一種基于ALO?SVM算法的入侵檢測方法

陳卓 單欣欣

摘? 要： 入侵檢測一直是網絡安全領域的熱點研究方向，為了提高網絡入侵檢測的速度和準確性，提出一種在PCA降維的基礎上，基于蟻獅優化算法（The Ant Lion Optimizer，ALO）和支持向量機（Support Vector Machine，SVM）相結合的入侵檢測方法。該算法首先利用主成分分析法（Principal Component Analysis，PCA）對數據進行降維處理以去除冗余數據，并利用ALO算法優化SVM的參數，然后根據優化后的SVM建立入侵檢測模型，最后利用由PCA處理過的KDDCUP99數據集驗證檢測模型。實驗結果表明，所提方法相較于簡單的ALO優化SVM和PSO?SVM算法，在提高正確率的基礎上，檢測速度有顯著提高。

關鍵詞： 入侵檢測; 數據處理; 檢測模型建立; 蟻獅優化算法; 支持向量機; 分類測試

中圖分類號： TN911.23?34; TP309? ? ? ? ? ? ? ?文獻標識碼： A? ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）10?0079?04

Intrusion detection method based on ALO?SVM algorithm

CHEN Zhuo， SHAN Xinxin

（School of Computer， Hubei University of Technology， Wuhan 430068， China）

Abstract： Intrusion detection has always been a hot research direction in the field of network security. On the basis of the dimensionality reduction of the principal component analysis （PCA）， an intrusion detection method based on ant lion optimizer （ALO） and support vector machine （SVM） is proposed to improve the speed and accuracy of network intrusion detection. In this method， PCA is used to reduce the dimensionality of the data to remove the redundant data， the ALO is adopted to optimize the parameters of SVM， and then the intrusion detection model is built based on the optimized SVM. The KDDCUP99 data set processed by PCA is utilized to verify the detection model. The experimental results show that， in comparison with the simple SVM optimized by ALO and PSO?SVM algorithm， the detection speed of this proposed method has been significantly improved based on improving the accuracy.

Keywords： intrusion detection; data processing; detection model establishment; ant lion optimization algorithm; support vector machine; classify test

0? 引? 言

隨著計算機網絡非法入侵越來越頻繁以及入侵手段越來越復雜，傳統的網絡防御技術無法應對現今復雜的網絡攻擊[1]。由此可見， 計算機網絡安全的入侵檢測技術仍然不夠完善，需要不斷吸收先進的計算機網絡安全的入侵檢測技術[2]。目前，機器學習方法在IDS中被廣泛使用[3]。SVM作為一種基于VC維度結構風險最小化分類器的機器學習方法，不但具有處理非線性分類問題的能力，同時也可以較好地提高學習機的泛化能力[4]。實驗結果表明，基于 SVM 的網絡入侵檢測模型性能與其參數（懲罰因子c和核函數參數等）直接相關[5]。因此，本文使用ALO優化算法對SVM的參數進行優化，通過文獻[6]可知，ALO算法比粒子群算法（Particle Swarm Optimization，PSO）、遺傳算法（Genetic Algorithm，GA）、蝙蝠算法（BatAlgorithm，BA）、布谷鳥搜索（Cuckoo Search，CS）、花朵授粉算法（Flower Pollination Algorithm，FPA）等有更好的尋優精度、更強的全局搜索能力、更簡單的參數設置。與此同時，入侵檢測系統由于需要分析大量的通信數據，所以，有效的降維技術是解決性能問題的必要條件[7]。因此，本文提出一種在PCA降維的基礎上，將ALO和SVM結合的入侵檢測方法。首先將處理過的數據進行PCA降維，然后利用ALO算法優化SVM的核函數參數和懲罰因子。仿真結果表明了本方法的有效性，該算法能夠在保持原始數據特征的同時提高數據精度，并提供跳出局部最優的能力，在開發和收斂方面具有競爭力。

1? ALO?SVM算法理論基礎

1.1? SVM的理論基礎

SVM是由Vapik和Cortes提出的一種機器學習方法[8?9]，已被廣泛用于分析和識別模式。該方法中學習模型和算法的集成使其能夠解決分類和回歸分析問題，其目的是通過使用訓練集使數據分為兩個類來獲得最佳單獨超平面（Optimum Separate Hyperplane，OSH），從而完成數據分類。又因為核函數的選取和參數的選擇對SVM性能很重要，所以本文實驗的支持向量機核函數選擇的是應用最廣、可以將樣本映射到更高維的空間內徑向基核函數（Adial Basis Function，RBF），并利用試探法確定懲罰因子[c]和徑向基核參數[σ]，算法如下。

如果訓練樣本[xi，yi，i=1，2，…，l，x∈Rn，y=±1]，[i]是樣本數，[n]是樣本維度（輸入維度），則最優超平面為：[x*ij=xij-xjSj∈X]，此時的約束條件為：

[minw22s.t.? ?yiw·xi+b-1≥0，i=1，2，…，l]

出現訓練樣本集無法線性分割時，當引入變量[ξi]，則：

[minw22+ci=1lξis.t.? ?yi（w·xi+b）-1≥1-ξi，ξi≥0，i=1，2，…，l]

式中，[c]是懲罰因子，[c]的大小表示錯誤分類的懲罰的大小。使用拉格朗日乘子法得到最優決策函數：

[f（x）=sgnyiai（x·xi）+b]

式中：[a]是拉格朗日系數，這種方案只針對[ai]的非零部分，相應的樣本是支持向量;[b]是分類閾值。

將非線性問題轉換為線性問題：通過非線性變換把問題轉換成高維空間求解分類面問題。之后通過使用RBF核函數在不增加計算復雜度的基礎上實現非線性變換后的線性分類，最后最優決策函數變為：

[f（x）=sgni=1lyiaik（x·xi）+b]

1.2? ALO算法的理論基礎

ALO 算法是Seyedali Mirjalili在2015年提出的模仿自然界中螞蟻狩獵機制的新穎自然啟發式算法。模仿自然界中的螞蟻的狩獵機制，擁有調節參數少、尋優精度較好等優點。ALO算法模型原理如下：

螞蟻在搜索空間中通過隨機游走來找尋食物，蟻獅利用陷阱捕捉螞蟻。根據螞蟻在搜尋食物時隨機游走的方式，模擬其隨機游走的運動公式為：

[xi=0，cumsum（2r（t）-1）]? （1）

式中：[cumsum]用來計算累計和;[t]表示迭代;[r（t）]是一個隨機函數。

隨機游走全部基于式（1），但是由于搜索邊界問題，式（1）不能直接用于螞蟻位置的更新。為了防止越界，使用以下等式（最大最小歸一化）進行歸一化處理：

[xti=（xti-ai）*（dti-cti）bi-ai+ci]

式中：[ai]表示第[i]維變量隨機游走的最小值;[bi]表示第[i]維變量隨機游走的最大值;[cti]是第[t]次迭代中第[i]維變量隨機游走的最小值;[dti]是第[t]次迭代中第[i]維變量隨機游走的最大值。

[I=10w·tT]

[w=2，? ? ? t>0.1T3，? ? ? t>0.5T4，? ? ? t>0.75T5，? ? ? t>0.9T6，? ? ? t>0.95T]

式中：[t]是當前迭代次數;[T]為最大的迭代次數;[w]為基于當前迭代定義的常數，其可以調節搜索的準確性。

蟻獅在螞蟻到達坑底時捕捉螞蟻是狩獵的最后階段。在這個階段之后，蟻獅把螞蟻拖進沙坑吃掉。為了模擬這個過程，假設當螞蟻進入沙子內部時，蟻獅開始捕捉螞蟻。然后需要一個蟻獅把它的位置更新到被狩獵的螞蟻的最新位置，以增加捕捉新獵物的機會。

[Antlionti=Antti，? f（Antti）>f（Antlionti）]

當蟻獅捕獲螞蟻后，其位置更新到螞蟻位置以增強其捕獲獵物的機會，更新算子如下：

[Antti=RtA+RtE2]

式中：[RtA]是螞蟻按上一代蟻獅種群的適應度值，用輪盤賭方法選一個蟻獅，并圍繞該蟻獅進行隨機游走后的位置;[RtE]顯示[t]次迭代時圍繞精英蟻獅進行隨機游走之后的位置;[Antti]表示第[t]次迭代的第[i]維螞蟻的位置。

1.3? PCA的引入

主成分分析法是一種空間映射的方法，其將常規正交坐標系的變量通過矩陣變換操作映射到另一個正交坐標系中的主元，以此達到降維的目的，具體步驟為：

1） 數據標準化。原始的數據樣本組成的集合為[X=（X1，X2，…，Xn）]，[n]為樣本維數，由于原始數據的單位不一樣，使數據差異過大會帶來負面的影響，所以要對[X]進行標準化處理：

[x*ij=xij-xjSj∈X]

式中，[xj]和[Sj]分別為第[j]維的樣本指標和標準差。

2） 計算協方差矩陣。

3） 求特征值和特征向量。根據特征方程[（λ-S）U=0]求解[S]的特征值[λ]和特征向量[U]。

4） 確定主成分。根據[λ]的大小確定主成分的順序，并計算各個主成分的方差貢獻率。若當前[t]個主成分的累計貢獻率達到90%時，則選擇前[r]個主成分作為輸入數據。

2? ALO?SVM網絡入侵檢測方法

本文在提出PCA算法的基礎增加了在ALO?SVM網絡入侵檢測方法，旨在提高檢測率的基礎上，提高檢測的速度。

本文整體的基本思想是，首先用PCA對網絡入侵數據進行主成分提取，以此提高入侵檢測模型的性能。然后使用ALO算法對SVM的懲罰因子[c]和核函數寬度[σ]進行優化建模，并將網絡入侵檢測確率作為適應度函數。最后將處理完成的數據在入侵檢測模型中進行檢驗。其實現步驟如下：

1） 主成分提取。因為KDDCUP99數據集中41維數據會有無用特征和數據冗余現象。以下是在懲罰因子[c]取100，核函數寬度是[σ]取0.112 的情況下，利用SVM做入侵檢測得到的結果，如圖1所示。

從圖1可以看出，不同維度檢測結果不穩定，這是因為數據集中有雜質數據，給檢測結果帶來了影響。本文使用PCA算法將高維度的KDD CUP 99數據集進行處理，去除無關屬性保留下最重要的一些特征，從而提高檢測速度和準確率。

2） 要初始化[ALO（c，σ）]，初始化螞蟻和蟻獅的種群規模[N]，設置最大迭代次數[T]，[d]為搜索空間維度，并給出最大和最小的加權因子[ωmax，ωmin]。

3） 使用適應度函數計算每只螞蟻和蟻獅的個體適應度值，尋找當前最優蟻獅并作為當前精英個體保存，代入入侵檢測正確率作為適應度函數計算適應度值。

4） 迭代。在迭代過程中更新螞蟻的位置，并用輪盤賭的方法選擇蟻獅個體。

5） 找出當前最佳的精英蟻獅對應的適應度值和所處的空間位置。

6） 判斷結束條件。達到迭代終止條件結束搜索，否則返回步驟3）。

7） 迭代完成，提取SVM的最優參數，并用最優參數訓練降維之后的數據進行建模。

8） 使用測試數據來檢測建立的模型，輸出結果。

算法的目的是在減少冗余數據檢測過程中消耗資源的前提下，并利用ALO快速尋優，在提高檢測速度的基礎上提高檢測率。

3? 實? 驗

KDD CUP 99數據集源自麻省理工學院林肯實驗室進行的IDS計劃，該計劃于1998年首次評估，并于1999年再次評估。該計劃由DARPA資助，產生了通常被稱為DARPA98的數據集。 隨后，該數據集被過濾以用于國際知識發現和數據挖掘工具競賽，從而產生大家認為的KDD CUP 99數據集[10]。

3.1? 數據集處理

文中選擇10%的訓練集作為實驗數據，因為10%的訓練集的數據量仍然龐大，因此實驗隨機抽取10 000條10%的訓練集數據作為訓練集，隨機抽取10 000條10%的訓練集數據作為測試集。KDD CUP 99數據集特征維度為41維和1個標簽。大部分數據為數字型數據，部分特征和標簽為字符型數據，實驗中將其轉化成數字型數據，然后對數據進行歸一化處理。

在數據特征提取方面，經過主成分分析之后，發現前15維的累計貢獻率就達到了96.02%，所以提取前15維作為主成分分析特征提取的主成分進行輸入，作為SVM的學習樣本。在技術指標方面，本文中采用文獻[11]提出的檢測方法進行評價。

3.2? 實驗結果

本文在種群規模[N=30]和最大迭代次數[T=30]的情況下選擇基于PCA?ALO?SVM算法、蟻獅算法優化SVM 神經網絡 （ALO?SVM）和粒子群算法優化SVM 神經網絡（PSO?SVM）進行對比實驗。三種方法檢測率對比圖如圖2所示。

通過圖2得知，基于ALO?SVM的入侵檢測方法的檢測指標基本上都高于基于PSO?SVM的入侵檢測方法，說明在本實驗中ALO算法替代PSO算法的有效性，提高了SVM入侵檢測的性能。同時，通過表1可知PCA?ALO?SVM算法所用的檢測時間比ALO?SVM算法短，速度提高2～3倍。這是因為PCA對數據集進行降維，有效地縮短了神經網絡入侵檢測的時間。

圖3可知，基于PCA?ALO?SVM入侵檢測方法的檢測正確率和精度比另外兩種方法都高，同時漏報率和誤報率也最低。由此證明了基于PCA?ALO?SVM入侵檢測方法良好的檢測性能。

4? 結? 論

本文提出基于PCA?ALO?SVM算法的入侵檢測技術，并將該方法與基于ALO?SVM的入侵檢測和基于PSO?SVM算法的入侵檢測技術進行對比。首先輸入數據集，對數據集進行預處理，對數據進行降維處理，再利用ALO算法選取最佳適應度粒子作為SVM的最佳懲罰因子[c]和徑向基核參數[σ]，將處理后的數據作為檢測模型的訓練集，最后通過測試集數據進行分類測試。實驗結果表明，該方法在綜合了SVM和ALO算法的優點，利用PCA提高了檢測速度，解決了傳統入侵檢測的檢測率不高、收斂速度慢的問題，達到實驗預期目標，為入侵檢測技術提供了一種新思路。

注：本文通訊作者為單欣欣。

參考文獻

[1] SULTANA A， JABBAR M. Intelligent network intrusion detection system using data mining techniques [C]// 2016 2nd International Conference on Applied and Theoretical Computing and Communication Technology. Bangalore： IEEE， 2016： 329?333.

[2] 楊光.國外入侵檢測系統現狀的研究[A].公安部第三研究所.信息網絡安全 2016增刊[C].公安部第三研究所，2016：3.

[3] PARK Kinam， SONG Youngrok， CHEONG Yun?Gyung. Classification of attack types for intrusion detection systems using a machine learning algorithm [C]// 2018 IEEE 4th International Conference on Big Data Computing Service and Applications. Bamberg： IEEE， 2018： 1021?1027.

[4] 劉銘，吳朝霞.支持向量機理論與應用[J].科技視界，2018（23）：68?69.

[5] 李振剛，甘泉.改進蟻群算法優化SVM參數的網絡入侵檢測模型研究[J].重慶郵電大學學報（自然科學版），2014，26（6）：785?789.

[6] MIRJALILI Seyedali. The ant lion optimizer [J]. Advances in engineering software， 2015， 83： 80?98.

[7] MEHER P K， SAHU T K， RAO A R. Performance evaluation of neural network， support vector machine and random forest for prediction of donor splice sites in rice [J]. Indian journal of genetics & plant breeding， 2016， 76（2）： 173.

[8] SONG Y， JIN Q， YAN K， et al. Vote parallel SVM： an extension of parallel support vector machine [C]// 2018 IEEE Smart World， Ubiquitous Intelligence & Computing， Advanced & Trusted Computing， Scalable Computing & Communications， Cloud & Big Data Computing， Internet of People and Smart City Innovation. Guangzhou： IEEE， 2018： 1942?1947.

[9] KARAMIZADEH S， ABDULLAH S M， MANAF A A， et al. An overview of principal component analysis [J]. Journal of signal and information processing， 2013（4）： 173?175.

[10] DIVEKAR A， PAREKH M， SAVLA V， et al. Benchmarking datasets for anomaly?based network intrusion detection： KDD CUP 99 alternatives [C]// 2018 3rd IEEE International Conference on Computing， Communication and Security. Singapore： IEEE， 2018： 17?24.

[11] SINGH R， KUMA R H， SINGLA R K. An intrusion detection system using network traffic profiling and online sequential extreme learning machine [J]. Expert systems with applications， 2015， 42（22）： 8609?8624.