHz CPU、2 GB內存，采用Matlab 7.0結合Myeclipse 8.5軟件平臺在PC機上對AENNA算法進行仿真實現(xiàn)，并利用已實現(xiàn)的算法仿真模塊對表1中的KDD實驗數(shù)據(jù)集進行檢測驗證實驗。

首先采用AENNA算法結合實驗訓練數(shù)據(jù)集對BP神經(jīng)網(wǎng)絡進行訓練，并將訓練好的神經(jīng)網(wǎng)絡用于入侵檢測，利用實驗測試數(shù)據(jù)集測試其檢測性能；其次與將BP神經(jīng)網(wǎng)絡算法、遺傳算法、傳統(tǒng)進化神經(jīng)網(wǎng)絡算法作為訓練算法的訓練好的神經(jīng)網(wǎng)絡的檢測性能做對比。

為了更容易觀察和調整BP神經(jīng)網(wǎng)絡的訓練結果，根據(jù)實際情況，本文采用僅含有一個隱含層的BP 神經(jīng)網(wǎng)絡。根據(jù)2.1節(jié)中算法的改進思路，利用大小雙種群來優(yōu)化進化神經(jīng)網(wǎng)絡的隱層節(jié)點數(shù)，從而確定網(wǎng)絡結構。由于Sigmoid 函數(shù)是一個連續(xù)可微的函數(shù)，可以將輸入值映射到[0,1]內，方便進化神經(jīng)網(wǎng)絡的處理，可以滿足BP 模型對傳遞函數(shù)的連續(xù)可微的要求，因此將其作為傳遞函數(shù)。初始權值則通過隨機的方法將其置為-10～10 的小隨機數(shù)。其余的網(wǎng)絡權值及閾值則通過改進的自適應進化算法來進行優(yōu)化。

根據(jù)上述規(guī)則設定參數(shù)，并參考文獻[11]，在對AENNA的仿真實現(xiàn)中，網(wǎng)絡權值取值區(qū)間定義為(-10，10)，將精確度確定為0.01，設置輸入節(jié)點個數(shù)為10，輸出節(jié)點數(shù)為2，誤差精度設為±0.01，并設置不同的種群、隱含層節(jié)點、進化代數(shù)的參數(shù)進行對比實驗，實驗結果如表2所示。

Table 2 Comparison of experimentalresults under different parameters表2 不同參數(shù)取值的實驗結果比較

由表2可見，當隱含層的節(jié)點數(shù)為7時，AENNA中個體的適應度在較小的遺傳代數(shù)后取得最優(yōu)值。因此，優(yōu)化后的網(wǎng)絡結構為“10-7-2”。將網(wǎng)絡權值和閾值作為優(yōu)化結構后的BP神經(jīng)網(wǎng)絡的初始權值和閾值，輸入實驗訓練樣本數(shù)據(jù)集對其進行訓練。樣本訓練完成后，利用KDD實驗測試數(shù)據(jù)集在已知BP神經(jīng)網(wǎng)絡上進行入侵檢測測試，得到的檢測結果如表3所示。

Table 3 Intrusion detection results based on AENNA表3 基于AENNA的入侵檢測結果

由表2和表3可見，在入侵檢測實驗中，當種群大小設定為155個、隱含層節(jié)點數(shù)設定為7層且進化代數(shù)設為90次時，基于AENNA的入侵檢測效果最佳，此時的誤報率和漏報率都相對較小。

為進行訓練算法的檢測性能對比，根據(jù)參考文獻[11]中的參數(shù)設置，特設定統(tǒng)一的實驗參數(shù)值，如表4所示。

采用實驗中的精簡數(shù)據(jù)集，對BP神經(jīng)網(wǎng)絡算法、遺傳算法、傳統(tǒng)神經(jīng)網(wǎng)絡進化算法和基于AENNA的入侵檢測方法進行檢測對比，其中BP神經(jīng)網(wǎng)絡的輸入節(jié)點數(shù)為10，輸出節(jié)點數(shù)為2，隱含層節(jié)點設為6，遺傳算法的初始種群設為50，適應度函數(shù)采用基于誤差函數(shù)的適應度函數(shù)。檢測效果對比如表5所示。

Table 4 Parameters setting of comparison test表4 對比實驗的參數(shù)設置

Table 5 Comparison of intrusion detection performance表5 入侵檢測效果比較

從表5中可以清楚地看出，基于AENNA的入侵檢測算法不但對已知入侵行為有較高的檢測率，而且對于未知入侵行為也有較好的檢測率。與采用BP算法、遺傳算法和進化BP算法的入侵檢測方法相比，AENNA的入侵檢測算法有較高的檢測率和較低的誤報率。

6 結束語

為提高入侵檢測系統(tǒng)的檢測效率，本文在進化神經(jīng)網(wǎng)絡算法基礎上，提出一種自適應進化神經(jīng)網(wǎng)絡算法(AENNA)，以大小兩個種群的雙種群遺傳策略為著眼點，通過改進交叉算子和變異算子的計算方式及公式參數(shù)，結合模擬退火算法對遺傳算法進行了改進，并利用遺傳算法對BP神經(jīng)網(wǎng)絡算法進行網(wǎng)絡結構及連接權值優(yōu)化。通過與其他主流入侵檢測算法的檢測性能對比實驗，表明基于AENNA的入侵檢測算法對入侵檢測系統(tǒng)的檢測性能有較大的提升。由于在遺傳算法的改進中引入了模擬退火算法思想，增加了整個算法的時間復雜度，因此下一步研究將解決時間復雜度過高的問題。

[1] Qing Si-han, Jiang Jian-chun, Ma Heng-tai, et al. Research on intrusion detection techniques:A survey[J]. Journal of China Institute of Communications, 2004, 25(7):19-29. (in Chinese)

[2] Wang Qi-an,Chen Bing.Intrusion detection system using CVM algorithm with extensive kernel methods[J]. Journal of Computer Research and Development, 2012,49(5):974-982. (in Chinese)

[3] Wang Tao.Association decision based multiple source network intrusion detection algorithm[J]. Computer Simulation, 2012, 29 (8):120-122. (in Chinese)

[4] Gong Xing-chao, Guan Xin. Intrusion detection model based on the improved neural network and expert system[C]∥Proc of IEEE Symposium on Electrical & Electronics Engineering, 2012:191-193.

[5] Srinivas M, Andrew H. A comparative study of techniques for intrusion detection[C]∥Proc of the 23rd IEEE International Conference on Tools with Artificial Intelligence, 2009:570-577.

[6] Ren Zi-wu, San Ye. Improved adaptive genetic algorithm and its application research in parameter identification[J]. Journal of System Simulation, 2006,18(1):41-66. (in Chinese)

[7] Huang Li-jun, Xu Yong-hua. Solving TSP converged on genetic algorithm and the ant algorithm[J]. Journal of Northeast Agricultural University, 2008,39(4):109-113. (in Chinese)

[8] Li Shu-hui, Ma Li, Xu Xue-zhou. Intrusion detection techniques research based on genetic neural networks [J]. Modern Electronic Technique,2005(5):78-80.(in Chinese)

[9] Yan Yan.A new adaptive genetic algorithm[D]. Harbin:Harbin Engineering University, 2007. (in Chinese)

[10] Yang Wei-bo,Zhao Yan-wei.Improved simulated annealing algorithm for TSP [J]. Computer Engineering and Applications, 2010,46(15):34-36. (in Chinese)

[11] Li Shu-hui. Improved evolutionary neural network algorithm and its applications in intrusion detection[J]. Modern Electronic Technique, 2010, 33(1):78-80. (in Chinese)

[12] Zhang Xin-you, Zeng Hua-can, Jia Lei. Research of intrusion detection system dataset-KDD CUP99[J]. Computer Engineering & Design, 2010,31(2):4809-4813. (in Chinese)

[13] Xu Yong-hua, Li Guang-shui. Incremental SVM intrusion detection algorithm based on distance weighted template reduction and attribute information entropyc [J]. Computer Science, 2012, 39(12):76-78. (in Chinese)

附中文參考文獻：

[1] 卿斯?jié)h, 蔣建春, 馬恒太,等. 入侵檢測技術研究綜述[J]. 通信學報, 2004, 25(7):19-29.

[2] 王奇安, 陳兵. 基于廣泛內核的CVM算法的入侵檢測[J]. 計算機研究與發(fā)展, 2012, 49(5):974-982.

[3] 王濤. 基于關聯(lián)決策算法的網(wǎng)絡多源入侵檢測[J]. 計算機仿真, 2012, 29(8):120-122.

[6] 任子武, 傘冶. 自適應遺傳算法的改進及在系統(tǒng)辨識中應用研究[J]. 系統(tǒng)仿真學報, 2006,18(1):41-66.

[7] 黃立君, 許永花. 遺傳算法和蟻群算法融合求解TSP[J]. 東北農(nóng)業(yè)大學學報, 2008,39(4):109-113.

[8] 李淑慧, 馬力, 徐學洲. 基于遺傳神經(jīng)網(wǎng)絡的入侵檢測方法研究[J]. 現(xiàn)代電子技術,2005(5):78-80.

[9] 閆妍. 一種新的自適應遺傳算法[D]. 哈爾濱:哈爾濱工業(yè)大學, 2007.

[10] 楊衛(wèi)波, 趙燕偉. 求解TSP問題的改進模擬退火算法[J]. 計算機工程與應用, 2010,46(15):34-36.

[11] 李淑慧. 改進進化神經(jīng)網(wǎng)絡算法及其在入侵檢測中的應用[J]. 現(xiàn)代電子技術,2010,33(1):78-80.

[12] 張新有, 曾華粲, 賈磊. 入侵檢測數(shù)據(jù)集KDD CUP99研究[J]. 計算機工程與設計,2010,31(2):4809-4813.

[13] 徐永華, 李廣水. 基于距離加權模板約簡和屬性信息熵的增量SVM入侵檢測算法[J]. 計算機科學, 2012,39(12):76-78.

YANGHong-yu,born in 1969,post doctor,his research interest includes network information security.

趙明瑞(1985-),男,河北衡水人，碩士生，研究方向為網(wǎng)絡信息安全。E-mail:Zhaomingrui545@163.com

ZHAOMing-rui,born in 1985,MS candidate,his research interest includes network information security.

Intrusiondetectionbasedontheadaptiveevolutionaryneuralnetworkalgorithm

YANG Hong-yu,ZHAO Ming-rui,XIE Li-xia

(School of Computer Science and Technology,Civil Aviation University of China,Tianjin 300300,China)

Aiming at the problem of low detection rate existed in current intrusion detection systems,an adaptive evolutionary neural network algorithm (AENNA) based on the genetic algorithm and the BP algorithm is proposed.Firstly,considering the characteristic of probabilistic jumping property and local search ability in the simulated annealing algorithm,the genetic algorithm is improved.Secondly, using the dual population evolution rule,the algorithm optimizes the weight and the network structure of the BP neural network simultaneously.An adaptive neural network training method is designed through improving the crossover operator and mutation operator of the genetic algorithm.Experimental results show that the AENNA based intrusion detection method can effectively improve the detection rate and reduce the false positive rate.

genetic algorithm;neural network;simulated annealing algorithm;intrusion detection

1007-130X(2014)08-1469-07

2012-12-30;

：2013-04-03

國家自然科學基金資助項目(60776807,61179045)；國家863計劃資助項目(2006AA12A106)；天津市科技計劃重點項目(09JCZDJC16800)；中國民航科技基金(MHRD201009,MHRD201205)；中央高校基本科研業(yè)務費專項(ZXH2009A006)

TP393.08

：A

10.3969/j.issn.1007-130X.2014.08.008

楊宏宇(1969-),男,吉林長春人，博士后，教授,研究方向為網(wǎng)絡信息安全。E-mail:yhyxlx@hotmail.com

通信地址：300300 天津市東麗區(qū)中國民航大學(北區(qū))6#民航信息技術科研基地

Address:IT Science and Research Base of CAAC,6#,Civil Aviation University of China(North Campus),Dongli District,Tianjin 300300,P.R.China