赵夫群
摘 要: 针对常规网络入侵检测算法检测率低、误报率高以及检测效率低下等问题,在此使用基于混合核函数的最小二乘支持向量机作为网络入侵检测模型的核心算法,使用粒子群优化算法对最小二乘支持向量机的各个参数进行优化。使用著名的KDD CUP99数据库中的部分数据样本对网络入侵检测模型进行训练和测试,以验证所提出网络入侵检测方法的性能。测试实验结果表明,提出的基于混合核函数的PSO?LSSVM算法具有更好的检测性能,提高了检测系统的检测率。
关键词: 最小二乘支持向量机; 粒子群优化; 网络入侵检测; 混合核函数
中图分类号: TN711?34; TP393 文献标识码: A 文章编号: 1004?373X(2015)21?0096?04
Detection method of LSSVM network intrusion based on hybrid kernel function
ZHAO Fuqun
(Xianyang Normal University, Xianyang 712000, China)
Abstract: Since the conventional detection algorithm of network intrusion has low detection rate, high false positive rate and low detection efficiency, the least squares support vector machine (LSSVM) algorithm based on hybrid kernel function is taken as the core algorithm of the network intrusion detection model, and each parameter of the LSSVM is optimized by using particle swarm optimization (PSO) algorithm. The network intrusion detection model was trained and tested by partial data samples in famous KDD CUP99 database to verify the performance of the proposed network intrusion detection method. The test results show that the PSO?LSSVM algorithm based on hybrid kernel function has better detection performance, and can improve the detection rate of the detection system.
Keywords: LSSVM; PSO; network intrusion detection; hybrid kernel function
0 引 言
随着互联网技术与计算机技术的不断发展,互联网得到了广泛的普及,为人们的生活、学习、工作带来了无限的便利,可以说人们已经无法离开互联网。互联网为人们带来便利的同时,也带来了新的问题,也就是互联网网络安全问题。随着互联网犯罪率的逐年升高以及恶劣程度逐渐加剧,网络安全越来越多地引起了人们的更深入的关注。网络入侵检测一直是人们研究互联网技术的热点问题之一,随着互联网入侵类型以及技术的不断更新,传统常规的网络入侵检测方法已经不能够满足现阶段网络入侵检测要求;提高网络入侵检测系统检测率以及检测效率是研究网络入侵检测方法的主要问题之一[1?2]。
基于统计学习理论发展起来的支持向量机因为其具有较强的泛化能力以及处理非线性问题的能力,同时在局收敛性、处理非线性问题、小数据样本等问题上要优于其他机器学习算法,因此其在网络入侵检测系统中得到了广泛的应用。但是其算法存在稀疏性差、核函数容易受到条件制约等缺陷[3]。
因此,本文研究一种基于混合核函数的最小二乘支持向量机作为网络入侵检测模型的核心算法,使用粒子群优化算法对最小二乘支持向量机的各个参数进行优化。RBF核函数属于局部核函数,Polynomial核函数属于全局核函数。局部核函数与全局核函数区别在于:局部核函数具有较强的学习能力以及较弱的泛化能力;全局核函数正好相反,其具有较强的泛化能力以及较弱的学校能力。因此将上述两种核函数进行混合,构造一种新型混合函数,以发挥两种核函数的优势,规避其劣势。
1 混合函数PSO?LSSVM
1.1 最小二乘支持向量机
Vapnik基于统计学习理论提出一种依据最小化结构风险原理的小样本学习方法,这种学习方法辨识支持向量机,简称SVM。
设定[xi]是[n]维输入向量,[yi]是一维输出值,[l]是样本数量,你们训练样本集合表示为:
RBF核函数属于局部核函数,Polynomial核函数属于全局核函数。局部核函数与全局核函数区别在于,局部核函数具有较强的学习能力以及较弱的泛化能力,全局核函数正好相反,其具有较强的泛化能力以及较弱的学校能力。因此可以上述两种核函数进行混合,构造一种新型混合函数,以发挥两种核函数的优势,规避其劣势。混合函数可以表示为[6]:
[K=aKpoly+1-aKRBF=axxi+1q+1-aexp-x-xi2γ] (12)
式中:[γ]为RBF核函数惩罚系数;[q]为Polynomial核函数核阶数;[a]为混合权重系数,[a∈0,1]。RBF核函数即为[a]为0时的混合函数;Polynomial核函数即为[a]为1时的混合函数。
由上述分析可知,核函数的核矩阵均是半正定的。其满足运行由简单构建块构造复杂核的闭性质。
若[K1,][K2]是[X×X]的核,[X∈Rn,][fx]属于[X]上实值函数,那么下列组合函数还是核函数:
式中:[wmin]为最后权重,通常[wmin=0.45];[T]为现在迭代次数;[Tmax]为迭代次数最大值,[Tmax=200;][wmax]为初始权重[9],通常[wmax=0.9;]
1.4 基于混合核函数的PSO?LSSVM算法
首先需要对RBF核函数参数[γ]和惩罚系数[c]这两个参数进行优化,方能使用基于传统RBF核函数支持向量机的粒子群优化算法。基于混合核函数的PSO?LSSVM优化算法为了得到最好的性能,需要对RBF核函数参数[γ]、惩罚系数[c]、Polynomial核函数核阶数[q]以及混合权重[a]这4个参数进行优化[10]。
2 实验研究
2.1 数据来源
在实验室的Intel i7 2620QM,16 GB RAM,1 TB硬盘,Windows 7 操作系统环境的工作站中使用Matlab网络入侵检测模型进行模拟仿真研究,数据来源于著名的KDD CUP99数据库。KDD CUP99数据库涵盖了各种类型网络入侵攻击数据,最典型的有以下四类:
(1) Probe:扫描攻击();
(2) DOS:拒绝服务攻击;
(3) U2L:未授权使用本地超级权限访问攻击;
(4) U2R:远程用户未授权访问攻击[11]。
由于KDD CUP99数据库非常庞大,不可能对数据库中所有数据进行提取使用,因此只从KDD CUP99数据库随机提出一定的样本数据用于实验分析。提取样本数量如下:
(1) 50个Probe扫描攻击样本;
(2) 200个DOS拒绝服务攻击样本;
(3) 100个U2L未授权使用本地超级权限访问攻击样本;
(4) 80个U2R远程用户未授权访问攻击样本;
(5) 1 000个正常样本。
2.2 数据处理
通常使用误报率、检测率以及检测时间对网络入侵检测方法的检测性能进行评价:
[误报率=被误报为入侵的正常样本数量正常样本总数×100%] (16)
[检测率=检测出入侵样本数量入侵样本总数×100%] (17)
为了消除少量样本数据的特征对支持向量机性能的影响,需要对样本数据做归一化处理:
[x′i=xi-xxstd ,i=1,2,…,n] (18)
式中:[xstd]是样本的特征标准差;[n]是用于训练的样本数量[12]。
通过粒子群优化算法寻优后的混合核函数最小二乘支持向量机的RBF核函数参数[γ、]惩罚系数[c、]Polynomial核函数核阶数[q]以及混合权重[a]这4个参数,如表1所示[13]。
对比结果表明,LSSVM算法能够有效避免使用庞大训练样本的BP神经网络容易陷入局部最小值以及收敛速度低等问题。因此,对于网络入侵检测这种高维数、训练样本数量小以及线性不可分模型,使用本文研究的LSSVM算法能够有效实现入侵检测功能。
3 结 论
本文对网络入侵检测方法进行了研究,首先对网络入侵检测系统进行了分析,并根据传统网络入侵检测算法劣势和缺陷,研究新型网络入侵检测方法,以混合核函数的粒子群优化最小二乘支持向量机算法作为算法核心。为了验证所提出网络入侵检测方法的性能,在实验室工作站环境下使用著名的KDD CUP99数据库中的部分数据样本对网络入侵检测模型进行训练和测试。使用基于传统的RBF核的LSSVM算法以及基于粒子群优化的BP神经网络算法与所提出的算法进行对比,实验结果表明,本文提出的基于混合核函数的PSO?LSSVM算法具有更好的检测性能,提高了网络入侵检测系统的检测率,降低了误报率。
参考文献
[1] 肖国荣.改进蚁群算法和支持向量机的网络入侵检测[J].计算机工程与应用,2014(3):75?78.
[2] 张拓,王建平.基于CQPSO?LSSVM的网络入侵检测模型[J].计算机工程与应用,2015(2):113?116.
[3] 刘明珍.基于CPSO?LSSVM的网络入侵检测[J].计算机工程,2013(11):131?135.
[4] 刘智国,张雅明,林立忠.基于粒子群LSSVM的网络入侵检测[J].计算机仿真,2010(11):136?139.
[5] 左申正.基于机器学习的网络异常分析及响应研究[D].北京:北京邮电大学,2010.
[6] 郭通.基于自适应流抽样测量的网络异常检测技术研究[D].郑州:解放军信息工程大学,2013.
[7] 王雪松,梁昔明.改进蚁群算法优化支持向量机的网络入侵检测[J].计算技术与自动化,2015(2):95?99.
[8] 刘洁.基于支持向量机的网络入侵检测系统研究[D].长沙:中南大学,2008.
[9] 谭龙.基于聚类和支持向量机的网络入侵检测[D].秦皇岛:燕山大学,2010.
[10] 胡天骐,单剑锋,宋晓涛.基于改进PSO?LSSVM的模拟电路诊断方法[J].计算机技术与发展,2015(6):193?196.
[11] 孙卫红,童晓,李强.改进PSO优化参数的LSSVM燃煤锅炉NO_X排放预测[J].数据采集与处理,2015(1):231?238.
[12] 郑志成,徐卫亚,徐飞,等.基于混合核函数PSO?LSSVM的边坡变形预测[J].岩土力学,2012(5):1421?1426.
[13] 陈健,陈雪刚,张家录,等.杜鹃鸟搜索算法优化最小二乘支持向量机的网络入侵检测模型[J].微电子学与计算机,2013(10):29?32.
[14] 吕曼.基于数据挖掘的入侵检测方法的研究[D].大庆:大庆石油学院,2007.
[15] 张跃军.提高基于SVM的网络入侵检测性能的研究[D].济南:山东大学,2006.