苏明 马琳
摘 要: 面对日益严峻的网络入侵形势,网络检测是保证网络安全的重要手段,因此提出蚁群算法选择神经网络参数的网络入侵检测方法。通过神经网络学习采集的网络入侵检测数据,学习过程中采用蚁群算法通过路径寻优、更新信息素等方式选择最佳的神经网络权值和阈值,得到最佳网络入侵检测模型,实现网络入侵的有效检测。实验结果表明,该方法具有较高的网络入侵检测准确率,检测网络入侵的效果更好,速度更快,且抗噪性能强;并且使用者对该方法的检测速度、错误率等方面均要优于传统方法,说明该检测方法的应用效果好、价值高。
关键词: 网络入侵检测; 蚁群算法; 神经网络; 参数选择; 数据采集; 入侵检测模型; 结果分析
中图分类号: TN926?34; TP391 文献标识码: A 文章编号: 1004?373X(2020)22?0114?04
Abstract: Network detection is an important mean to counter the increasingly severe network intrusion situation and ensure network security. Therefore, a network intrusion detection method based on neural network parameters selected by ant colony algorithm is proposed, which collects the network intrusion detection data by means of the neural network learning. In the process of learning, ant colony algorithm is used to select the best neural network weight and threshold by means of the path optimization, update pheromone and other ways to get the best network intrusion detection model and realize the effective detection of network intrusion. The experimental results show this method has higher accuracy of network intrusion detection, better effect of network intrusion detection, faster speed, and stronger anti?noise performance. The detection speed, error rate and other aspects of the method are better than those of the traditional method, which shows that the application effect and value of this detection method is excellent.
Keywords: network intrusion detection; ant colony algorithm; neural network; parameter selection; data collection; intrusion detection model; result analysis
识别网络入侵行为需要通过网络入侵检测将网络入侵行为进行类型划分。在对网络入侵进行检测时,网络入侵行为特征提取是进行网络入侵检测至关重要的一环,这些特征可以有效描述网络入侵行为,对网络信息进行表达[1?2]。由于各种因素干扰,网络入侵行为很复杂,网络入侵的特征也很多,常用的特征提取方法有灰色关联分析和主成分分析等[3?5]。
为对网络入侵进行有效检测,已经有很多学者投入研究,常用的网络入侵检测算法一般都是单模式网络入侵检测算法,如Boyer?Moore字符串搜索算法、快速查找字符串算法、模式匹配算法等,这些算法虽然各有优点,却无法适应网络规模日益加大的现状[6?8]。为适应网络的飞速发展,部分学者提出如支持向量机网络入侵检测方法和隐马尔科夫网络入侵检测方法,这些算法推广能力差,拟合性过高,只能适用于小样本的网络入侵检测[9]。本文通过蚁群算法选择神经网络参数的网络入侵检测方法,提高神经网络检测网络入侵的性能和质量,对于确保网络安全具有重要的应用价值。
1 网络入侵检测
1.1 蚁群算法
蚁群算法是20世纪90年代西方学者通过观察蚂蚁在寻找食物时,根据蚂蚁之间遗留的信息素,获取最短觅食路径的方法,得到启发,总结出的仿生算法。蚂蚁经过的路径优劣,使用信息素描述,在各节点上都安置上蚂蚁,优质的路径能够使更多的蚂蚁转移过来[10?11],已知待解决问题[b=min h(a)],即可得到式(1)作为蚂蚁[t]的初始信息素:
1.2 网络入侵检测模型的建立
在本文蚁群算法选择神经网络参数的网络入侵检测中,最重要的部分是使用蚁群算法确定神经网络的阈值和权值[14],在确定的阈值和权值情况下,神经网络实现学习训练后,实现网络入侵检测。本文蚁群算法选择神经网络参数的网络入侵检测模型工作流程见图1。
在网络系统内采集状态信息,同时对主要特征中可对网络内容进行描述的部分进行提取。在网络行为中,特征多种多样,具有复杂性,对建立模型造成干扰。处理后的特征值为:
[c′n=cnmax(cn)] (9)
式中:取最大值函数以[max]表示;处理前的特征值是[cn];处理后的特征值是[c′n];[n]表示节点。
图1 网络入侵检测流程
蟻群通过一次迭代搜索后也许无法得到最佳的权值以及阈值,由于蚂蚁在迭代搜索过程中,区间中的信息素量逐渐增加,会导致有的区间信息素冗余度提升,在蚁群后期,对节点所处区间选择的准确性产生了较大的干扰,可利用信息素的全局修正手段实现区间信息素的合理修正。则采用式(10)实现信息素的有效修正,得到信息素浓度高的区间会干扰蚂蚁寻路选择,最终获取最佳解。
2 实验分析
为验证本文方法的有效性,将UNSW?NB15网络入侵检测数据集作为实验对象,选取5种网络入侵性行为作为本文方法的网络入侵行为检测对象,分别为:U2R,URL,DoS,R2L,Probe,为对比本文方法的性能,将本文方法与基于时态知识的网络入侵检测方法和基于粗糙集理论的网络入侵检测方法进行对比分析,并且2种对比检测方法在检测过程中也都结合神经网络实现网络入侵检测。3种方法在5种网络入侵行为下的神经网络初始阈值和权值见表1 。
3 结 论
本文方法通过神经网络实现网络入侵检测,具有更好的准确率以及更低的误报率和漏报率,同时本文方法的抗噪性能佳,用户使用效果佳。主要是因为本文方法通过蚁群算法选择最佳的神经网络阈值和权值,提高神经网络性能,进而增强神经网络的入侵检测质量。本文方法为网络入侵检测提供了新的思路。在今后的研究中,可以对蚁群算法进一步优化,提升寻优速度,加强网络入侵检测的效果。
参考文献
[1] 宋绍剑,王尧,林小峰.基于蚁群算法优化回声状态网络的研究[J].计算机工程与科学,2017,39(12):2326?2332.
[2] 郑本立,李跃辉.基于改进蚁群算法的SDN网络负载均衡研究[J].计算机科学,2019,46(z1):291?294.
[3] 余修武,刘琴,李向阳,等.基于改进蚁群的BP神经网络WSN数据融合算法[J].北京邮电大学学报,2018,41(4):91?96.
[4] 刘畅,李志刚,伟利国,等.基于蚁群算法的RBF神经网络在冲量式谷物流量传感器中的应用[J].江苏农业科学,2019,47(15):259?263.
[5] 陈红松,陈京九.基于循环神经网络的无线网络入侵检测分类模型构建与优化研究[J].电子与信息学报,2019,41(6):1427?1433.
[6] 王旭仁,马慧珍,冯安然,等.基于信息增益与主成分分析的网络入侵检测方法[J].计算机工程,2019,45(6):175?180.
[7] 陈惠娟,冯月春,赵雪青.利用SSO的自适应黑名单分组过滤器网络入侵检测方法[J].控制工程,2018,25(10):1940?1945.
[8] 朱亚东.基于粗糙集和SPSO的网络入侵检测方案[J].控制工程,2018,25(11):2097?2101.
[9] 朱建军,安攀峰,万明.工控网络异常行为的RST?SVM入侵检测方法[J].电子测量与仪器学报,2018,32(7):8?14.
[10] 李春桃,李冬,齐欢.基于Bayes网络的IDS告警分析模型研究[J].数学的实践与认识,2018,48(19):100?104.
[11] 禹建丽,黄鸿琦,苗满香.基于主成分分析与神经网络的多响应参数优化[J].系统仿真学报,2018,30(1):176?183.
[12] 吕伟才,黄晖,池深深,等.概率积分预计参数的神经网络优化算法[J].测绘科学,2019,44(9):35?41.
[13] 盛智勇,曾志强,曲洪权,等.基于随机配置网络的光纤入侵信号识别算法[J].激光与光电子学进展,2019,56(14):47?54.
[14] 朱艳,游晓明,刘升.基于启发式机制的改进蚁群算法[J].信息与控制,2019,48(3):265?271.