基于改進粒子群優化SVM的多分類入侵檢測研究

楊智慧，王華忠，顏秉勇，陳冬青

(1.華東理工大學化工過程先進控制和優化技術教育部重點實驗室, 上海200237；2.中國信息安全測評中心， 北京100085)

?

基于改進粒子群優化SVM的多分類入侵檢測研究

楊智慧1，王華忠1，顏秉勇1，陳冬青2

(1.華東理工大學化工過程先進控制和優化技術教育部重點實驗室, 上海200237；2.中國信息安全測評中心， 北京100085)

摘要：針對工控網絡數據的高維特性以及攻擊方式多樣性而導致傳統入侵檢測算法檢測準確率低等問題，采用改進粒子群(PSO)算法優化支持向量機的參數，提出改進的PSO-SVM多分類入侵檢測方法。該方法將SVM參數作為改進PSO的粒子，將SVM分類準確率作為PSO的目標函數進行全局搜索以確定SVM的最優參數，建立基于改進PSO-SVM的“一對一”多分類工控入侵檢測模型。最后采用密西西比州立大學關鍵基礎設施保護中心提出的工控標準數據集進行仿真實驗，結果表明，該算法針對不同的攻擊方式的平均檢測準確率均能達到90%以上，能夠準確識別攻擊類型，可為工控系統入侵檢測提供有效方法。

關鍵詞：入侵檢測；粒子群；支持向量機；多分類

0引言

入侵檢測系統(intrusion detection system，IDS)是信息安全領域的重要防御技術。在信息化與工業化深度融合[1]的發展趨勢下，越來越多的工業控制系統使用分布式架構連接到外部企業網絡和互聯網。現代工業控制系統正逐步朝著更加開放和標準的方向發展，使用標準通信協議在優化工業生產和通信過程的同時也增加了工業控制系統的安全風險。近年來，繼伊朗“震網”病毒事件后，惡意攻擊事件正在不斷向工業控制領域蔓延。因此，入侵檢測已成為工業控制系統網絡安全領域的研究熱點[2]。

支持向量機(support vector machine, SVM)是一種基于統計學習的機器學習算法[3]，目前已被廣泛應用于工業控制系統網絡入侵檢測領域[4]。Justin等[5]研究了機器學習算法，如SVM、樸素貝葉斯等應用于工業控制系統入侵檢測的可行性，并應用工業控制系統提取的標準數據集對多種機器學習方法的查準率、查全率進行評估。Jiang等[6]初探了SVM算法在SCADA系統入侵檢測領域的應用，并應用通信系統提取的網絡數據集進行仿真實驗，結果表明SVM算法具有較好的檢測效果。

工控網絡通信協議數據的高維特性以及攻擊方式的多樣性導致傳統SVM算法檢測準確率低。SVM入侵檢測算法的分類性能主要取決于核函數各參數的取值[7]。粒子群算法(particle swarm optimization, PSO)作為一種基于迭代的優化技術，具有遺傳算法的優點，其運算速度快，容易實現，將其應用于SVM參數尋優非常適合。基于PSO對SVM進行參數尋優的方法已被廣泛應用在網絡入侵檢測領域[8]，但PSO優化SVM參數具有陷入局部最優的缺陷[9]。為了解決上述問題，對粒子群的ω權重進行改進，ω隨著迭代次數的增加線性增加，當迭代次數達到某一閾值時，重置ω值，使算法快速跳出局部極值。與傳統遺傳算法相比，改進PSO-SVM具有收斂速度快，精度高的特點。為此，本文構建基于改進的PSO-SVM多分類模型，應用密西西比州立大學關鍵基礎設施保護中心提供的工控數據集進行仿真實驗，結果顯示，本文提出的算法相比PSO-SVM算法具有較高的檢測準確率以及較低的漏報率與誤報率，并能夠準確識別攻擊類型。

1改進PSO-SVM入侵檢測算法

1.1支持向量機

支持向量機(Support Vector Machine)最早是由貝爾實驗室Vapnik等提出的基于統計學理論的機器學習方法[10-11]，該方法在小樣本、高維的圖像識別、生物信息學等領域得到了廣泛的應用。支持向量機依據小樣本數據建立相關模型，利用非線性映射將低維空間的數據映射到高維特征空間，并在高維特征空間構造最優分類超平面。樣本數據中離最優超平面最近且位于與超平面平行的平面上的樣本數據稱作支持向量(Support Vector, SV)。求解最優超平面可歸結為在原空間上求解如下的凸二次規劃問題，即在約束條件為：

(1)

求解目標函數的最小值：

(2)

其中，C為誤差懲罰系數，引入Lagrange乘子方法將該問題轉化為如下的對偶形式：

(3)

且滿足如下約束條件：

(4)

其中，k(x(i),x(j))為核函數，αi為Lagrange乘子，利用得到的αi,b及支持向量，得到相應的分類模型，即：

(5)

其中，sgn()為符號函數，可通過函數的正負判斷樣本集數據的類別。使用不同核函數可以建立不同的SVM分類器模型，徑向基核函數(RBF)具有分類準確率高，運行時間短的特點。因此，本次研究使用核函數為：

(6)

1.2改進PSO對SVM參數的優化

PSO算法是美國研究者提出的一種基于群智能方法的優化計算技術[12]，具有收斂速度快的優點。該算法是通過模擬鳥類等動物的覓食過程，在優化問題的解空間內，隨機初始化PSO算法的每個粒子的初始位置，并使之具有一定的初始速度；計算每一個粒子的適應度函數值，通過對每一代適應度值確定粒子的個體最優位置(pbest)和全局最優位置(gbest)；在搜索到兩個最優位置之后，粒子通過跟蹤個體最優位置和全局最優位置來不斷更新自己的速度和位置。算法的數學描述如下：

(7)

(8)

其中，ω為慣性權重，c1,c2為加速因子，pbest為個體最優值，gbest為全局最優值。粒子速度的更新是由當前速度、個體最優和全局最優共同作用完成的。

為了增強算法的全局搜索能力，本研究對粒子群的ω權重進行改進，ω隨著迭代次數的增加線性增加，當迭代次數達到某一閾值時，重置ω的初始值，使算法快速跳出局部極值，以便找出最優解。具體描述如下：

(9)

式中，iter表示迭代次數，itersum表示總的進化次數，itermax表示迭代次數的閾值，ωmax表示最大慣性權值，ωmin表示最小慣性權值。

改進的PSO優化SVM參數的步驟如下：

Step 1:初始化粒子群，設定算法的當前迭代初始值為iter=1，設定總的迭代次數itersum和迭代次數的閾值itermax，并設置算法的慣性權重值ωmax和ωmin。

Step 2:通過適應度函數計算每個粒子的適應度值，并根據式(7)、(8)、(9)不斷迭代更新粒子的位置。

Step 3:通過適應度值最大原則對粒子群中的各個粒子進行迭代搜索，對于每個粒子，將適應度函數值與其pbest對應的適應值進行比較，若優于最優值，則更新pbest，否則保留原值。然后比較更新后的各個粒子的pbest與全局極值gbest，若優于群體最優值，更新gbest，否則保留gbest原值不變[13]。

Step 4:判斷是否滿足算法終止條件，若已達到最大迭代次數，或者粒子的適應度值不再變化，則算法結束，否則返回Step 3進行迭代。

1.3構建改進PSO-SVM多分類模型

傳統的SVM算法是針對二值分類而提出的，但在實際入侵檢測中對攻擊類別的判斷都需要構造多分類器來實現[14]。本研究采用間接法，即通過對多個二分類器進行組合來實現多分類器。由于一對多法(one-versus-rest,1-v-r SVMS)對單一的二分類器要求較高，因此，采用一對一法(one-versus-one,1-v-1 SVMS), 這需要構造n(n-1)/2個SVM，每個SVM由相應的兩類樣本訓練。例如，在第i類和第j類尋找最優超平面，設相應的訓練集為：

(xij,t,yij,t), t=1,2,…,nij，xij,t∈Rd,yij,t∈{i,j},

(10)

(11)

(12)

采用式(5)建立n(n-1)/2個SVM模型后，應用最大贏投票法(Max-Wins Voting)對檢測樣本集進行分類，即對n個類的訓練樣本任意兩類使用二分類SVMij進行比較，每次競爭淘汰，直至最后優勝分類機輸出的類別即為測試樣本的類別。

2入侵檢測仿真實驗

2.1數據源

為了驗證本文提出的基于改進的PSO-SVM入侵檢測系統的有效性，采用密西西比州立大學關鍵基礎設施保護中心于2014年提出的用于工控系統入侵檢測評估的數據集。該數據集為儲水池控制系統中注入攻擊提取的網絡數據[15]，并且已經進行數值化處理，數據集包括三大類攻擊類型：命令注入攻擊(CommandInjection)、響應注入攻擊(ResponseInjection)、拒絕服務攻擊(DenialofService,DoS)，每個攻擊類型分為不同的攻擊方式。在數據集中，每條網絡數據包括27個標記特征，其中26個為連接特征，1個為標記。

為了分析訓練樣本與測試樣本數目對檢測結果的影響，定義sumi為每類攻擊的樣本總數，參數α作為劃分訓練樣本數與測試樣本數的控制因子，在模型中，訓練樣本數為α×sumi，測試樣本數為(1-α)×sumi。

2.2數據預處理

標準化處理：從工業控制系統網絡提取的樣本數據其特征值為不同的度量單位，具有不同的特征屬性，為了消除這些因素對數據分析結果的影響，進行數據標準化預處理：

(13)

其中，Xmax=1，Xmin=0，即[0,1]標準化處理。

提取主成分：對提取的樣本數據進行降維處理是入侵檢測的必要環節。本文采用主成分分析法(PCA)，準確地提取反映數據屬性的信息主元，累計貢獻率設為90%。本研究中通過PCA方法提取了4個反應攻擊特征的主成分變量。

2.3基于改進PSO的SVM參數優化

圖1　改進PSO優化SVM參數　Fig.1　Improved PSO optimized SVM parameters

取α=0.45，此時總體訓練樣本數為1 705，測試樣本總數為2 202，每類攻擊的訓練樣本數為0.45×sumi，測試樣本總數為0.55×sumi。運用改進PSO算法進行SVM參數尋優，其中粒子數選擇20。圖1為改進PSO優化SVM參數的結果。由圖1可知，當PSO進化到23代時，取得了分類準確率最優值98.35%。

表1為PSO算法、遺傳算法(GA)對SVM參數進行優化的對比結果。由表1可以看出，本文所提出的改進PSO算法雖然時間成本提高，但準確率最高；PSO算法雖然收斂速度較快，但準確率偏低；而GA優化效果最差。因此，本文提出的改進PSO優化算法對SVM具有良好的參數尋優效果。

表1　優化結果對比

2.4攻擊檢測實驗結果分析

2.4.1本文算法的檢測結果

為了對攻擊類型進行檢測，本文用數字1～6對不同的攻擊類型進行標記，其詳細的數據描述如表2所示。

表2　數據描述

取α=0.45時，得到基于改進PSO優化SVM參數的支持向量機多分類器入侵檢測模型。用這些分類器對測試樣本集進行預測，結果如圖2所示。由圖2可知，標記為1,2,3,4,6的攻擊檢測結果均具有較高的準確率，并且具有低的漏報率與誤報率，標記為5的攻擊類型準確率略低，存在一定的漏報率，但仍具有良好的檢測效果。

圖2　多分類器入侵檢測結果

2.4.2樣本個數對入侵檢測結果的影響

為了分析訓練數據集的樣本個數對測試數據集分類準確率的影響，對α參數選取不同的數值，可得到不同的訓練數據集和測試數據集。表3為選取不同的α參數條件下實際的入侵檢測結果。由表3可知，當α因子取0.5數值附近時，分類準確率處于較高的水平，當α大于0.5時，分類準確率會有所下降，但依舊保持在90%左右。可以看出，基于改進的PSO-SVM入侵檢測模型具有良好的檢測效果和穩定性。

表3　不同樣本個數算法的入侵檢測結果

2.4.3模型評價

為了驗證本文算法在入侵檢測領域存在優勢，采用PSO-SVM、樸素貝葉斯算法的入侵檢測查準率結果作為參比模型。表4為本文算法在α=0.45時的檢測結果與其他入侵檢測算法在查準率、漏報率、誤報率三個方面的結果比較。

表4　不同算法對注入攻擊性能比較

由表4可知，PSO-SVM和貝葉斯算法在檢測注入攻擊行為時具有較低的查準率和較高的漏報率。本文算法在檢測注入攻擊行為時查準率有所提高，并且具有低漏報率與誤報率。由此可以說明，本文算法具有良好的檢測效果。

3結語

本文提出改進的PSO-SVM入侵檢測算法，并采用工控數據集進行仿真實驗，驗證其可行性。針對具有高維特征的網絡數據及傳統SVM檢測準確率低的難點，使用改進粒子群算法對SVM參數進行尋優，建立最優的支持向量機多分類入侵檢測模型。應用密西西比州立大學提供的標準數據集進行驗證。研究表明，本文算法可以在非常短的時間內檢測到未知攻擊，并能準確地識別攻擊類型。為了分析訓練數據集的樣本個數對測試數據集分類準確率的影響，本研究引入α因子。研究發現，α因子取0.5數值附近時，分類準確率處于較高的水平，當α大于0.5時，分類準確率依舊保持在90%左右，具有良好的穩定性，并且該算法比PSO-SVM、樸素貝葉斯算法有較高的準確率和較低的漏報率、誤報率。

參考文獻:

[1]MANUEL C, LUCA D, ADRIANO V, et al.Review of security issues in industrial networks[J]. IEEE Transactions on Industrial Informatics, 2013,9(1):277-293.

[2]FAN X H, FAN K F, WANG Y, et al.Overview of cyber-security of industrial control system.[C]//2015 International Conference on Cyber Security of Smart cities, Industrial Control System and Communications.Shanghai: IEEE Press, 2015:1-7.

[3]顧嘉運，劉晉飛，陳明.基于SVM的大樣本數據回歸預測改進算法[J]. 計算機工程,2014,40(1)：161-166.

[4]KANG D H, KIM B K, NA J C.Cyber threats and defence approaches in SCADA systems[C]//Advanced Communication Technology (ICACT).Pyeongchang: IEEE Press, 2014:324-327.

[5]JUSTIN M B, RAYMOND C B, MARK A B.An Evaluation of machine learning methods to detect malicious SCADA communications[C]// International Conference on Machine Learning and Applications. Miami: IEEE Press, 2013:54-59.

[6]JIANG J, LASITY Y.Anomaly detection via one class SVM for protection of SCADA Systems[C]//International Conference on Cyber-Enabled Distributed Computing and Knowledge Discovery.Beijing: IEEE Press, 2013:82-88.

[7]HUANG C, WANG C.A GA-based feature selection and parameters optimization for support vector machines[J]. Expert Systems with Applications, 2006,31(2):231-240.

[8]向昌盛,張林峰.PSO-SVM在網絡入侵檢測中的應用[J]. 計算機工程與設計, 2013,34(4):1222-1225.

[9]鞠秋文.PSO—SVM算法在網絡入侵檢測中的研究[J]. 計算機仿真,2011.28(4):130-148.

[10]滕少華,樊繼慧,陳瀟,等.SVM多分類器協同挖掘局域氣象數據[J]. 廣西大學學報(自然科學版),2014,39(5):1131-1137.

[11]李輝,管曉宏,暫鑫,等.基于支持向量機的網絡入侵檢測[J]. .計算機研究與發展,2003,40(6):799-807.

[12]樂美龍,黃薇.基于粒子群算法的泊位分配集成優化研究[J]. 廣西大學學報(自然科學版),2014,39(1):119-124.

[13]李明,張勇,李軍權,等.改進PSO-SVM在說話人識別中的應用[J]. 電子科技大學學報,2007.36(6):212-215.

[14]沈健,蔣蕓,鄒麗,等.基于節點選擇優化的DGA-SVM多類別分類[J]. 計算機工程,2015,41(6):143-146.

[15]MORRIS T, GAO W.Critical infrastructure Protection VIII[M]. IFIP: Springer-Verlag,2014,65-78.

(責任編輯裴潤梅)

收稿日期：2016-02-20；

修訂日期：2016-04-10

基金項目：國家自然科學青年基金資助項目(51407078)

通訊作者：王華忠(1969—)，男，江蘇南京人，華東理工大學副教授，博士；E-mail: hzwang@ecust.edu.cn。

doi:10.13624/j.cnki.issn.1001-7445.2016.0779

中圖分類號：TP309

文獻標識碼：A

文章編號：1001-7445(2016)03-0779-07

Research on intrusion detection based on improved particle swarm optimization SVM

YANG Zhi-hui1, WANG Hua-zhong1, YAN Bing-yong1，CHEN Dong-qing2

(1.Key Laboratory of Advanced Control and Optimization for Chemical Processes，East China University of Science and Technology, Shanghai 200237，China;2.China Information Technology Security Evaluation Center，Beijing 100085，China)

Abstract：For the problem of traditional intrusion detection algorithms with low detection accurate rate which is caused by the high dimensional characteristics of the industrial control network data and diversity of attack patterns, a improved particle swarm optimization (PSO) algorithm which used to optimize the parameters of support vector machine (SVM), and an improved PSO-SVM multi classification intrusion detection method is proposed. The support vector machine parameters are optimized by particle swarm of particles while the SVM classification accuracy is used as particle swarm target function for global search to determine the optimal parameters of SVM. Base on the improved PSO-SVM “one to one” classification an industrial intrusion detection mode is established. Finally, the simulation experiment is carried on with the latest proposed industrial standard data sets by the Mississippi State University Center for critical infrastructure protection. The results show that the average detection accuracy rate of the proposed algorithm can reach more than 90% for different ways of attacking, and can identify the type of attack accurately. The improved PSO-SVM provides an effective method for the intrusion detection of industrial control system.

Key words：intrusion detection; particle swarm optimization; support vector machine; multi classification

引文格式： 楊智慧，王華忠，顏秉勇，等.基于改進粒子群優化SVM的多分類入侵檢測研究[J].廣西大學學報(自然科學版)，2016，41(3)：779-785.