基于改进蚁群算法优化的模糊支持向量机的网络入侵检测技术探究

崔玉礼

(烟台职业学院，山东烟台 264670)

基于改进蚁群算法优化的模糊支持向量机的网络入侵检测技术探究

崔玉礼

(烟台职业学院，山东烟台 264670)

网络使用量不断增加的同时，网络入侵形式也日趋多样，网络安全受到了严重威胁，因此可将改进蚁群算法优化的模糊支持向量机算法应用于网络入侵检测中。本文首先分析网络入侵检测的基本原理，研究网络入侵判别的数学模型；其次，分析模糊支持向量机的基本原理，构建模糊支持向量机的数学模型；然后，讨论改进蚁群算法的基本原理，设计改进蚁群算法的基本流程。最后，进行网络入侵检测的仿真分析。仿真结果表明，该算法能够提高网络入侵检测的准确性。

改进蚁群算法；模糊支持向量机；网络入侵检测

网络用户不断增加，移动互联网的发展促进了网络的应用范围越来越广，网络信息安全得到了普遍关注。网络入侵的形式越来越多，网络入侵的危险性增大，容易引起大量网络安全事故，给用户造成较大的损失。入侵检测技术是积极的网络防御技术，能够有效地发现网络异常，避免网络受到恶意攻击。传统的入侵检测技术已经无法适应大规模网络安全监测的需要，现急需寻求一种行之有效的方法去提高网络入侵检测技术的有效性，从而确保网络安全。网络入侵检测通常包括误用检测和异常检测两种情况，前者针对未知的网络入侵进行检测，后者针对不确定的网路入侵进行检测，其中网络异常入侵检测技术是主要的网络安全防御方法。网络入侵检测实际上就是对网络数据分类的过程，而网络数据量非常大而且很复杂，具有高维、线性不可分等特点，可以选择智能算法处理该问题。目前，神经网络在网络入侵检测应用中取得了较好的成效，但也存在一些缺陷，由于网络入侵数据的小样本的特点，算法容易陷入局部极值的缺陷，无法获得更好的入侵检测要求。支持向量机属于机器学习算法，在处理高维度和小样本问题上有一定优势，具备较好的泛化能力，能够避免由神经网络存在的缺陷所引发的安全问题。因此，将支持向量机应用于网络异常入侵检测切实可行。为了能够提高支持向量机网络入侵检测的准确性，将模糊理论和支持向量机融合起来构建模糊支持向量机，能够提高分类精度。此外，应对支持向量机的核参数进行优化，将改进蚁群算法应用于支持向量机核函数各个参数的优化，进而提高算法的收敛效率和检测精度。

1 网络入侵检测的基本原理

当网络流量中不包含入侵信号时，网络信号模型如(1)所示。

R(t)=C(t)+n(t).

(1)

其中，R(t)表示网络接受的信号，C(t)表示数据包字节长度，n(t)表示信号中的噪声。

当网络流量中包含入侵信号时，网络信号模型如(2)所示。

R(t)=S(t)+C(t)+n(t).

(2)

其中，S(t)表示入侵信号。

在网络异常入侵检测时，主要是隔一定时间对数据包字节长度进行预测，表达式如(3)所示。

(3)

网络入侵信号的估计如(4)所示。

(4)

(5)

其中，G[·]表示网络入侵检测的判别函数，κ表示临界值，满足假设H0时，网络没有入侵信号；满足假设H1时，网络发生入侵。

2 模糊支持向量机的数学模型

依据网络入侵检测的实际情况，选取对应的隶属度，已知样本{(x1,y1,s1),…,(xn,yn,sn)}，xi∈Rd(i=1,2,…,n)表示输入向量；yi表示xi分类中的一类，yi∈(-1,1)；si(i=1,2,…,n)表示分类的隶属度，0≤si≤1。模糊支持向量机利用超平面对数据进行分类，超平面和类的距离最大，相应的数学模型如(6)(7)所示。

(6)

s.t.yi(w·φ(xi)+b)≥ρ-εi,εi≥0,ρ≥0.

(7)

其中，εi表示误差，μiεi表示权重的误差。

利用以上模型构建拉格朗日函数，如(8)所示。

(8)

(9)

(10)

(11)

(12)

将(9)至(12)代入(6)可以得到模型(13)(14)。

(13)

(14)

通过求解(13)可以获得Lagrange算子αi，获得的判别模型(15)。

(15)

(16)

其中，σ表示高斯分布因子。

模糊支持向量机可以有效地防止由于噪音干扰导致的错误分类，进而提高模糊的分类能力，提高网络入侵检测的精度。

3 改进蚁群算法的原理

蚁群算法的基本思路：蚂蚁在所经的路径上发出信息素，信息素的浓度越高，蚂蚁经过的路径越短，反之路径越长。在迭代过程中，不同的蚂蚁将以一定的概率确定出发路径，同时会在所经过的路径上发出信息素，周而复始，不同的路径都有浓度不同的信息素量，其中信息素浓度高的路径将被后出发的蚂蚁所选择。当信息素浓度积累过快时，蚁群算法容易陷入局部最优，进而导致收敛精度不高；当信息素浓度积累过慢，算法容易陷入死循环，导致收敛效率降低，因此要通过改进蚁群算法优化算法中的算子。改进的蚁群算法流程如下所示。

步骤1 初始化蚁群算法的基本参数，包括蚁群的规模、迭代次数、启发算子、期望算子等；输入网络入模糊支持向量机的优化模型。

步骤2 设置初始信息素浓度。

步骤3 蚁群中的各个蚂蚁提取全部路径上的信息素浓度，通过一定的概率确定最终的出发路径，概率可以通过如(17)所示公式进行计算。

(17)

步骤4 计算不通过路径对应的目标函数值，并且储存目标函数值。

步骤5 依据不同路径的目标函数值更新信息素，更新公式如(18)所示。

(18)

其中，γi(k+1)和γi(k)分别表示更新前和更新后的路径，δ0表示介于0和1之间的常数，可以表征信息素的挥发速率，Δγi表示第i条路径上的信息素增量，计算公式如(19)所示。

(19)

其中，I表示信息常数，K(x)表示目标函数。

步骤6 信息素的约束条件如(20)所示。

(20)

其中，Ni表示第i条路径的信息素浓度，Nmin表示第i条路径的最小信息素浓度，Nmax表示第i条路径的最大信息素浓度。

步骤7 启发算子和期望算子的更新公式如(21)(22)所示。

(21)

υ(k)=θ2·υ(k-1).

(22)

其中，θ1和θ2为大于1的常数。

步骤8 判别算法是否执行了最大迭代次数，当没有达到最大迭代次数时，返回步骤3；否则，进入步骤9。

步骤9 输出入模糊支持向量机的最优参数值。

4 网络入侵检测仿真分析

为了验证本文提出算法的有效性，从KDD CUP99数据集选取测试数据，包括三种入侵形式，分别为DoS、U2R和Probe，任意选择1400个样本作为仿真对象，利用MATLAB软件编制仿真程序，数据源见表1。

表1 选取的仿真数据样本

分别利用改进蚁群算法优化的模糊支持向量机、蚁群算法优化的模糊支持向量机、模糊支持向量机进行网络入侵检测仿真分析，以检测率、漏报率和虚警率为对比参数。基于改进蚁群算法、蚁群算法优化的模糊支持向量机参数的结果见表2。

表2 模糊支持向量机的参数优化结果

网络入侵检测结果见表3。在三种算法的网络入侵检测结果中，基于改进蚁群算法优化的模糊支持向量机能够获得更高的入侵检测率，同时获得更低的虚警率以及漏报率，从而表明基于改进蚁群算法优化的模糊支持向量机能够获得更优的模糊支持向量机的参数，该算法具有更高网络入侵检测有效性。

表3 基于不同算法的网络入侵检测比较结果

5 结语

网络入侵检测技术是网络安全研究的核心问题，本文针对网络入侵检测存在的问题以及已有网络入侵检测技术的缺陷，提出了基于改进蚁群算法优化的模糊支持向量机算法，并将其应用于网络入侵检测中。仿真分析表明该算法能够有效地提升网络入侵检测的准确性，检测率、漏报率和虚警率都有明显的改善，具有较为广阔的发展前景。

[1]张蓉.蝙蝠算法优化最二乘支持向量机的网络入侵检测[J].激光杂志,2014(11):101-104.

[2]刘其琛,穆炜炜.粗糙集和支持向量机在网络入侵检测中的应用[J].信息安全与技术,2015(9):86-88,92.

[3]汪中才,杨立身.野草算法和支持向量机的网络入侵检测[J].激光杂志,2015(8):142-145.

[4]黄轶文,张梅.基于蚁群算法的六自由度采摘机器人轨迹规划研究[J].农机化研究,2017(3):242-246.

[5]张立毅,王迎,费腾,等.混沌扰动模拟退火蚁群算法低碳物流路径优化[J].计算机工程与应用,2017(1):63-68,102.

Research on Network Intrusion Detection Technology Based on Improved Ant Colony Optimization Fuzzy Support Vector Machine

CUI Yu-li

(Yantai Vocational College,Yantai Shandong 264670,China)

As the network usage keeps increasing, the forms of network intrusion are also varying; therefore, network security is facing severe threat. To solve the problem, Fuzzy Support Vector Machine (FSVM) optimized by the improved ant colony algorithm can be applied to network intrusion detection. Firstly, the essay analyzed the fundamental principles of network intrusion detection and studied on the mathematical model distinguishing network intrusion. Next, the essay analyzed the fundamental principles of FSVM and built the mathematical model of FSVM. Then, the essay discussed the fundamental principles of improving ant colony algorithm and designed the basic procedure to improve the ant colony algorithm. At last, the essay conducted simulated analysis on network intrusion detection. As indicated by the simulation results, this algorithm can improve the accuracy of network intrusion detection.

improved ant colony algorithm; fuzzy support vector machine; network intrusion detection

2017-02-23

崔玉礼(1976- )，男，讲师，硕士，从事计算机应用技术研究。

TP393

A

2095-7602(2017)08-0029-05