基于SSA 和ELM 的医院网络入侵特征选择与检测分析

2023-08-09 07:08:18杨威
计算机应用文摘·触控 2023年15期
关键词:入侵检测

摘 要:将医院网络入侵行为作为研究对象,提出基于SSA和 ELM 的网络入侵特征选择模型,有效实施网络入侵行为检测。该方法应用 SSA 算法优选网络入侵特征属性,用于改进 EI.M 网络分类性能,通过减少模型输入特征数,来降低计算复杂度。将模型用于医院网络 Dos,Probe,R2L.等攻击行为样本检测,结果表明检测准确率能够达 90%以上,检测时长在 0.5 s 以内,误报率不超 0.3%,能满足医院网络入侵检测高效、准确、可靠的检测要求

关键词:SSA;ELM;医院网络:入侵检测

中图法分类号:TP393文献标识码:A

1 引言

随着网络技术的普及与应用,各种网络攻击、非法入侵层出不穷,给网络信息安全带来了较大威胁。医院内部网络一旦遭受非法入侵,容易造成患者隐私数据泄露、丢失,从而影响医院正常运营,甚至引发严重的经济损失和社会影响。在网络入侵检测方面,对各种机器学习方法进行了研究,如采用布谷鸟算法和支持向量机实现入侵检测,但仅在处理小样本时可以达到较高准确率,而处理海量数据时容易出现滞后情况[1] ;采用网络搜索法依靠特征参数寻优,尽管能够通过分类器分类,但遍历搜索列表中每组参数将造成搜索时间过长,模型训练效率较低;采用麻雀搜索算法(SSA)直接在相邻特征参数间搜索,更新判断参数选取方向,舍弃无法优化分类器性能的参数,可以迅速查找到优秀特征参数组[2] 。在此基础上,应考虑入侵检测数据不均衡的问题,为避免直接采用机器学习方法造成少数类分类精度较低的问题,需从算法层面着手,结合入侵行为相对正常行为数量少的特点,采用极限学习机(ELM)建立单隐层前馈神经网络,设定隐含层神经元快速学习,以获得良好的泛化性能。综上所述,提出采用基于SSA 算法和ELM 算法的医院网络入侵特征选择和检测模型,通过优化特征参数、模型分类性能,从而获得较高整体检测效率,提升入侵行为检测准确率。

2 网络入侵特征选择模型

2.1 SSA 算法

作为群体智能优化方法,SSA 算法模仿麻雀觅食和逃避捕食者的过程,按照比例将整个麻雀群划分为发现者和追随者,并随机选择个体兼任警戒者[3] 。其中,发现者能量储备较高,负责食物搜索,为追随者指明食物方向;随着追随者能量下降,将跟随发现者去往觅食位置获取能量;警戒者在发现捕食者入侵后,将向群体发出警报,以确保群体安全。采用该算法,假设麻雀群体在N×D 维空间内寻找食物,N 为群体规模, D 为搜索优化维度。空间内食物F = [ F1,F2,…,FD ]T ,麻雀中个体位置为X = [Xn1,Xn2,…,XnD ]T ,n = 1,2,…,N,搜索空间上限为ub = [ub1,ub2,…,ubD ]T ,下限为lb =[lb1,lb2,…,lbD ]T ,则能够完成群体初始化,得到:

式中,E(S,β)为网络输出误差值,H 為深入矩阵,β 为输出权重矩阵,T 为样本目标输出矩阵。采用ELM 实现非线性问题优化,应用极限定理、差值定理等使网络隐含层激活函数达到无穷小,确认输入层权值和隐含层阈值不会给输出层结果输出带来明显影响。因此,采用ELM 可以将训练过程转换为求解最小二乘数β 的过程,得到:

β =H+T (8)

式中,H+为H 的广义逆矩阵,通过正交法获取,能够求解得到唯一的最小值。

2.3 基于SSA 的ELM 模型

建立基于SSA 算法的ELM 模型实现网络入侵特征选择,能够通过参数优化解决训练样本偏差较大的问题,以避免产生病态矩阵,从而给网络信号分类器性能带来不良影响[4] 。为将两种算法结合,需先设计适应度函数:

fitness=arg min(TrainErrorRate+TestErrorRate)(9)

式中,fitness 为最终选择网络入侵特征,TrainErrorRate为训练集错误率,TestErrorRate 为测试集错误率,使这两个数值达到最小,能够获得最高的网络入侵检测准确率,在可选择的网络入侵特征最少的情况下选择最佳的特征组合。将麻雀群体中发现者的位置向量当成是特征集,xi 为一个特征,采用二进制编码方式,在第j 个入侵行为特征被选中时,xi 取值为1,反之则取值为0,确保从N 个特征中识别i 个寻优特征集合。采用SSA 算法实现ELM 优化,流程如图1 所示,特征子集与训练数据集相对应,并根据个体适应度判断是否达到终止条件,以获得最优特征子集,从而将其应用于网络入侵检测。

3 基于SSA 和ELM 的医院网络入侵检测

3.1 样本分析

采用SSA?ELM 模型实现医院网络入侵检测,并结合医院网络建设情况,将KDD CUP99 网络作为测试对象,常见入侵包含Probe,Dos,U2R,R2L 几种网络攻击。在网络训练阶段,使用2 856 个样本展开训练,其中正常样本1 983 个,攻击样本不到900 个,每个样本包含40 多种属性。在网络测试阶段,测试样本数为2 234 个,正常样本数为1 453 个。在样本中,Dos 占比最大,约占35%,其次为Probe,约占30%,R2L 样本数约占25%,U2R 样本数在10%左右。

3.2 检测流程

采用SSA?LEM 模型进行入侵检测,输入层神经元数量设定为41,隐含层神经元数量为83,激励函数为高斯核函数。使用的测试设备配备2.4 GHz 的CPU,以及4 GB 内存,芯片为Intel Corei5,操作系统为Windows 9。在开展实验室仿真测试时,使用Matlab软件。

按照入侵检测流程,先完成医院网络入侵检测数据读取,将数据划分为训练集和测试集,最后统一进行归一化处理。在利用计算机软件生成ELM 模型后,需确定层数、各层节点数等,然后采用二进制编码方式完成特征编码。对SSA 种群进行初始化后,设定种群规模N,并确定最大迭代次数T,实际取值为50次,系统将自动生成麻雀群体。首先,将不同特征属性带入模型训练中,在获得个体初始适应度后,再对发现者、追随者位置进行初始化,最后完成全部成员初始适应度排序,并从中选择最优位置,即食物位置[5] 。在标记该位置后,将其定义为发现者,将其他麻雀位置按照适应度进行排序,并定义为追随者。在完成发现者、追随者位置更新后,对群体适应度进行重新计算,找寻具有最佳适应度的麻雀位置,将其作为最新食物位置。基于此,采用随机选择警戒者的方法来确定麻雀移动方向,并对其进行不断寻优,直至获得全局最优位置信息。在经过反复迭代后,达到最大迭代次数,并输出最优位置信息,从而生成医院网络入侵最优特征子集,最后将特征子集输入ELM 模型中,完成网络入侵检测,输出最终检测结果。

3.3 检测效果

为验证算法的有效性,利用训练好的模型进行网络入侵测试,并根据检测准确率和时长等对结果展开评价。根据正常样本正确分类个数与总样本数比值,能够分析得到模型检测准确率。为验证模型可靠性,需要对入侵行为检测的误报率展开分析,即攻击样本错报数量和总数量的比值。

将SSA?ELM 模型和ELM 模型进行比较,能够得到如表1 的测试结果。从Dos 攻击检测情况来看,使用传统ELM 模型和使用SSA 算法改进后的ELM 模型均能达到99%以上的检测准确率,但改进后的模型准确率更高,且检测时间明显缩短。由此可见,两种模型用于常见Dos 攻击检测均能达到较高准确率,但由于传统模型反应时间较长,因此无法实现实时检测医院网络入侵行为的目标。从误报率情况来看,采用SSA?ELM 模型可以将Dos 攻击误报率从0.09%降低至0,从而有效地增强网络入侵检测系统运行的可靠性。而针对Probe 等平时并不常见的入侵行为实施检测,采用ELM 模型的准确率较低,在50% ~80%之间波动,检测时大多不超1 s,尽管响应速度较快,但卻无法有效识别各种网络攻击行为,且对USR 攻击的误报率较高,达到了1.61%,容易给医院网络正常工作带来干扰。采用SSA?ELM 模型进行入侵检测,仅对Probe 攻击检测准确率较低,但也达到了90%以上,而对USR 攻击检测准确率达到了100%,检测时长则统一控制在0.5 s 以内,可以达到较高检测效率。此外,SSA?ELM 模型的误报率较低,最大不超过0.3%,能够保证医院网络入侵检测系统的可靠工作。由此可见,采用SSA 算法能够有效优化ELM 模型分类性能。

为进一步确认增加迭代次数能否增强模型入侵检测效果,将迭代次数增加至100 次。从测试结果来看,Dos,Probe,R2L,U2R 的检测准确率分别为99.9%,93.2%,98.9%和100%,检测时长则分别达到1.21 s,0.10 s,0.34 s 和0.05 s,误报率分别达到0.00%,0.05%,0.00%和0.23%。由此可见,增加迭代次数对模型入侵检测准确率和误报率的改善效果并不明显,但却造成检测时长增加1 倍左右。经过综合考量,应将迭代次数设定为50 次,在降低模型复杂度和冗余度的同时,保证模型用于医院网络入侵检测的高效性和可靠性。

4 结束语

基于医院网络面临复杂入侵行为的情况,在当前网络入侵检测算法存在响应速度慢、特征识别率不高等问题的基础上,提出采用SSA 算法优化ELM 分类性能,通过最小二乘法快速完成入侵行为特征选择,从而提高网络入侵检测效率和质量。对SSA?ELM 模型建立过程展开分析,然后通过实验验证方式检验模型分类性能,最终确定采用改进后的ELM 模型能够明显提高对Probe,R2L,U2R3 种攻击行为的检测准确率,同时能够有效降低对Dos 和U2R 入侵行为检测误报率,并缩短各种入侵行为检测时长。在较少迭代次数下,SSA?ELM 模型即可体现较好的网络分类器性能,以及保持较高检测效率和结果可靠性,因此在医院网络入侵检测领域拥有较好的应用前景。

参考文献:

[1] 魏明军,张鑫楠,刘亚志,等.一种基于SSA?BRF 的网络入侵检测方法[J].河北大学学报(自然科学版),2022,42(5):552?560.

[2] 张志飞,王露漫.基于机器学习的网络入侵检测算法研究[J].计算机应用与软件,2022,39(10):336?343.

[3] 高兵,郑雅,秦静,等.基于麻雀搜索算法和改进粒子群优化算法的网络入侵检测算法[J].计算机应用,2022,42(4):1201?1206.

[4] 陈爱萍.基于PSO?ELM 算法的网络入侵检测研究[J].安阳师范学院学报,2022(2):35?39.

[5] 杨彦荣,宋荣杰,周兆永.基于GAN?PSO?ELM 的网络入侵检测方法[J].计算机工程与应用,2020,56(12):66?72.

作者简介:

杨威( 1976—), 网络工程师, 研究方向: 计算机科学与技术。

猜你喜欢
入侵检测
多Agent的创新网络入侵检测方法仿真研究
基于入侵检测的数据流挖掘和识别技术应用
艺术类院校高效存储系统的设计
基于网络规划识别的入侵检测结构
基于关联规则的计算机入侵检测方法
无线传感器网络发展历史及安全需求及技术挑战
无线传感器网络入侵检测系统综述
人工神经网络的改进及其在入侵检测中的应用
基于Φ—OTDR的分布式入侵检测系统的应用综述
科技视界(2016年9期)2016-04-26 12:11:48
一种基于数据融合的新的入侵检测框架
物联网技术(2015年8期)2015-09-14 09:34:23