基于改進(jìn)粒子群優(yōu)化SVM的多分類入侵檢測(cè)研究

楊智慧，王華忠，顏秉勇，陳冬青

(1.華東理工大學(xué)化工過程先進(jìn)控制和優(yōu)化技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室, 上海200237；2.中國(guó)信息安全測(cè)評(píng)中心， 北京100085)

?

基于改進(jìn)粒子群優(yōu)化SVM的多分類入侵檢測(cè)研究

楊智慧1，王華忠1，顏秉勇1，陳冬青2

(1.華東理工大學(xué)化工過程先進(jìn)控制和優(yōu)化技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室, 上海200237；2.中國(guó)信息安全測(cè)評(píng)中心， 北京100085)

摘要：針對(duì)工控網(wǎng)絡(luò)數(shù)據(jù)的高維特性以及攻擊方式多樣性而導(dǎo)致傳統(tǒng)入侵檢測(cè)算法檢測(cè)準(zhǔn)確率低等問題，采用改進(jìn)粒子群(PSO)算法優(yōu)化支持向量機(jī)的參數(shù)，提出改進(jìn)的PSO-SVM多分類入侵檢測(cè)方法。該方法將SVM參數(shù)作為改進(jìn)PSO的粒子，將SVM分類準(zhǔn)確率作為PSO的目標(biāo)函數(shù)進(jìn)行全局搜索以確定SVM的最優(yōu)參數(shù)，建立基于改進(jìn)PSO-SVM的“一對(duì)一”多分類工控入侵檢測(cè)模型。最后采用密西西比州立大學(xué)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中心提出的工控標(biāo)準(zhǔn)數(shù)據(jù)集進(jìn)行仿真實(shí)驗(yàn)，結(jié)果表明，該算法針對(duì)不同的攻擊方式的平均檢測(cè)準(zhǔn)確率均能達(dá)到90%以上，能夠準(zhǔn)確識(shí)別攻擊類型，可為工控系統(tǒng)入侵檢測(cè)提供有效方法。

關(guān)鍵詞：入侵檢測(cè)；粒子群；支持向量機(jī)；多分類

0引言

入侵檢測(cè)系統(tǒng)(intrusion detection system，IDS)是信息安全領(lǐng)域的重要防御技術(shù)。在信息化與工業(yè)化深度融合[1]的發(fā)展趨勢(shì)下，越來越多的工業(yè)控制系統(tǒng)使用分布式架構(gòu)連接到外部企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)。現(xiàn)代工業(yè)控制系統(tǒng)正逐步朝著更加開放和標(biāo)準(zhǔn)的方向發(fā)展，使用標(biāo)準(zhǔn)通信協(xié)議在優(yōu)化工業(yè)生產(chǎn)和通信過程的同時(shí)也增加了工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)。近年來，繼伊朗“震網(wǎng)”病毒事件后，惡意攻擊事件正在不斷向工業(yè)控制領(lǐng)域蔓延。因此，入侵檢測(cè)已成為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)[2]。

支持向量機(jī)(support vector machine, SVM)是一種基于統(tǒng)計(jì)學(xué)習(xí)的機(jī)器學(xué)習(xí)算法[3]，目前已被廣泛應(yīng)用于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域[4]。Justin等[5]研究了機(jī)器學(xué)習(xí)算法，如SVM、樸素貝葉斯等應(yīng)用于工業(yè)控制系統(tǒng)入侵檢測(cè)的可行性，并應(yīng)用工業(yè)控制系統(tǒng)提取的標(biāo)準(zhǔn)數(shù)據(jù)集對(duì)多種機(jī)器學(xué)習(xí)方法的查準(zhǔn)率、查全率進(jìn)行評(píng)估。Jiang等[6]初探了SVM算法在SCADA系統(tǒng)入侵檢測(cè)領(lǐng)域的應(yīng)用，并應(yīng)用通信系統(tǒng)提取的網(wǎng)絡(luò)數(shù)據(jù)集進(jìn)行仿真實(shí)驗(yàn)，結(jié)果表明SVM算法具有較好的檢測(cè)效果。

工控網(wǎng)絡(luò)通信協(xié)議數(shù)據(jù)的高維特性以及攻擊方式的多樣性導(dǎo)致傳統(tǒng)SVM算法檢測(cè)準(zhǔn)確率低。SVM入侵檢測(cè)算法的分類性能主要取決于核函數(shù)各參數(shù)的取值[7]。粒子群算法(particle swarm optimization, PSO)作為一種基于迭代的優(yōu)化技術(shù)，具有遺傳算法的優(yōu)點(diǎn)，其運(yùn)算速度快，容易實(shí)現(xiàn)，將其應(yīng)用于SVM參數(shù)尋優(yōu)非常適合?；赑SO對(duì)SVM進(jìn)行參數(shù)尋優(yōu)的方法已被廣泛應(yīng)用在網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域[8]，但PSO優(yōu)化SVM參數(shù)具有陷入局部最優(yōu)的缺陷[9]。為了解決上述問題，對(duì)粒子群的ω權(quán)重進(jìn)行改進(jìn)，ω隨著迭代次數(shù)的增加線性增加，當(dāng)?shù)螖?shù)達(dá)到某一閾值時(shí)，重置ω值，使算法快速跳出局部極值。與傳統(tǒng)遺傳算法相比，改進(jìn)PSO-SVM具有收斂速度快，精度高的特點(diǎn)。為此，本文構(gòu)建基于改進(jìn)的PSO-SVM多分類模型，應(yīng)用密西西比州立大學(xué)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中心提供的工控?cái)?shù)據(jù)集進(jìn)行仿真實(shí)驗(yàn)，結(jié)果顯示，本文提出的算法相比PSO-SVM算法具有較高的檢測(cè)準(zhǔn)確率以及較低的漏報(bào)率與誤報(bào)率，并能夠準(zhǔn)確識(shí)別攻擊類型。

1改進(jìn)PSO-SVM入侵檢測(cè)算法

1.1支持向量機(jī)

支持向量機(jī)(Support Vector Machine)最早是由貝爾實(shí)驗(yàn)室Vapnik等提出的基于統(tǒng)計(jì)學(xué)理論的機(jī)器學(xué)習(xí)方法[10-11]，該方法在小樣本、高維的圖像識(shí)別、生物信息學(xué)等領(lǐng)域得到了廣泛的應(yīng)用。支持向量機(jī)依據(jù)小樣本數(shù)據(jù)建立相關(guān)模型，利用非線性映射將低維空間的數(shù)據(jù)映射到高維特征空間，并在高維特征空間構(gòu)造最優(yōu)分類超平面。樣本數(shù)據(jù)中離最優(yōu)超平面最近且位于與超平面平行的平面上的樣本數(shù)據(jù)稱作支持向量(Support Vector, SV)。求解最優(yōu)超平面可歸結(jié)為在原空間上求解如下的凸二次規(guī)劃問題，即在約束條件為：

(1)

求解目標(biāo)函數(shù)的最小值：

(2)

其中，C為誤差懲罰系數(shù)，引入Lagrange乘子方法將該問題轉(zhuǎn)化為如下的對(duì)偶形式：

(3)

且滿足如下約束條件：

(4)

其中，k(x(i),x(j))為核函數(shù)，αi為L(zhǎng)agrange乘子，利用得到的αi,b及支持向量，得到相應(yīng)的分類模型，即：

(5)

其中，sgn()為符號(hào)函數(shù)，可通過函數(shù)的正負(fù)判斷樣本集數(shù)據(jù)的類別。使用不同核函數(shù)可以建立不同的SVM分類器模型，徑向基核函數(shù)(RBF)具有分類準(zhǔn)確率高，運(yùn)行時(shí)間短的特點(diǎn)。因此，本次研究使用核函數(shù)為：

(6)

1.2改進(jìn)PSO對(duì)SVM參數(shù)的優(yōu)化

PSO算法是美國(guó)研究者提出的一種基于群智能方法的優(yōu)化計(jì)算技術(shù)[12]，具有收斂速度快的優(yōu)點(diǎn)。該算法是通過模擬鳥類等動(dòng)物的覓食過程，在優(yōu)化問題的解空間內(nèi)，隨機(jī)初始化PSO算法的每個(gè)粒子的初始位置，并使之具有一定的初始速度；計(jì)算每一個(gè)粒子的適應(yīng)度函數(shù)值，通過對(duì)每一代適應(yīng)度值確定粒子的個(gè)體最優(yōu)位置(pbest)和全局最優(yōu)位置(gbest)；在搜索到兩個(gè)最優(yōu)位置之后，粒子通過跟蹤個(gè)體最優(yōu)位置和全局最優(yōu)位置來不斷更新自己的速度和位置。算法的數(shù)學(xué)描述如下：

(7)

(8)

其中，ω為慣性權(quán)重，c1,c2為加速因子，pbest為個(gè)體最優(yōu)值，gbest為全局最優(yōu)值。粒子速度的更新是由當(dāng)前速度、個(gè)體最優(yōu)和全局最優(yōu)共同作用完成的。

為了增強(qiáng)算法的全局搜索能力，本研究對(duì)粒子群的ω權(quán)重進(jìn)行改進(jìn)，ω隨著迭代次數(shù)的增加線性增加，當(dāng)?shù)螖?shù)達(dá)到某一閾值時(shí)，重置ω的初始值，使算法快速跳出局部極值，以便找出最優(yōu)解。具體描述如下：

(9)

式中，iter表示迭代次數(shù)，itersum表示總的進(jìn)化次數(shù)，itermax表示迭代次數(shù)的閾值，ωmax表示最大慣性權(quán)值，ωmin表示最小慣性權(quán)值。

改進(jìn)的PSO優(yōu)化SVM參數(shù)的步驟如下：

Step 1:初始化粒子群，設(shè)定算法的當(dāng)前迭代初始值為iter=1，設(shè)定總的迭代次數(shù)itersum和迭代次數(shù)的閾值itermax，并設(shè)置算法的慣性權(quán)重值ωmax和ωmin。

Step 2:通過適應(yīng)度函數(shù)計(jì)算每個(gè)粒子的適應(yīng)度值，并根據(jù)式(7)、(8)、(9)不斷迭代更新粒子的位置。

Step 3:通過適應(yīng)度值最大原則對(duì)粒子群中的各個(gè)粒子進(jìn)行迭代搜索，對(duì)于每個(gè)粒子，將適應(yīng)度函數(shù)值與其pbest對(duì)應(yīng)的適應(yīng)值進(jìn)行比較，若優(yōu)于最優(yōu)值，則更新pbest，否則保留原值。然后比較更新后的各個(gè)粒子的pbest與全局極值gbest，若優(yōu)于群體最優(yōu)值，更新gbest，否則保留gbest原值不變[13]。

Step 4:判斷是否滿足算法終止條件，若已達(dá)到最大迭代次數(shù)，或者粒子的適應(yīng)度值不再變化，則算法結(jié)束，否則返回Step 3進(jìn)行迭代。

1.3構(gòu)建改進(jìn)PSO-SVM多分類模型

傳統(tǒng)的SVM算法是針對(duì)二值分類而提出的，但在實(shí)際入侵檢測(cè)中對(duì)攻擊類別的判斷都需要構(gòu)造多分類器來實(shí)現(xiàn)[14]。本研究采用間接法，即通過對(duì)多個(gè)二分類器進(jìn)行組合來實(shí)現(xiàn)多分類器。由于一對(duì)多法(one-versus-rest,1-v-r SVMS)對(duì)單一的二分類器要求較高，因此，采用一對(duì)一法(one-versus-one,1-v-1 SVMS), 這需要構(gòu)造n(n-1)/2個(gè)SVM，每個(gè)SVM由相應(yīng)的兩類樣本訓(xùn)練。例如，在第i類和第j類尋找最優(yōu)超平面，設(shè)相應(yīng)的訓(xùn)練集為：

(xij,t,yij,t), t=1,2,…,nij，xij,t∈Rd,yij,t∈{i,j},

(10)

(11)

(12)

采用式(5)建立n(n-1)/2個(gè)SVM模型后，應(yīng)用最大贏投票法(Max-Wins Voting)對(duì)檢測(cè)樣本集進(jìn)行分類，即對(duì)n個(gè)類的訓(xùn)練樣本任意兩類使用二分類SVMij進(jìn)行比較，每次競(jìng)爭(zhēng)淘汰，直至最后優(yōu)勝分類機(jī)輸出的類別即為測(cè)試樣本的類別。

2入侵檢測(cè)仿真實(shí)驗(yàn)

2.1數(shù)據(jù)源

為了驗(yàn)證本文提出的基于改進(jìn)的PSO-SVM入侵檢測(cè)系統(tǒng)的有效性，采用密西西比州立大學(xué)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中心于2014年提出的用于工控系統(tǒng)入侵檢測(cè)評(píng)估的數(shù)據(jù)集。該數(shù)據(jù)集為儲(chǔ)水池控制系統(tǒng)中注入攻擊提取的網(wǎng)絡(luò)數(shù)據(jù)[15]，并且已經(jīng)進(jìn)行數(shù)值化處理，數(shù)據(jù)集包括三大類攻擊類型：命令注入攻擊(CommandInjection)、響應(yīng)注入攻擊(ResponseInjection)、拒絕服務(wù)攻擊(DenialofService,DoS)，每個(gè)攻擊類型分為不同的攻擊方式。在數(shù)據(jù)集中，每條網(wǎng)絡(luò)數(shù)據(jù)包括27個(gè)標(biāo)記特征，其中26個(gè)為連接特征，1個(gè)為標(biāo)記。

為了分析訓(xùn)練樣本與測(cè)試樣本數(shù)目對(duì)檢測(cè)結(jié)果的影響，定義sumi為每類攻擊的樣本總數(shù)，參數(shù)α作為劃分訓(xùn)練樣本數(shù)與測(cè)試樣本數(shù)的控制因子，在模型中，訓(xùn)練樣本數(shù)為α×sumi，測(cè)試樣本數(shù)為(1-α)×sumi。

2.2數(shù)據(jù)預(yù)處理

標(biāo)準(zhǔn)化處理：從工業(yè)控制系統(tǒng)網(wǎng)絡(luò)提取的樣本數(shù)據(jù)其特征值為不同的度量單位，具有不同的特征屬性，為了消除這些因素對(duì)數(shù)據(jù)分析結(jié)果的影響，進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化預(yù)處理：

(13)

其中，Xmax=1，Xmin=0，即[0,1]標(biāo)準(zhǔn)化處理。

提取主成分：對(duì)提取的樣本數(shù)據(jù)進(jìn)行降維處理是入侵檢測(cè)的必要環(huán)節(jié)。本文采用主成分分析法(PCA)，準(zhǔn)確地提取反映數(shù)據(jù)屬性的信息主元，累計(jì)貢獻(xiàn)率設(shè)為90%。本研究中通過PCA方法提取了4個(gè)反應(yīng)攻擊特征的主成分變量。

2.3基于改進(jìn)PSO的SVM參數(shù)優(yōu)化

圖1　改進(jìn)PSO優(yōu)化SVM參數(shù)　Fig.1　Improved PSO optimized SVM parameters

取α=0.45，此時(shí)總體訓(xùn)練樣本數(shù)為1 705，測(cè)試樣本總數(shù)為2 202，每類攻擊的訓(xùn)練樣本數(shù)為0.45×sumi，測(cè)試樣本總數(shù)為0.55×sumi。運(yùn)用改進(jìn)PSO算法進(jìn)行SVM參數(shù)尋優(yōu)，其中粒子數(shù)選擇20。圖1為改進(jìn)PSO優(yōu)化SVM參數(shù)的結(jié)果。由圖1可知，當(dāng)PSO進(jìn)化到23代時(shí)，取得了分類準(zhǔn)確率最優(yōu)值98.35%。

表1為PSO算法、遺傳算法(GA)對(duì)SVM參數(shù)進(jìn)行優(yōu)化的對(duì)比結(jié)果。由表1可以看出，本文所提出的改進(jìn)PSO算法雖然時(shí)間成本提高，但準(zhǔn)確率最高；PSO算法雖然收斂速度較快，但準(zhǔn)確率偏低；而GA優(yōu)化效果最差。因此，本文提出的改進(jìn)PSO優(yōu)化算法對(duì)SVM具有良好的參數(shù)尋優(yōu)效果。

表1　優(yōu)化結(jié)果對(duì)比

2.4攻擊檢測(cè)實(shí)驗(yàn)結(jié)果分析

2.4.1本文算法的檢測(cè)結(jié)果

為了對(duì)攻擊類型進(jìn)行檢測(cè)，本文用數(shù)字1～6對(duì)不同的攻擊類型進(jìn)行標(biāo)記，其詳細(xì)的數(shù)據(jù)描述如表2所示。

表2　數(shù)據(jù)描述

取α=0.45時(shí)，得到基于改進(jìn)PSO優(yōu)化SVM參數(shù)的支持向量機(jī)多分類器入侵檢測(cè)模型。用這些分類器對(duì)測(cè)試樣本集進(jìn)行預(yù)測(cè)，結(jié)果如圖2所示。由圖2可知，標(biāo)記為1,2,3,4,6的攻擊檢測(cè)結(jié)果均具有較高的準(zhǔn)確率，并且具有低的漏報(bào)率與誤報(bào)率，標(biāo)記為5的攻擊類型準(zhǔn)確率略低，存在一定的漏報(bào)率，但仍具有良好的檢測(cè)效果。

圖2　多分類器入侵檢測(cè)結(jié)果

2.4.2樣本個(gè)數(shù)對(duì)入侵檢測(cè)結(jié)果的影響

為了分析訓(xùn)練數(shù)據(jù)集的樣本個(gè)數(shù)對(duì)測(cè)試數(shù)據(jù)集分類準(zhǔn)確率的影響，對(duì)α參數(shù)選取不同的數(shù)值，可得到不同的訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集。表3為選取不同的α參數(shù)條件下實(shí)際的入侵檢測(cè)結(jié)果。由表3可知，當(dāng)α因子取0.5數(shù)值附近時(shí)，分類準(zhǔn)確率處于較高的水平，當(dāng)α大于0.5時(shí)，分類準(zhǔn)確率會(huì)有所下降，但依舊保持在90%左右?？梢钥闯觯诟倪M(jìn)的PSO-SVM入侵檢測(cè)模型具有良好的檢測(cè)效果和穩(wěn)定性。

表3　不同樣本個(gè)數(shù)算法的入侵檢測(cè)結(jié)果

2.4.3模型評(píng)價(jià)

為了驗(yàn)證本文算法在入侵檢測(cè)領(lǐng)域存在優(yōu)勢(shì)，采用PSO-SVM、樸素貝葉斯算法的入侵檢測(cè)查準(zhǔn)率結(jié)果作為參比模型。表4為本文算法在α=0.45時(shí)的檢測(cè)結(jié)果與其他入侵檢測(cè)算法在查準(zhǔn)率、漏報(bào)率、誤報(bào)率三個(gè)方面的結(jié)果比較。

表4　不同算法對(duì)注入攻擊性能比較

由表4可知，PSO-SVM和貝葉斯算法在檢測(cè)注入攻擊行為時(shí)具有較低的查準(zhǔn)率和較高的漏報(bào)率。本文算法在檢測(cè)注入攻擊行為時(shí)查準(zhǔn)率有所提高，并且具有低漏報(bào)率與誤報(bào)率。由此可以說明，本文算法具有良好的檢測(cè)效果。

3結(jié)語

本文提出改進(jìn)的PSO-SVM入侵檢測(cè)算法，并采用工控?cái)?shù)據(jù)集進(jìn)行仿真實(shí)驗(yàn)，驗(yàn)證其可行性。針對(duì)具有高維特征的網(wǎng)絡(luò)數(shù)據(jù)及傳統(tǒng)SVM檢測(cè)準(zhǔn)確率低的難點(diǎn)，使用改進(jìn)粒子群算法對(duì)SVM參數(shù)進(jìn)行尋優(yōu)，建立最優(yōu)的支持向量機(jī)多分類入侵檢測(cè)模型。應(yīng)用密西西比州立大學(xué)提供的標(biāo)準(zhǔn)數(shù)據(jù)集進(jìn)行驗(yàn)證。研究表明，本文算法可以在非常短的時(shí)間內(nèi)檢測(cè)到未知攻擊，并能準(zhǔn)確地識(shí)別攻擊類型。為了分析訓(xùn)練數(shù)據(jù)集的樣本個(gè)數(shù)對(duì)測(cè)試數(shù)據(jù)集分類準(zhǔn)確率的影響，本研究引入α因子。研究發(fā)現(xiàn)，α因子取0.5數(shù)值附近時(shí)，分類準(zhǔn)確率處于較高的水平，當(dāng)α大于0.5時(shí)，分類準(zhǔn)確率依舊保持在90%左右，具有良好的穩(wěn)定性，并且該算法比PSO-SVM、樸素貝葉斯算法有較高的準(zhǔn)確率和較低的漏報(bào)率、誤報(bào)率。

參考文獻(xiàn):

[1]MANUEL C, LUCA D, ADRIANO V, et al.Review of security issues in industrial networks[J]. IEEE Transactions on Industrial Informatics, 2013,9(1):277-293.

[2]FAN X H, FAN K F, WANG Y, et al.Overview of cyber-security of industrial control system.[C]//2015 International Conference on Cyber Security of Smart cities, Industrial Control System and Communications.Shanghai: IEEE Press, 2015:1-7.

[3]顧嘉運(yùn)，劉晉飛，陳明.基于SVM的大樣本數(shù)據(jù)回歸預(yù)測(cè)改進(jìn)算法[J]. 計(jì)算機(jī)工程,2014,40(1)：161-166.

[4]KANG D H, KIM B K, NA J C.Cyber threats and defence approaches in SCADA systems[C]//Advanced Communication Technology (ICACT).Pyeongchang: IEEE Press, 2014:324-327.

[5]JUSTIN M B, RAYMOND C B, MARK A B.An Evaluation of machine learning methods to detect malicious SCADA communications[C]// International Conference on Machine Learning and Applications. Miami: IEEE Press, 2013:54-59.

[6]JIANG J, LASITY Y.Anomaly detection via one class SVM for protection of SCADA Systems[C]//International Conference on Cyber-Enabled Distributed Computing and Knowledge Discovery.Beijing: IEEE Press, 2013:82-88.

[7]HUANG C, WANG C.A GA-based feature selection and parameters optimization for support vector machines[J]. Expert Systems with Applications, 2006,31(2):231-240.

[8]向昌盛,張林峰.PSO-SVM在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2013,34(4):1222-1225.

[9]鞠秋文.PSO—SVM算法在網(wǎng)絡(luò)入侵檢測(cè)中的研究[J]. 計(jì)算機(jī)仿真,2011.28(4):130-148.

[10]滕少華,樊繼慧,陳瀟,等.SVM多分類器協(xié)同挖掘局域氣象數(shù)據(jù)[J]. 廣西大學(xué)學(xué)報(bào)(自然科學(xué)版),2014,39(5):1131-1137.

[11]李輝,管曉宏,暫鑫,等.基于支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)[J]. .計(jì)算機(jī)研究與發(fā)展,2003,40(6):799-807.

[12]樂美龍,黃薇.基于粒子群算法的泊位分配集成優(yōu)化研究[J]. 廣西大學(xué)學(xué)報(bào)(自然科學(xué)版),2014,39(1):119-124.

[13]李明,張勇,李軍權(quán),等.改進(jìn)PSO-SVM在說話人識(shí)別中的應(yīng)用[J]. 電子科技大學(xué)學(xué)報(bào),2007.36(6):212-215.

[14]沈健,蔣蕓,鄒麗,等.基于節(jié)點(diǎn)選擇優(yōu)化的DGA-SVM多類別分類[J]. 計(jì)算機(jī)工程,2015,41(6):143-146.

[15]MORRIS T, GAO W.Critical infrastructure Protection VIII[M]. IFIP: Springer-Verlag,2014,65-78.

(責(zé)任編輯裴潤(rùn)梅)

收稿日期：2016-02-20；

修訂日期：2016-04-10

基金項(xiàng)目：國(guó)家自然科學(xué)青年基金資助項(xiàng)目(51407078)

通訊作者：王華忠(1969—)，男，江蘇南京人，華東理工大學(xué)副教授，博士；E-mail: hzwang@ecust.edu.cn。

doi:10.13624/j.cnki.issn.1001-7445.2016.0779

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1001-7445(2016)03-0779-07

Research on intrusion detection based on improved particle swarm optimization SVM

YANG Zhi-hui1, WANG Hua-zhong1, YAN Bing-yong1，CHEN Dong-qing2

(1.Key Laboratory of Advanced Control and Optimization for Chemical Processes，East China University of Science and Technology, Shanghai 200237，China;2.China Information Technology Security Evaluation Center，Beijing 100085，China)

Abstract：For the problem of traditional intrusion detection algorithms with low detection accurate rate which is caused by the high dimensional characteristics of the industrial control network data and diversity of attack patterns, a improved particle swarm optimization (PSO) algorithm which used to optimize the parameters of support vector machine (SVM), and an improved PSO-SVM multi classification intrusion detection method is proposed. The support vector machine parameters are optimized by particle swarm of particles while the SVM classification accuracy is used as particle swarm target function for global search to determine the optimal parameters of SVM. Base on the improved PSO-SVM “one to one” classification an industrial intrusion detection mode is established. Finally, the simulation experiment is carried on with the latest proposed industrial standard data sets by the Mississippi State University Center for critical infrastructure protection. The results show that the average detection accuracy rate of the proposed algorithm can reach more than 90% for different ways of attacking, and can identify the type of attack accurately. The improved PSO-SVM provides an effective method for the intrusion detection of industrial control system.

Key words：intrusion detection; particle swarm optimization; support vector machine; multi classification

引文格式： 楊智慧，王華忠，顏秉勇，等.基于改進(jìn)粒子群優(yōu)化SVM的多分類入侵檢測(cè)研究[J].廣西大學(xué)學(xué)報(bào)(自然科學(xué)版)，2016，41(3)：779-785.