粒子群算法和SVM的网络入侵检测
罗尚平 刘才铭
摘 要: 针对当前的神经网络检测算法在强干扰下的网络入侵检测准确拦截性不好的问题,提出一种基于粒子群算法和支持向量机的网络入侵检测方法。构建网络入侵的特征信号模型,采用二阶自适应格型IIR陷波器进行入侵信息的抗干扰处理;粒子群算法进行自适应寻优提取网络入侵特征的最优解,SVM进行入侵信息分类,实现网络入侵有效检测;并进行仿真测试。结果表明,采用该方法进行网络入侵检测的准确拦截概率较高,误检和漏检概率较低,保障了网络安全。
关键词: 粒子群算法; 支持向量机; 网络入侵; 检测算法
中图分类号: TN711?34; TP393 文献标识码: A 文章编号: 1004?373X(2017)10?0031?04
Abstract: As the accuracy of the current neural network detection algorithm to detect and intercept network intrusion in strong interference is not high enough, a detection method based on particle swarm optimization algorithm and support vector machine to deal with the network intrusion is put forward, and the feature signal model of network intrusion is built. The two?order adaptive lattice IIR notch filter is adopted for anti?jamming processing of intrusion information. The particle swarm optimization algorithm is used to extract the optimal solution of network intrusion features in adaptive optimizing mode. SVM is employed for intrusion information classification to realize the effective detection of network intrusion. The simulation test results show that the method has high accurate intercepting probability and low false dismissal detection probability for network intrusion detection. It can guarantee the network security.
Keywords: particle swarm optimization; support vector machine; network intrusion; detection algorithm
随着网络信息技术的快速发展,大量的信息数据通过网络实现信息传输和信息存储,网络安全受到人们的极大关注,网络安全分为网络系统安全和网络信息安全。网络安全防御过程就是一个信息对抗和反对抗的过程,网络攻击者通过植入病毒进行网络攻击入侵,网络防御者通过信息检测技术进行入侵检测,实现病毒入侵的识别[1]。为了提高网络安全检测性能,本文提出一种基于粒子群算法和支持向量机的网络入侵检测方法,通过算法设计和仿真测试分析,提高网络入侵的检测能力。
1 网络入侵信号分析
1.1 网络入侵时间尺度响应计算
为了实现对网络入侵的准确检测,先构建网络入侵信号采样和传输模型[2?3],并结合时间序列分析方法,进行网络入侵信号的统计分析。网络入侵信号是一组非线性时间序列,可以采用非线性时间序列分析方法进行特征分析和检测,结合统计信息采样和时间序列分析[4],得到网络入侵信号结构模型为:
1.2 抗干扰处理
设计二阶自适应格型IIR陷波器进行网络入侵的抗干扰处理,二阶自适应格型IIR陷波器结构模型如图1所示。
和网络空间中分布的有用信息共同构成;y(k)为网络入侵信号经过二阶格型陷波器滤波后的输出。通过k次迭代,选择适当的相位[θ1k],使[y(k)φ*(k)]最小;通过粒子群算法进行频率参数[a]和带宽参数[r]的自适应调整,进行网络病毒入侵信息检测的抗干扰滤波时,令自适应权值[w0=0],得到匹配滤波检测的抽头系数迭代式为:
式中:[μ]为对网络病毒入侵信息的离散时间线采样的窗口控制参数,称为步长;[φ*(k)]是输出期望响应信号[y(k)]的陷波频率,当[r→1]时网络入侵信号标量时间序列在陷波器中的聚焦带宽减小。通过输出处理,设计得到网络入侵信号滤波的陷波器的传输函数为:
输入的网络入侵信息特征[u(k)]经过匹配滤波,抑制传输信息通道中的合法数据,提高入侵信息的頻域聚焦能力,实现了对网络入侵信号的抗干扰处理,增大了有效检测的概率。
2 网络入侵检测模型优化实现
2.1 基于粒子群算法的入侵特征分布性度量计算
采用粒子群算法进行自适应寻优提取网络入侵特征的最优解。假设在D维网络入侵信息搜索空间中,有m个粒子组成一个种群。个体i在D维网络入侵信息搜索空间中的位置可以表示为[Xi=xi1,xi2,…,xiD],第i个粒子通过自适应寻优和跳跃改进机制约束进行入侵信息定位,记为[Pi=pi1,pi2,…,piD]。每个粒子个体的速度记为[Vi =vi1,vi2,…,viD , i=1,2,…,m],在非支配解控制约束下进行自适应寻优泛函[8]。提取网络入侵的信息传递特征,得到在整个群体中所有粒子经历过的最好位置为[Pg=pg1,pg2,…,pgD]。采用极值跟踪搜索方法进行网络病毒信息的锁定,得到粒子群寻优的迭代过程描述为:
在粒子群寻优和SVM訓练下,网络入侵检测的收敛性能更加优越。
3 实验测试分析
在Matlab仿真环境下进行网络入侵检测分析,实验的硬件环境为2.89 GHz双核Core四处理器,1 GB内存。在分布式中心网络的交换机中进行网络传输数据信息采样,采集时间为5 min,使用50 KS/s的采样率进行数据分析和特征提取。网络入侵特征的离散采样频率为[FS=20 f0=50 kHz];样本长度为1 024;支持向量机SVM训练的信号样本为频带10~15 kHz、时宽2.6 ms的线性调频时间序列;滤波器长度[L]=25;粒子群数量N为1 000个;适应度的初始值为0.25;模型组数20个。根据上述仿真设定,进行网络入侵检测,对网络传输数据进行原始信息采样和干扰抑制,得到的原始数据和滤波数据如图2所示。
由图2可见,采用本文设计的二阶自适应格型IIR陷波器进行入侵信息的抗干扰处理,有效抑制了干扰信息,能提高对网络入侵的检测能力。然后采用粒子群算法进行自适应寻优提取网络入侵特征,采用SVM进行入侵信息分类,实现网络入侵有效检测,如图3所示为采用1 000次蒙特卡洛实验得到的入侵检测的ROC曲线。由图3分析得知,采用本文方法能在较低的信噪比下获得较好的检测性能,对网络入侵的准确检测概率较高,降低了虚警和漏检率。
4 结 语
为了提高网络的安全防御能力,本文提出一种基于粒子群算法和支持向量机的网络入侵检测方法。首先构建网络入侵的特征信号模型,采用二阶自适应格型IIR陷波器进行入侵信息的抗干扰处理;然后采用粒子群算法进行自适应寻优提取网络入侵特征的最优解,采用SVM进行入侵信息分类,实现网络入侵有效检测。研究表明,采用该方法进行网络入侵检测的准确拦截概率较高,误检和漏检概率较低,保障了网络安全,具有较好的应用性能。
参考文献
[1] 刘智国,张雅明,林立忠.基于粒子群LSSVM的网络入侵检测[J].计算机仿真,2010,27(11):136?140.
[2] 顾彬,郑关胜,王建东.增量和减量式标准支持向量机的分析[J].软件学报,2013(7):1601?1613.
[3] 陆科达,万励,吴洁明.基于数据挖掘技术的网络安全事件预测研究[J].科技通报,2012,28(6):37?40.
[4] 王龙,万振凯.基于服务架构的云计算研究及其实现[J].计算机与数字工程,2009,37(7):88?91.
[5] 饶雨泰,杨凡.网络入侵搅动下的网络失稳控制方法研究[J].科技通报,2014,30(1):185?188.
[6] 马小雨.多头作战网络连接下伪入侵报警去除方法研究[J].计算机仿真,2014,31(8):317?320.
[7] 章武媚,陈庆章.引入偏移量递阶控制的网络入侵HHT检测算法[J].计算机科学,2014,41(12):107?111.
[8] GUBBI J, BUYYA R, MARUSIC S, et al. Internet of Things (IoT): a vision, architectural elements, and future directions [J]. Future generation computer systems, 2013, 29(7): 1645?1660.
摘 要: 针对当前的神经网络检测算法在强干扰下的网络入侵检测准确拦截性不好的问题,提出一种基于粒子群算法和支持向量机的网络入侵检测方法。构建网络入侵的特征信号模型,采用二阶自适应格型IIR陷波器进行入侵信息的抗干扰处理;粒子群算法进行自适应寻优提取网络入侵特征的最优解,SVM进行入侵信息分类,实现网络入侵有效检测;并进行仿真测试。结果表明,采用该方法进行网络入侵检测的准确拦截概率较高,误检和漏检概率较低,保障了网络安全。
关键词: 粒子群算法; 支持向量机; 网络入侵; 检测算法
中图分类号: TN711?34; TP393 文献标识码: A 文章编号: 1004?373X(2017)10?0031?04
Abstract: As the accuracy of the current neural network detection algorithm to detect and intercept network intrusion in strong interference is not high enough, a detection method based on particle swarm optimization algorithm and support vector machine to deal with the network intrusion is put forward, and the feature signal model of network intrusion is built. The two?order adaptive lattice IIR notch filter is adopted for anti?jamming processing of intrusion information. The particle swarm optimization algorithm is used to extract the optimal solution of network intrusion features in adaptive optimizing mode. SVM is employed for intrusion information classification to realize the effective detection of network intrusion. The simulation test results show that the method has high accurate intercepting probability and low false dismissal detection probability for network intrusion detection. It can guarantee the network security.
Keywords: particle swarm optimization; support vector machine; network intrusion; detection algorithm
随着网络信息技术的快速发展,大量的信息数据通过网络实现信息传输和信息存储,网络安全受到人们的极大关注,网络安全分为网络系统安全和网络信息安全。网络安全防御过程就是一个信息对抗和反对抗的过程,网络攻击者通过植入病毒进行网络攻击入侵,网络防御者通过信息检测技术进行入侵检测,实现病毒入侵的识别[1]。为了提高网络安全检测性能,本文提出一种基于粒子群算法和支持向量机的网络入侵检测方法,通过算法设计和仿真测试分析,提高网络入侵的检测能力。
1 网络入侵信号分析
1.1 网络入侵时间尺度响应计算
为了实现对网络入侵的准确检测,先构建网络入侵信号采样和传输模型[2?3],并结合时间序列分析方法,进行网络入侵信号的统计分析。网络入侵信号是一组非线性时间序列,可以采用非线性时间序列分析方法进行特征分析和检测,结合统计信息采样和时间序列分析[4],得到网络入侵信号结构模型为:
1.2 抗干扰处理
设计二阶自适应格型IIR陷波器进行网络入侵的抗干扰处理,二阶自适应格型IIR陷波器结构模型如图1所示。
和网络空间中分布的有用信息共同构成;y(k)为网络入侵信号经过二阶格型陷波器滤波后的输出。通过k次迭代,选择适当的相位[θ1k],使[y(k)φ*(k)]最小;通过粒子群算法进行频率参数[a]和带宽参数[r]的自适应调整,进行网络病毒入侵信息检测的抗干扰滤波时,令自适应权值[w0=0],得到匹配滤波检测的抽头系数迭代式为:
式中:[μ]为对网络病毒入侵信息的离散时间线采样的窗口控制参数,称为步长;[φ*(k)]是输出期望响应信号[y(k)]的陷波频率,当[r→1]时网络入侵信号标量时间序列在陷波器中的聚焦带宽减小。通过输出处理,设计得到网络入侵信号滤波的陷波器的传输函数为:
输入的网络入侵信息特征[u(k)]经过匹配滤波,抑制传输信息通道中的合法数据,提高入侵信息的頻域聚焦能力,实现了对网络入侵信号的抗干扰处理,增大了有效检测的概率。
2 网络入侵检测模型优化实现
2.1 基于粒子群算法的入侵特征分布性度量计算
采用粒子群算法进行自适应寻优提取网络入侵特征的最优解。假设在D维网络入侵信息搜索空间中,有m个粒子组成一个种群。个体i在D维网络入侵信息搜索空间中的位置可以表示为[Xi=xi1,xi2,…,xiD],第i个粒子通过自适应寻优和跳跃改进机制约束进行入侵信息定位,记为[Pi=pi1,pi2,…,piD]。每个粒子个体的速度记为[Vi =vi1,vi2,…,viD , i=1,2,…,m],在非支配解控制约束下进行自适应寻优泛函[8]。提取网络入侵的信息传递特征,得到在整个群体中所有粒子经历过的最好位置为[Pg=pg1,pg2,…,pgD]。采用极值跟踪搜索方法进行网络病毒信息的锁定,得到粒子群寻优的迭代过程描述为:
在粒子群寻优和SVM訓练下,网络入侵检测的收敛性能更加优越。
3 实验测试分析
在Matlab仿真环境下进行网络入侵检测分析,实验的硬件环境为2.89 GHz双核Core四处理器,1 GB内存。在分布式中心网络的交换机中进行网络传输数据信息采样,采集时间为5 min,使用50 KS/s的采样率进行数据分析和特征提取。网络入侵特征的离散采样频率为[FS=20 f0=50 kHz];样本长度为1 024;支持向量机SVM训练的信号样本为频带10~15 kHz、时宽2.6 ms的线性调频时间序列;滤波器长度[L]=25;粒子群数量N为1 000个;适应度的初始值为0.25;模型组数20个。根据上述仿真设定,进行网络入侵检测,对网络传输数据进行原始信息采样和干扰抑制,得到的原始数据和滤波数据如图2所示。
由图2可见,采用本文设计的二阶自适应格型IIR陷波器进行入侵信息的抗干扰处理,有效抑制了干扰信息,能提高对网络入侵的检测能力。然后采用粒子群算法进行自适应寻优提取网络入侵特征,采用SVM进行入侵信息分类,实现网络入侵有效检测,如图3所示为采用1 000次蒙特卡洛实验得到的入侵检测的ROC曲线。由图3分析得知,采用本文方法能在较低的信噪比下获得较好的检测性能,对网络入侵的准确检测概率较高,降低了虚警和漏检率。
4 结 语
为了提高网络的安全防御能力,本文提出一种基于粒子群算法和支持向量机的网络入侵检测方法。首先构建网络入侵的特征信号模型,采用二阶自适应格型IIR陷波器进行入侵信息的抗干扰处理;然后采用粒子群算法进行自适应寻优提取网络入侵特征的最优解,采用SVM进行入侵信息分类,实现网络入侵有效检测。研究表明,采用该方法进行网络入侵检测的准确拦截概率较高,误检和漏检概率较低,保障了网络安全,具有较好的应用性能。
参考文献
[1] 刘智国,张雅明,林立忠.基于粒子群LSSVM的网络入侵检测[J].计算机仿真,2010,27(11):136?140.
[2] 顾彬,郑关胜,王建东.增量和减量式标准支持向量机的分析[J].软件学报,2013(7):1601?1613.
[3] 陆科达,万励,吴洁明.基于数据挖掘技术的网络安全事件预测研究[J].科技通报,2012,28(6):37?40.
[4] 王龙,万振凯.基于服务架构的云计算研究及其实现[J].计算机与数字工程,2009,37(7):88?91.
[5] 饶雨泰,杨凡.网络入侵搅动下的网络失稳控制方法研究[J].科技通报,2014,30(1):185?188.
[6] 马小雨.多头作战网络连接下伪入侵报警去除方法研究[J].计算机仿真,2014,31(8):317?320.
[7] 章武媚,陈庆章.引入偏移量递阶控制的网络入侵HHT检测算法[J].计算机科学,2014,41(12):107?111.
[8] GUBBI J, BUYYA R, MARUSIC S, et al. Internet of Things (IoT): a vision, architectural elements, and future directions [J]. Future generation computer systems, 2013, 29(7): 1645?1660.