改進ACO-SVM在網絡入侵檢測中的應用

劉 靜，楊正校

?

改進ACO-SVM在網絡入侵檢測中的應用

劉 靜，楊正校

（蘇州健雄職業技術學院 軟件與服務外包學院，江蘇 太倉 215411）

為了提高網絡入侵檢測正確率，降低特征冗余，提出一種蟻群優化與支持向量機相結合的入侵檢測方法（ACO-SVM）。利用支持向量機的分類精度和特征子集維數加權構造綜合適應度指標，利用蟻群算法的全局尋優和多次優解搜索能力實現特征子集搜索，并設計了局部細化搜索方式，實現特征選擇結果降維，提高算法的收斂性。

特征選擇；蟻群優化算法；支持向量機；網絡入侵檢測

0 引言

隨著網絡的迅猛發展，網絡攻擊方式多樣化，攻擊數量及其危害程度日益嚴重，網絡入侵檢測作為一種安全防御技術顯得越來越重要[1]。

網絡入侵檢測實質是一個多模式識別問題，包含大量冗余信息和噪聲特征，如果不加篩選直接使用，會削弱分類器的性能，降低檢測速度；由于入侵特征數與檢測算法不存在線性關系，當特征數量超過限度時，檢測算法性能變壞[2]。因此如何選擇網絡入侵關鍵特征，消除冗余，降低入侵檢測模型的輸入特征維度，成為網絡入侵檢測建模的關鍵[3]。目前針對特征選擇提出許多有效網絡入侵檢測算法，主要基于組合搜索策略的設計，其中遺傳算法是一種基于仿生學原理的群智能算法，因其設置靈活，全局尋優能力強，成為主流特征選擇算法[4]。蟻群優化算法[5,6]在降低特征冗余方面也有一定的優勢。大量研究表明，在實際應用中遺傳算法能夠有效地提取關鍵特征，但對關聯比較強的多組特征時。其難以獲得穩定的特征尋優結果，且對樣本較敏感[7]。除了特征選擇外，支持向量機[8,9]（Support Vector Machine，SVM）因其泛化能力強，成為網絡檢測的主要算法。

為了提高網絡入侵檢測效果，針對特征選擇問題，本文提出一種蟻群優化算法（Ant Colony Optimi-zation，ACO）和支持向量機相結合的入侵檢測方法（ACO-SVM），并對算法進行仿真測試。

1 入侵檢測算法框架

蟻群優化與支持向量機相結合的入侵檢測方法采用wrapper特征選擇模型，使用基于SVM的5-fold進行全局搜索并交叉驗證，得到最優特征集；根據SVM分類器進行特征集分類判斷并更新，得到最佳分類結果特征集進行入侵檢測，如圖1所示。

圖1 入侵檢測算法框架

2 網絡入侵檢測算法設計

2.1 ACO算法

ACO算法是一種模擬螞蟻覓食的過程中信息如何交流與協作的集體智能算法，具有全局搜索能力強、分布式計算的優點，得到了廣泛應用，具有較好的效果。在進行網絡入侵檢測特征選擇時，將入侵檢測特征作為蟻群信息交換點，特征優化問題則轉化為如何進行最優路徑選擇。

2.2 適應度函數

網絡入侵特征選擇中，特征子集優劣一般通過適應函數來評價[10]，因此適應度函數建立是一個十分重要環節。支持向量機（SVM）是最近發展起來的一種新的機器學習技術，具有先進完備的理論體系和更好的泛化能力，因此本研究選擇支持向量機構建網絡入侵檢測分類器，并檢測正確率[11]。入侵特征選擇目標分為兩方面：選擇特征子集提高正確率、降低特征維度。因此對于特征子集s來講，其適應度函數如公式1：

其中為的維數；為候選特征集的維數；Perror為分類錯誤率。

錯誤率權重系數如公式2：

其中，表示特征維度加1后入侵檢錯誤率減少的百分數。

2.3 螞蟻狀態轉移概率

螞蟻算法對特征進行搜索時，轉移概率決定了蟻群的前進方向，從特征i轉移到特征j的概率為式（3）：

式中，0為權值初值，為迭代次數，N為最大循環次數。

由于是動態變化，在算法運行初期，可以加快螞蟻搜索效率，在運行后期，能夠加快算法的收斂速度。

2.4 局部細化搜索

假設螞蟻經過次重要特征搜索，得到了k個特征，為了減少冗余，最優子集u需要滿足：

S為修正當前特征集。

2.5 更新信息素

完成一輪搜索后，螞蟻（編號）均需更新路徑信息濃度，方式如下：

式中，為增長濃度，(s)為適應度值；為殘留因子。對于適應度函數越小的特征子集，信息素濃度越大。為強化最優路徑影響，可附加激勵：

式中，(s)為最優特征子集的適應度函數。

2.6 搜索終止條件

螞蟻搜索終止條件設定為：連續3次增加特征，()沒有發生太大改變，即終止。

2.7 網絡入侵檢測器的設計

式中，為超平面法向量，為超平面偏移向量。

二次優化，即：

約束條件為：

對于大樣本的分類問題，SVM學習速度慢，通過引入Lagrange乘子將SVM分類問題轉化對偶問題來解決得到SVM決策函數：

由于RBF只需確定核函數寬度參數，這樣有利于參數優化，因此，RBF核函數定義如下：

網絡入侵檢測是一種多分類問題，因此必須通過組合策略構建網絡入侵檢測器。本文采用有向無環圖將兩分類的SVM組合在一起，構造網絡入侵檢測器，具體構造如圖2所示。

3 仿真實驗

3.1 特征數據來源

模擬異常檢測數據集分為四類：掃描與探Probe、拒絕服務攻擊DoS、對本地超級用戶的非法訪問U2R、未經授權的遠程訪問R2L。一個連接記錄為一個完整會話，每條記錄共有41個屬性（9個離散、32個連續）。訓練集、測試集的比例為4∶1。

3.2 特征對網絡入侵檢測性能影響

為了測試不同特征子集對網絡入侵檢測性能的影響，采采用未進行特征選擇的SVM模型（SVM），只采用遺傳算法進行特征選擇的SVM模型（GA- SVM）作為對比模型用支持向量機建立的網絡入侵檢測模型，各種模型在各個數據集上運行10次所得結果的平均網絡入侵檢測正確率（%）如圖3所示。

從圖3可知，相對于傳統SVM，特征選擇模型（GA-SVM、ACO-SVM）的檢測正確率都得到了提高，有效消除冗余特征。改進ACO-SVM的入侵檢測的正確率略高于GA-SVM，說明采用ACO對特征進行選擇降，能夠找到更優的特征子集。

圖3 不同模型性能比較

4 結束語

針對網絡入侵檢測中的特征集建立與降維問題，提出一種改進蟻群優化與支持向量機相融合的入侵檢測算法ACO-SVM。仿真結果表明，該算法能進行選擇性降維，通過局部細化搜索，更新信息素，優化核函數參數，提高了算法整體收斂性。

[1] Yu L, Liu H. Efficient Feature Selection via Analysis of Relevance and Redundancy[J]. Journal of Machine Learning Research, 2004(5): 1205-1224.

[2] Denning D. E. An Intrusion Detection Model[J]. IEEE Transaction on Software Engineering, 2010, 13(2): 222-232.

[3] Cheng-Lung Huang, Chieh-Jen Wang. A GA-based feature selection and parameters optimization for support vector machines[J]. Expert Systems with Applications, August 2009, 31(2): 231-240.

[4] Durga Prasad Muni, Nikhil R Pal, Jyotirmoy Das. Genetic programming for simultaneous feature selection and class-ifier design[J]. IEEE Transactions on Systems, Man, and Cybernetics- Part B, February, 2009 36(1): 106-117.

[5] 沙娓娓, 劉增力. 基于改進蟻群算法的無線傳感器網絡的路由優化[J]. 軟件，2018, 39(1): 01-04.

[6] 楊蘇影, 陳世平. 基于包簇框架平衡蟻群算法的資源分配策略[J]. 軟件，2018, 39(6): 04-08.

[7] Kennedy J, Eberhart R C. Particle swarm optimization[C]. Proc of IEEE International Conference on Neural Networks, USA: IEEE Press, 2005: 1942-1948.

[8] 聶敬云, 李春青, 李威威等. 關于遺傳算法優化的最小二乘支持向量機在MBR 仿真預測中的研究[J]. 軟件，2015, 36(5): 40-44.

[9] 徐朝輝, 施叢叢, 呂超賢等. 基于結構化支持向量機的泄洪聯動設計[J]. 軟件, 2015, 36(9): 62-65

[10] 趙宏, 郭萬鵬. 深度神經網絡代價函數選擇與性能評測研究[J]. 軟件, 2018, 39(1): 14-20.

[11] Montemanni R, Smith DH, Gambardella LM. Ant colony systems for large sequential ordering problems[C]. Pro-ceedings of the 2007 IEEE Swarm Intelligence Symposium, 2007: 478-482.

[12] Tu Yaping, Liu Ping, Xie Baoling, et al. Improvement for parameters of ant algorithm [J]. Journal of Chinese Computer Systems, 2010, 28(11): 1985-1987.

Improved ACO-SVM for Network Intrusion Detection

LIU Jing, YANG Zheng-xiao

(Software and service outsourcing Institute, Suzhou Chien-Shiung Institue of Technology, Taicang 215411, China)

In order to improve the detection accuracy network intrusion detection, this paper proposes a novel network intrusion detection method, namely the ACO-SVM which is based ant colony optimization algorithm and support vector machine to cope with feature selection issue for network intrusion detection. The classification accuracy of support vector machine and the selected feature dimension form the fitness function, and the ant colony optimization algorithm provides good global searching capability and multiple sub-optimal solutions, and a local refinement searching scheme is designed to exclude the redundant features and improves the convergence rate. The experimental results show that the proposed method has reduced features dimensionality greatly and improve the detection accuracy of network intrusion.

Feature selection; Ant colony optimization algorithm; Support vector machine; Network intrusion detection

TP181

A

10.3969/j.issn.1003-6970.2018.10.012

2018年江蘇省“青藍工程”項目資助；2018年江蘇省333高層次人才培養工程項目；2017年太倉市科技局科技計劃項目基礎研究計劃《基于攻擊原型建模的工業控制網絡安全技術研究》

劉靜(1979-)，女，碩士，副教授，主要研究領域為網絡安全技術等；楊正校(1963-)，男，碩士，教授，主要研究領域為網絡安全技術、軟件算法等。

劉靜，楊正校. 改進ACO-SVM在網絡入侵檢測中的應用[J]. 軟件，2018，39（10）：57-59