基于PSO—BP神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)優(yōu)化算法的研究

雷宇飛　林玉梅

摘 要：針對(duì)基于BP神經(jīng)網(wǎng)絡(luò)的IDS技術(shù)收斂速度較慢，易陷入局部最優(yōu)值、網(wǎng)絡(luò)癱瘓，系統(tǒng)穩(wěn)定性差等問(wèn)題，本文提出了基于PSO-BP神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)優(yōu)化算法。利用粒子群優(yōu)化算法優(yōu)化BP網(wǎng)絡(luò)的權(quán)重，首先利用PSO算法優(yōu)化得到一個(gè)最優(yōu)初始值，然后通過(guò)BP網(wǎng)絡(luò)算法修正誤差值，從而獲得最優(yōu)值。

關(guān)鍵詞：粒子群優(yōu)化算法；神經(jīng)網(wǎng)絡(luò)；入侵檢測(cè)

中圖分類(lèi)號(hào)：TP301 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract：Many problems are found in the IDS technology based on the traditional BP neural network，including low convergence speed，easily falling into the local optimal value，network paralysis，poor system stability，etc.This paper presents an intrusion detection technology optimization algorithm based on the PSO-BP neural network which optimizes the BP network weight with the Particle Swarm Optimization（PSO）algorithm.Firstly，an optimal initial value is obtained by using the PSO algorithm，and then the error value is corrected with the BP network algorithm to obtain the optimal value.

Keywords：Particle Swarm Optimization（PSO）algorithm；neural network；intrusion detection

1 引言（Introduction）

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)通信技術(shù)中的關(guān)鍵技術(shù)之一，也是近年來(lái)的研究熱點(diǎn)。傳統(tǒng)的入侵檢測(cè)技術(shù)主要有誤用檢測(cè)（Misuse Detection）和異常檢測(cè)（Anomaly Detection）技術(shù)[1]，本文針對(duì)現(xiàn)有入侵檢測(cè)技術(shù)算法的收斂速度較慢的問(wèn)題，提出基于PSO-BP神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)優(yōu)化算法，利用粒子群優(yōu)化算法優(yōu)化BP網(wǎng)絡(luò)的權(quán)重，首先利用PSO算法優(yōu)化得到一個(gè)最優(yōu)初始值，然后通過(guò)BP網(wǎng)絡(luò)算法修正誤差值，從而獲得最優(yōu)值。

2 基于PSO-BP神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)優(yōu)化算法

2.1 BP神經(jīng)網(wǎng)絡(luò)算法

BP神經(jīng)網(wǎng)絡(luò)算法[2]本質(zhì)上采用梯度下降搜索方法，由于該算法的不足，如收斂速度慢，容易陷入誤差函數(shù)的局部最優(yōu)值的問(wèn)題，且對(duì)于較大搜索空間多峰值和不可微函數(shù)等搜索全局最優(yōu)值也無(wú)能為力，而粒子群算法[3]能有效地解決這些問(wèn)題，因?yàn)樗且环N基于群體協(xié)作的隨機(jī)搜索算法，它可以被納入多主體優(yōu)化系統(tǒng)，是群集智能的一種，能避開(kāi)局部極小值，且在進(jìn)化過(guò)程中無(wú)須提供所要解決問(wèn)題的梯度信息。粒子群算法和遺傳算法一樣，都隨機(jī)初始化種群，并使用適用值來(lái)評(píng)價(jià)系統(tǒng)，依據(jù)適應(yīng)值進(jìn)行一定的隨機(jī)搜索。粒子群算法依據(jù)自身速度來(lái)決定搜索。大部分的情況下，所有的粒子可能更快的收斂于最優(yōu)解，且沒(méi)有遺傳算法遇到的問(wèn)題。因此，本文提出一種基于PSO-BP神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)算法。

2.2 改進(jìn)PSO算法描述

本文要解決的是當(dāng)全局最優(yōu)粒子陷入局部最優(yōu)解后，變動(dòng)粒子的移動(dòng)方向，跳出局部最優(yōu)解，對(duì)gbest參數(shù)重新更新。所以，應(yīng)當(dāng)粒子群中先選擇參考粒子群，比如一部分最優(yōu)粒子子群，每次迭代時(shí)，若全局最優(yōu)粒子gbest有一定次數(shù)沒(méi)有更新，則隨機(jī)生成新的位置及速度的值，并更新最優(yōu)粒子子群，將更新后的最優(yōu)粒子子群的適應(yīng)度值與當(dāng)前全局最優(yōu)粒子的適應(yīng)度值進(jìn)行比較，來(lái)決定當(dāng)前全局最優(yōu)粒子是否被新的粒子所取代，在后續(xù)的迭代中，粒子群將向新的全局最優(yōu)粒子靠近。

其中，m為子群粒子個(gè)數(shù)， fave為子群粒子的平均適應(yīng)度值，改進(jìn)后算法步驟如下：

（1）根據(jù)神經(jīng)網(wǎng)絡(luò)的輸入輸出數(shù)量和結(jié)構(gòu)確定粒子的維度。

（2）對(duì)粒子的速度和位置進(jìn)行隨機(jī)初始化。

（3）根據(jù)適應(yīng)度函數(shù)計(jì)算得到每個(gè)粒子的適應(yīng)值。

（4）將每個(gè)粒子的適應(yīng)值與pbest值（當(dāng)前最優(yōu)粒子）作比較，如果優(yōu)于pbest值，則更新pbest值及其位置，同時(shí)記錄粒子群中10%的最優(yōu)粒子子群。

（5）將pbest值和gbest值作比較，如果優(yōu)于gbest值，則更新gbest值及其位置，同時(shí)記錄gbest粒子在迭代過(guò)程中未被更新的次數(shù)Num。

（6）粒子的速度和位置改變參照公式（3）和公式（4）：

（7）若gbest粒子經(jīng)過(guò)N次未更新的值達(dá)到預(yù)定數(shù)值，則取最優(yōu)粒子gbest和最優(yōu)粒子子群的位置進(jìn)行更新，重新隨機(jī)生成速度Vr和隨機(jī)向量控制粒子移動(dòng)方向，根據(jù)新生成的Vr和移動(dòng)方向生成新的一批粒子，得到新的全局最優(yōu)粒子gbest，更新完成后，gbest的未被更新次數(shù)設(shè)置為0。如果沒(méi)有出現(xiàn)這種情況則繼續(xù)進(jìn)行步驟（8）。

（8）轉(zhuǎn)到步驟（3），重復(fù)執(zhí)行這些步驟，直到停止。一般情況下，停止條件設(shè)定為最大所期望的適應(yīng)值或者迭代次數(shù)大于設(shè)定的最大迭代數(shù)。

最終得到的最優(yōu)粒子的值用來(lái)初始化BP神經(jīng)網(wǎng)絡(luò)的權(quán)值，值是否優(yōu)于B。

2.3 改進(jìn)后PSO算法流程設(shè)計(jì)

3 入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)（Implementation of

intrusion detection system）endprint

基于PSO-BP神經(jīng)網(wǎng)絡(luò)優(yōu)化算法的入侵檢測(cè)系統(tǒng)模型如圖2所示，其中，捕獲數(shù)據(jù)引擎模塊的任務(wù)就是接收網(wǎng)絡(luò)數(shù)據(jù)包，接到的網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)特征提取模塊，轉(zhuǎn)換成對(duì)應(yīng)數(shù)據(jù)包特征值的網(wǎng)絡(luò)連接記錄，這些特征值的網(wǎng)絡(luò)連接記錄經(jīng)數(shù)據(jù)預(yù)處理模塊歸一化到一個(gè)較小的區(qū)間范圍，從而減少由于記錄間因字段數(shù)值差異過(guò)大而引發(fā)的網(wǎng)絡(luò)訓(xùn)練不良表現(xiàn)。經(jīng)數(shù)據(jù)庫(kù)存放預(yù)處理模塊處理的數(shù)據(jù)通過(guò)PSO-BP分類(lèi)器分析檢測(cè)；PSO-BP訓(xùn)練模塊將從數(shù)據(jù)庫(kù)模塊中提取標(biāo)準(zhǔn)的數(shù)據(jù)，包括給定的樣本記錄向量和網(wǎng)絡(luò)訓(xùn)練要達(dá)到的目標(biāo)，PSO-BP分類(lèi)器模塊對(duì)輸入中的未知的網(wǎng)絡(luò)連接記錄判別為正常或入侵，并做出相應(yīng)處理，響應(yīng)模塊主要用以接收從分類(lèi)器檢測(cè)出的結(jié)果，并對(duì)入侵行為發(fā)出警報(bào)[4]。本文的重點(diǎn)是PSO-BP分類(lèi)器的設(shè)計(jì)，其原理是利用數(shù)據(jù)及劃分后的訓(xùn)練樣本集來(lái)訓(xùn)練PSO-BP神經(jīng)網(wǎng)絡(luò)分類(lèi)器，在PSO-BP神經(jīng)網(wǎng)絡(luò)內(nèi)部建立起對(duì)訓(xùn)練樣本的識(shí)別模型并存儲(chǔ)攻擊行為的特征模式，然后分析處理捕獲到網(wǎng)絡(luò)數(shù)據(jù)包，判斷其為正常或異常網(wǎng)絡(luò)行為，如果檢測(cè)到攻擊行為是未知類(lèi)型時(shí)，則將其反饋到學(xué)習(xí)樣本庫(kù)以讓PSO-BP神經(jīng)網(wǎng)絡(luò)再學(xué)習(xí)，所以可以看出算法分類(lèi)引擎具有通過(guò)學(xué)習(xí)不斷來(lái)擴(kuò)展檢測(cè)范圍的能力[5]。

4 實(shí)驗(yàn)及其結(jié)果分析（Experiment and result

analysis）

4.1 實(shí)驗(yàn)樣本的選擇

基于BP網(wǎng)絡(luò)的入侵檢測(cè)算法對(duì)樣本的依賴(lài)性很大，并且只有公認(rèn)完備、性能優(yōu)異的測(cè)評(píng)數(shù)據(jù)集才能為各種入侵檢測(cè)算法和技術(shù)提供比較的平臺(tái)，因此，本文實(shí)驗(yàn)采用目前公認(rèn)最優(yōu)秀影響最廣的基于MITLL采集整理形成的KDDCUP99入侵測(cè)試數(shù)據(jù)集，包含了目前最常見(jiàn)的四類(lèi)攻擊手段：User to Root（U2R）獲取根權(quán)限攻擊、Denial-Of-Service（DOS）拒絕服務(wù)攻擊、R2L遠(yuǎn)程攻擊、Probe探測(cè)攻擊。本文選取corrected.gz數(shù)據(jù)集和10%數(shù)據(jù)集中提取相應(yīng)的攻擊記錄，其中DOS約占78.89%、Probe約占4.13%、R2L約占6.35%、U2R約占1.54%，在此基礎(chǔ)上，選擇部分正常連接記錄數(shù)據(jù)及部分DOS攻擊記錄，以1∶3概率加入到正常數(shù)據(jù)流量集，從而形成不均衡的數(shù)據(jù)集，從中選取150000個(gè)有效數(shù)據(jù)為訓(xùn)練集，并選取181500個(gè)數(shù)據(jù)為測(cè)試集，實(shí)驗(yàn)樣本分布情況如表1所示。

4.2 樣本特征的選取

KDDCUP99數(shù)據(jù)集存儲(chǔ)格式是文本格式，每條記錄格式都由字符數(shù)據(jù)與數(shù)值構(gòu)成。其中有的還會(huì)附加一個(gè)表示攻擊類(lèi)型的特征。這些特征分成四類(lèi)：一是網(wǎng)絡(luò)連接的基本特征，包括連接時(shí)間、服務(wù)、基于什么樣的協(xié)議、連接時(shí)間等；二是網(wǎng)絡(luò)連接的內(nèi)容特征，如ROOT用戶(hù)登錄次數(shù)、訪問(wèn)敏感數(shù)據(jù)的頻率等；三是基于時(shí)間的網(wǎng)絡(luò)流量特征，如相同主機(jī)的連接和相同服務(wù)的連接等；四是基于主機(jī)的網(wǎng)絡(luò)流量特征。但由于每條記錄都包含41種特征，使得系統(tǒng)的計(jì)算量過(guò)大，所以，需要對(duì)記錄進(jìn)行特征選擇，本文選擇了14個(gè)能夠體現(xiàn)用戶(hù)行為的特征來(lái)作為研究對(duì)象，分別是：duration連接持續(xù)時(shí)間（秒）、protocol_type協(xié)議類(lèi)型：TCP、UDP、flag連接狀態(tài)、service服務(wù)類(lèi)型、src_bytes源到目的站的數(shù)據(jù)字節(jié)數(shù)等。最后將樣本特征按類(lèi)型以數(shù)值形式進(jìn)行統(tǒng)一的編碼處理后，進(jìn)行歸一化，即將輸入或輸出映射到[0，1]區(qū)間。

4.3 實(shí)驗(yàn)測(cè)試與結(jié)果

本文在基于Matlab 7.0對(duì)本文提出的改進(jìn)PSO算法和標(biāo)準(zhǔn)BP算法進(jìn)行了檢測(cè)驗(yàn)證仿真實(shí)驗(yàn)。計(jì)算出各網(wǎng)絡(luò)訓(xùn)練所用時(shí)間、檢測(cè)率、漏報(bào)率及誤報(bào)率。通過(guò)對(duì)結(jié)果的分析來(lái)證明該改進(jìn)算法是否具有較高的入侵檢測(cè)效率、較低的誤報(bào)率和漏報(bào)率。

（1）確定網(wǎng)絡(luò)結(jié)構(gòu)及參數(shù)，本文采用三層的BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，輸入層采用14個(gè)節(jié)點(diǎn)（因?yàn)樗捎?4個(gè)特征值的樣本），輸出層對(duì)應(yīng)5種分類(lèi)結(jié)果，設(shè)置三個(gè)節(jié)點(diǎn)。根據(jù)一些學(xué)者提出的公式，本文分別采用6、7、8、9作為隱含層節(jié)點(diǎn)數(shù)。網(wǎng)絡(luò)的權(quán)、閾值初始化[-1，1]的隨機(jī)數(shù)，各學(xué)習(xí)率賦初值為0.1，誤差精度為.001，最大迭代次數(shù)為3000次。PSO的參數(shù)設(shè)置為：粒子總數(shù)500個(gè)，全局最優(yōu)粒子gbest的最多未更新次數(shù)設(shè)置為10，超過(guò)此次數(shù)則對(duì)gbest和最優(yōu)粒子子群進(jìn)行更新；PSO的迭代次數(shù)設(shè)置為3000次。

（2）分別用訓(xùn)練樣本對(duì)標(biāo)準(zhǔn)BP，改進(jìn)PSO-BP算法進(jìn)行了訓(xùn)練網(wǎng)絡(luò)，選用不同的參數(shù)進(jìn)行多次訓(xùn)練，結(jié)果發(fā)現(xiàn)，本文改進(jìn)后的BP算法在誤差進(jìn)行平坦區(qū)后能較快跳出，檢測(cè)精度也提高了，收斂更快。

（3）測(cè)試網(wǎng)絡(luò)的性能，對(duì)測(cè)試結(jié)果進(jìn)行了歸類(lèi)，并與期望值進(jìn)行了比較，得出已知行為檢測(cè)率、未知行為檢測(cè)率、誤報(bào)率等。入侵檢測(cè)效果比較如表2所示。

從表2可以算出，基于改進(jìn)PSO-BP的入侵檢測(cè)算法，對(duì)未知行為也有較好的檢測(cè)率，與傳統(tǒng)的入侵檢測(cè)方法相比，在入侵檢測(cè)性能上取得比較好的檢測(cè)效果。而且使用改進(jìn)PSO優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)，在這四個(gè)入侵類(lèi)型的檢測(cè)準(zhǔn)確率上都有提高。而隨著檢測(cè)準(zhǔn)確率的提高，自然而然就降低誤報(bào)率和漏報(bào)率。

5 結(jié)論（Conclusion）

為提高IDS的檢測(cè)效率，本文使用改進(jìn)的PSO-BP算法設(shè)計(jì)了一種新的入侵檢測(cè)模型，通過(guò)與傳統(tǒng)的BP神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)算法的檢測(cè)性能對(duì)比實(shí)驗(yàn)，表明基于改進(jìn)的PSO-BP神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)算法對(duì)入侵檢測(cè)系統(tǒng)的檢測(cè)性能有較大的提升，并實(shí)驗(yàn)驗(yàn)證該模型在入侵檢測(cè)方面的性能，準(zhǔn)確率較高，收斂較快，達(dá)到了本文的預(yù)期要求。

參考文獻(xiàn)（References）

[1] 華輝有，等.一種融合Kmeans和KNN的網(wǎng)絡(luò)入侵檢測(cè)算法[J].計(jì)算機(jī)科學(xué)，2016，43（03）：158-162.

[2] 謝康.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)相關(guān)技術(shù)研究[D].山東大學(xué)，2016.

[3] 李民政，藍(lán)劍平.時(shí)空域信息融合的智能家居入侵檢測(cè)算法[J].北京郵電大學(xué)學(xué)報(bào)，2017，40（3）：76-84.

[4] 徐振華.基于BP神經(jīng)網(wǎng)絡(luò)的分布式入侵檢測(cè)模型改進(jìn)算法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（2）：77-78.

[5] 楊云峰，唐鳳仙.改進(jìn)遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)研究[J].河池學(xué)院學(xué)報(bào)，2017，37（2）：77-83.

作者簡(jiǎn)介：

雷宇飛（1981-），男，碩士，講師.研究領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)，數(shù)據(jù)庫(kù)技術(shù).

林玉梅（1982-），女，碩士，講師.研究領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò).endprint