基于粒子群和支持向量機的網絡入侵檢測模型的建立與仿真

李治國

（91550部隊遼寧大連116023）

隨著科技的進步和互聯網的不斷發展，網絡逐漸成為社會基礎設施建設中不可或缺的重要組成部分，使人們的生產生活更加便捷[1-2]。然而，網絡的開放性和脆弱性也意味著網絡不可避免地存在漏洞及安全隱患。一旦惡意攻擊者利用這些漏洞發動網絡攻擊或入侵，就有可能使國家和個人蒙受信息泄露、數據篡改等嚴重后果[3-5]。因此，在網絡入侵類型和方法發展日益多樣化的當下，如何有效提升入侵檢測效果，防止網絡入侵的發生，是應時刻關注的問題。

網絡入侵檢測過程中，如何對特征及其最優子集進行選擇將對入侵檢測效果產生較大的影響。網絡入侵檢測相關的特征選擇算法中，按照原理不同可分為兩類：窮舉搜索算法和群智能優化算法[6-8]。前者由于復雜程度大，故所需的計算量較大且耗時久，無法滿足實時檢測的要求；而后者算法中的粒子群算法雖具有優異的性能，但其極易進入局部極值的缺陷難以克服。因此，也難以直接應用于網絡入侵檢測之中[9]。目前，基于粒子群算法提出的協同量子粒子群CQPSO算法通過引入量子行為的改進，有效改善了上述問題，并使粒子群算法具備較強的魯棒性和可操作性，為特征選擇算法的使用提供了新的選擇[10]。

此外，如何構建合理有效的分類器也將直接影響網絡入侵的檢測效果。目前，構建的分類器主要有支持向量機SVM、神經網絡、最小二乘支持向量機LSSVM等[11-12]。其中，神經網絡需要大量的樣本，若樣本數不達標，則其檢測效果較差。因此，其應用具有局限性；支持向量機具有優秀的性能表現，但其訓練過程的效率較低，故不能應用于實時性要求較高的領域（如軍事安全等），應用局限性較大[13]；至于LLSVM，則對上述兩種分類器的優點進行了有效綜合，其具有較快的訓練速度和較強的泛化能力，作為分類器具有一定的應用潛力[14]。

因此，為了提高網絡入侵的檢測效果，在最大程度上防止網絡入侵行為的發生。本文將協同量子粒子群CQPSO算法以及最小二乘支持向量機LSSVM進行了有機結合，建立了CQPSO-LSSVM網絡入侵檢測模型。經過仿真測試實驗，該模型運行良好，能對網絡入侵進行有效檢測，且滿足了設計要求，具有一定的應用價值。

1　CQPSO-LSSVM入侵檢測原理

文中CQPSO-LSSVM模型的檢測原理，如下圖1所示。具體描述為：首先預處理采集到的網絡數據，之后利用CQPSO算法和LSSVM對特征子集與入侵檢測分類器進行選擇、構建。

圖1　本文CQPSO-LSSVM入侵檢測模型工作流程

2　CQPSO算法分析

2.1　QPSO算法

假設某粒子群含有N個個體，其第i個粒子所處的位置Xi和速度Vi，可分別描述為Xi=（xi1,xi2,…,xiD）和Vi=（vi1,vi2,…,viD）；個體與粒子群的歷史最優位置，可分別描述為Pi=（pi1,pi2,…,piD）和Pg=（pg1,pg2,…,pgD）。因此，粒子群優化PSO算法的相應粒子更新策略可表述為

其中，c1（c2）代表的是學習因子；r1（r2）代表的是隨機數；t和ω分別代表的是迭代次數及慣性權重。

為了有效提升PSO算法的檢測性能和效果，引入量子行為改進，改進后的量子粒子群QPSO算法的應用條件為

鑒于量子粒子沒有速度向量卻存在空間飛行行為，記量子粒子的狀態為Φ。對其薛定諤方程進行求解，并對其的概率分布進行計算

其中，L表示的是δ勢阱對應的特征長度。

借助蒙特卡洛模擬法對粒子的位置進行更新

其中，u代表的是隨機數（u∈（0，1））。

mbest的相應計算公式可描述為

因此，mbest和xij之間的距離可表示為

式中的β表示的是收縮擴張系數。將各變量與式（4）聯立，得到最終的粒子更新公式為

2.2　協同搜索策略

協同搜索策略的核心為協同進化，即在問題解空間內，將種群進行合理有效地劃分，從而避免單一種群搜索策略的使用。最終使種群在多次迭代后，不會出現早熟問題（多樣性下降導致）。本文為了使子群之間能夠及時進行信息共享，創建了相應的種群基因庫[15-16]。

2.3　粒子的學習行為

為了有效增強粒子群的搜索能力，文中將式（2）進行改進，讓粒子在進化中可實現互相學習

上式中的lrand代表的是隨機數（lrand∈（0，1）），s表示了其他子群；k則表示了s子群下的某一粒子的序號，lc則代表的是學習概率參數。

此外，需要對各子群中粒子的lc采取一定的策略，以實現種群搜索能力及粒子發展的最終平衡：

其中，lcMAX（lcMIN）代表的是學習參數的最大值（最小值），α則表示的是某比0大的常數。

至此，將上述搜索策略與QPSO算法（具有學習行為）相結合，即可得到本文網絡入侵檢測模型的核心算法——協同量子粒子群（CQPSO）算法。

文中選用3種測試函數（屬于標準的Benchmark函數）對CQPSO算法性能進行檢測和驗證，分別為

對比實驗的算法選用的QPSO算法，將子群規模設置為4，粒子群設置為18，β設置為由1.0向0.4的線性下降。相關的測試結果，可見圖2所示。有圖易知，在確保相同收斂精度的情況下，本文算法相較于QPSO算法具有更快的收斂速度，且性能、穩定性與可靠性更優。

3　CQPSO-LSSVM入侵檢測具體步驟和分析

1）對網絡狀態信息進行采集，經預處理后得到對應的特征向量。

2）對N個粒子的初始當前位置Xi進行隨機生成，并對適應值f（Xi）進行計算，取個體最優pi=Xi。

3）劃分粒子群（s個），并通過計算，獲得各子群內適應值最優所對應的粒子序號得到各子群所對應的最優解以基因比例Rgene為依據，將適應值最優的各子群中的粒子挑選出來，建立相應的種群基因庫。

圖2　算法性能對比結果

4）對βt和βti（i∈[1,s]）進行計算，并在各子群中計算lc以確定qi，之后對粒子的位置進行更新。

5）對各粒子的適應值、各子群和種群的最優解（pi、pg和pgpop）進行更新。

6）若此時已達到進化周期，則對種群基因庫進行更新。并以死亡比例Rdead為依據，對劣質粒子進行替換。

7）跳轉至步驟4），在完成迭代前對上述步驟不斷重復。

8）求解pgpop，獲得最優特征子集，并以此確定本文的入侵檢測模型。

4　仿真測試實驗

文中仿真測試實驗的硬件平臺（Windows 7電腦）配置為：Inter Core i7-4790（3.60 GHz）處理器，16 G DDR4內存，1 T機械硬盤。仿真測試實驗基于VC++語言，仿真對象使用的是KDD CUP 99數據集（各條記錄具備41個特征，見表1所示），該數據集的樣本數據，可見表2所示。

表1　本文所用KDD CUP 99數據集中各條記錄的特征

表2　仿真測試實驗樣本數據

為了驗證本文建立的CQPSO-LSSVM網絡入侵檢測模型的性能，文中以漏報率、誤報率、檢測率和運行速度作為考察指標，并與PSO-LSSVM、QPSOLSSVM模型的入侵檢測效果進行了對比。由于網絡入侵變化范圍較大、特征較多，故在測試前先對特征值執行預處理操作，以提高入侵檢測的效果。

其中，xi和分別代表的是預處理前、后的特征值；max（xi）則代表的是各xi特征值中的最大值。

最終的測試結果（漏報率、誤報率、檢測率以及運行速度），可見圖3～5所示。

圖3　各模型在誤報率指標上的對比結果

圖4　各模型在誤報率指標上的對比結果

1）從總體趨勢來看，QPSO-LSSVM網絡入侵檢測模型的檢測效果比PSO-LSSVM模型好。其具有更低的漏報率和誤報率，更高的檢測率以及更快的運行速度。經過分析認為改進量子行為的QPSOLSSVM具有相對更優的特征子集，對網絡入侵檢測效果的提高起到了關鍵作用。

2）本文的CQPSO-LSSVM網絡入侵檢測模型相較于其他兩類模型具有更優的入侵檢測結果，表現為最低的漏報率和誤報率，最高的檢測率以及最短的運行時間，從而反映出較好的檢測性能。經過分析認為融入協同策略能有效改善QPSO算法陷入局部極值的缺陷，進而提高算法的收斂速度，并提供更好的入侵檢測效果，滿足目前網絡入侵檢測的實時性要求。

圖5　各模型在檢測率指標上的對比結果

圖6　各模型在運行速度指標上的對比結果

5　結束語

為了有效提升網絡入侵的檢測率和檢測速度，盡可能地預防網絡入侵行為的發生，本文基于協同量子粒子群CQPSO算法以及最小二乘支持向量機LSSVM，建立了CQPSO-LSSVM網絡入侵檢測模型。該模型利用CQPSO算法對網絡入侵的相關特征進行選擇，從而減少后續LSSVM所需處理的輸入特征給數，有效降低計算量。經過仿真測試實驗，該模型檢測效果良好，具有較高的檢測率、較低的誤報率和漏報率，且檢測速率較快，能夠滿足網絡入侵檢測的實時性與準確性的要求。