混沌免疫遺傳算法的網絡入侵檢測模型

賈花萍，李堯龍，史曉影

1.渭南師范學院數學與信息科學學院，陜西渭南 714099

2.渭南師范學院物理與電氣工程學院，陜西渭南 714099

混沌免疫遺傳算法的網絡入侵檢測模型

賈花萍1，李堯龍1，史曉影2

1.渭南師范學院數學與信息科學學院，陜西渭南 714099

2.渭南師范學院物理與電氣工程學院，陜西渭南 714099

為了有效地提高入侵檢測系統的檢測率并降低誤報率，提出采用屬性約簡方法對高維入侵檢測數據進行特征選擇，剔除無關的屬性輸入來提高檢測效果，將混沌免疫遺傳算法引入神經網絡學習過程用以進行入侵檢測，與傳統BP神經網絡檢測結果進行比較，實驗結果表明，將該方法用于入侵檢測是切實可行的。

混沌；免疫網絡；遺傳算法；入侵檢測

1 引言

Aderson在1980年發表Computer Security Threat Monitoring and Surveillance的文章，提出利用審計跟蹤數據來監視入侵活動的主體思想，即入侵檢測概念的提出[1]。入侵檢測技術是對入侵行為的檢測，主要利用網絡收集信息進行分析，從而發現危害系統安全的行為，防止數據外泄或被破壞，起到保護信息安全的作用，可以有效地解決傳統的被動防御體系所不能解決的問題，提高了信息安全基礎結構的完整性，因此越來越受到人們的重視。

目前，入侵檢測主要采用的算法有神經網絡、數據挖掘、計算機免疫學、演化計算、遺傳算法、支持向量機（SVM）等。現有的入侵檢測方法存在明顯不足：如可擴展性差，如采用神經網絡等方法的檢測系統，要依賴于特定類型的操作系統或依賴于特定的網絡結構。可移植性差，現在的檢測系統都是為某個單一的環境構建的，很難直接應用于其他壞境，并且存在檢測效率低和可維護性差的缺點。目前，大部分入侵檢測產品是基于網絡的。該入侵檢測系統的優點：能夠檢測那些來自網絡的攻擊，能夠檢測到超過授權的非法訪問，不需要改變服務器等主機的配置。但是該入侵檢測系統也有其自身的弱點：只檢查它直接連接網段的通信，不能檢測在不同網段的網絡包。只能檢測出普通的一些攻擊，很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。

現有的入侵檢測技術存在著很多不足，如誤警率較高，檢測速度慢，時效性低，與其他信息安全技術交互性不強等。因此在入侵檢測技術中，軟計算方法是檢測技術發展的趨勢。Debar等人[2]提出的遞歸型BP網絡，在所搜集的審計記錄的基礎上，對系統用戶的各行為方式進行建模，并同時結合專家系統進行入侵檢測，但BP神經網絡用于入侵檢測執行速度較慢。Song[3]提出聚類和多個單類SVM的無監督異常檢測方法。Mulay[4]提出了一種基于決策樹支持向量機的入侵檢測算法。Srinoy Surat[5]提出一種基于粒子群優化和SVM的入侵檢測方法。SVM用于入侵檢測的效果雖好，但核函數及其參數的選擇只能憑經驗獲得，訓練時間及檢測時間太長。有學者提出了新的入侵檢測方法，也有學者將遺傳算法、神經網絡、增量學習理論，SVM方法結合進行入侵檢測，取得了較好的效果。如付玉珍提出了混沌免疫克隆選擇規劃的網絡入侵檢測方法[6]。許春等提出基于免疫危險理論的新型網絡入侵檢測方法[7]。Aggarwal[8]提出的基于遺傳算法確定相關特征的入侵檢測方法。薛嚴冬等人[9]提出了基于Snort的分布式協作入侵檢測系統等，這些方法在提高入侵檢測效率的基礎上，降低了誤報率。

針對高維入侵檢測數據，文中擬采用屬性約簡方法進行特征選擇，約簡掉冗余屬性來提高檢測效果，然后將混沌免疫遺傳算法引入神經網絡的學習過程中，提高神經網絡的全局搜索和泛化能力，用該方法進行入侵檢測。

2 入侵檢測系統的基本結構

入侵檢測系統結構有四個基本的功能部件，分別是事件產生器、事件分析器、事件數據庫和事件響應，其結構如圖1所示。事件產生器主要負責原始數據的采集，將其轉換為事件，并提供給系統的其他部分。事件分析器對接收事件進行分析，判斷是否為入侵行為或異常現象，最后將判斷結果轉變為警告信息。響應單元根據事件分析器的結果采取相應的措施，即根據警告信息做出反應。事件數據庫根據事件產生器和事件分析器提供的分析結果，供系統分析時使用。

圖1 入侵檢測系統的基本結構

3 混沌免疫遺傳算法的神經網絡模型

將混沌免疫遺傳算法引入神經網絡的學習過程，提高神經網絡的全局搜索和泛化能力。采用三層網絡結構，輸入層、隱含層和輸出層。各層神經元個數分別為n，m，l，具體網絡的訓練過程如下[10]：

步驟1隱含層權值W1，閾值θ1和輸出層權值W2，閾值θ2，采用混沌隨機序列生成[0，1]之間的隨機數，初始化N組權值和閾值，作為混沌免疫遺傳算法初始種群的N個個體。

步驟2選用Sigmoid函數作為隱含層與輸出層激活函數。

ylk為網絡的期望輸出，yk為網絡的實際輸出，1≤k≤l。

步驟4計算遺傳算法的適應度函數：

步驟5按照免疫調節的選擇過程，根據公式：

構造選擇概率，其中0≤α≤1，0≤β≤1；pf為適應度概率，pd為濃度抑制概率，f(Ui)為抗體的適應度函數；ci為抗體Ui的濃度，抗體濃度表示抗體與其他個體的相似程度，高濃度的抗體受到抑制消除，這樣可以保證抗體群的多樣性。

步驟6利用公式

計算變異概率；其中，k1≥0，k2≤1，k3≥0，k4≤1且均為常數，交叉的個體適應度中較大的一個為f，favg為群體平均適應度，fmax為群體最大適應度，變異個體適應度為fl。

步驟7對經過選擇、交叉、變異后的群體(U1, U2,…,UM)提取構造疫苗H=(h1，h2，…，hn)，并對種群進行免疫接種，產生新一代種群。

步驟8重復步驟6～步驟7，直到平均誤差達到給定的誤差精度。

步驟10保存權值與閾值，將其應用于網絡入侵檢測模型。

4 實驗

4.1 實驗數據

實驗數據來自http：//kdd.ics.uci.edu/databases/kddcup99/，是美國高級計劃研究局在1999年用于評估入侵檢測系統的基準數據集KDDCUP1999。該數據集中數據量大，屬性較多。數據中的入侵被分為四種類型：DoS（Denial of Service，拒絕服務攻擊），指的是攻擊者通過合理的服務請求來占用服務資源，導致合法用戶的服務請求無法得到響應的攻擊方式，是黑客常用的攻擊手段之一。Probe（各種端口掃描和漏洞掃描），通過掃描計算機發現已知的系統漏洞，如IP地址、活動端口號等漏洞。R2L（Remote to Local，遠程權限獲取），指通過發送數據包的方式來獲得目標主機的本地訪問權限的攻擊方式。U2R（User to Root，各種權限提升）是指攻擊者利用普通用戶身份登錄系統，通過系統漏洞獲得系統根權限的行為。實驗從數據集中隨機抽取訓練樣本和測試樣本，對其連續屬性進行離散化后得到實驗樣本如表1所示。

表1 入侵檢測實驗樣本集

4.2 數據特征選擇

高維的入侵檢測數據中存在無關屬性及冗余屬性，會影響數據分類的準確性，增加訓練和檢測的運算量，降低檢測速度[11]。特征選擇的目的就是從高維數據中剔除冗余屬性，提取入侵行為的最優特征子集，提高檢測率和檢測速度。蔣加伏等人[12]提出順序搜索策略改進的多目標進化的入侵檢測特征選擇方法。倪霖[13]等人用免疫粒子群算法進行入侵檢測特征選擇；以上算法能夠有效獲取優化特征子集，但是針對大規模數據集上的特征選擇，該方法收斂速度慢且時間復雜度較高。Mitra等人[14]提出的非搜索性策略，時間復雜度相對較低，但得到的特征子集中有較多冗余特征，影響了分類準確率。

1982年，波蘭科學院院士Z.Pawlak發表了經典論文Rough Set（粗糙集理論）[15]，粗糙集理論中的屬性約簡方法是在保持分類能力的基礎上，從全體條件屬性中刪除掉無關屬性和冗余屬性，留下重要的屬性。用粗糙集屬性約簡方法對入侵檢測的樣本數據屬性集進行約簡，為入侵檢測中數據的特征選擇提供了新的路徑。數據集中的每條記錄包括41種屬性值，如此多的屬性，若不進行約簡，會極大地影響檢測效果。先對41個屬性進行約簡，去掉冗余屬性來提高檢測效果。其特征子集的產生采用圖2所示方法。

圖2 特征子集產生流程圖

利用圖2所示方法進行特征選擇后，得到最優特征，41個特征屬性經過約簡，四種攻擊類型的屬性數目分別為5，15，6，7，得到四種攻擊類型的特征選擇結果如表2。

表2 特征選擇結果

4.3 檢測結果

對于入侵數據的檢測效果，即實驗結果進行評估，考慮檢測率、誤報率、誤警率作為評價指標。其定義如下：檢測率=正確分類的攻擊樣本數目/攻擊樣本總數× 100%；誤報率=被錯誤分類的正常樣本數/正常樣本總數×100%；誤警率=（實際入侵次數-正確報警數）/實際入侵次數。

本次實驗環境為Windows XP Professional，平臺為Matlab7.0。從數據集中隨機抽取數據作為訓練樣本和測試樣本。利用傳統BP神經網絡模型和文中提出的混沌免疫遺傳算法神經網絡模型對KDDCUP1999數據集進行檢測，檢測效果如表3所示。

從表3的檢測結果可以看出，采用傳統BP神經網絡方法，除U2R攻擊的檢測率稍高，其他攻擊類型的檢測率明顯低于本文所提出的方法；在對入侵檢測系統的誤報率、誤警率的檢測中，本文方法明顯低于傳統BP神經網絡；在四種攻擊類型中，對DoS類型的檢測率最高，而Probe攻擊類型的誤報率和誤警率最高。

表3 兩種入侵檢測算法對比結果（%）

本文提出的混沌免疫遺傳算法的網絡入侵檢測模型，通過在公開樣本集上進行測試，結果表明該方法的多個指標都優于現有方法。然而，對于入侵檢測而言，算法所消耗的內存空間以及算法的計算復雜度都是很重要的指標。從計算所需的時間復雜度和空間復雜度來看，傳統BP神經網絡算法的時間復雜度與網絡的規模有關，其時間復雜度為O(n)，n為網絡規模，空間復雜度為O(1)。對入侵檢測數據進行特征選擇采用屬性約簡算法，其時間復雜度為max{O(|C||U|)，O(|C|2|U/C|)}，其中，U表示對象的非空有限集合；C表示條件屬性的非空有限集。

神經網絡識別網絡的入侵行為已經應用已久，現在，該技術己經具備相當強的攻擊模式分析能力，并且能較好地處理帶噪聲的數據，分析速度很快，可以用于實時分析。但是，該方法存在收斂速度慢，易陷于局部極小的缺點。本文所提出的方法能夠有效地對入侵檢測特征數據進行約簡，且效率較高；將混沌免疫思想融入遺傳算法中，以避免遺傳算法陷入局部最優，文中提出的方法在入侵檢測中具有明顯優勢，因此，將該方法用于入侵檢測是切實可行的。

5 討論

隨著計算機網絡技術的日益發展，網絡安全變得非常重要，目前入侵檢測技術存在很多問題，如性能問題、對分布式攻擊的檢測能力問題、體系結構問題、標準化問題、與其他安全技術的協作問題、自身的健壯性和主動防御能力問題以及評測標準問題。針對各種現存問題，各國學者提出了新的入侵檢測算法，如將各種智能方法應用到入侵檢測中，增強入侵檢測技術的學習能力和檢測能力，將各種智能方法進行融合應用到入侵檢測中以降低誤警率和提高對復雜攻擊行為的檢測能力也是目前的研究熱點。文中采用粗糙集屬性約簡方法得到最優特征子集，將混沌免疫遺傳算法引入神經網絡學習過程進行入侵檢測，取得了較好的檢測率和較低的誤警率。

[1]Anderson J P.Computer security threat monitoring and surveillance[R].Fort Washington，PA：J P Anderson Company，1980.

[2]Debar H，Becker M，Siboni D.A neural network component for an intrusion detections system[C]//IEEE Symposium on Security and Privacy.Okland：IEEE Computer Society，1992：256-266.

[3]Song Jungsuk，Hiroki T.Unsupervised anomaly detection based on clustering and multiple one-class SVM[J].IEICE Transactions on Communications，2009，E92-B（6）：1981-1990.

[4]Mulay S A，Devale P R，Garje G V.Decision tree based support vector machine for intrusion detection[C]//Proc of the International Conference on Networking and Information Technology，2010：59-63.

[5]Surat S.Intrusion detection model based on particle swarm optimization and support vector machine[C]//Proc of the 2007 IEEE Symposium on Computational Intelligence in Security and Defense Applications，Honolulu，HI，United States，2007：186-192.

[6]付玉珍.混沌免疫克隆選擇規劃的網絡入侵檢測方法[J].茂名學院學報，2010，20（3）：47-49.

[7]許春，李濤，劉孫俊，等.基于免疫危險理論的新型網絡入侵檢測方法研究[J].南京郵電大學學報：自然科學版，2006，26（5）：80-85.

[8]Aggarwal N，Agrawal R K，Jain H M.Genetic algorithm to determine relevant features for intrusion detection[C]// Proc of the IADIS European Conference on Data Mining and Part of the IADIS Multi Conference on Computer Science and Information Systems，2009：75-82.

[9]薛嚴冬，韓秀玲，戴尚飛.基于Snort的分布式協作入侵檢測系統[J].計算機工程，2010，36（19）：165-167.

[10]楊蕾，林紅.基于混沌免疫遺傳算法的神經網絡及應用[J].智能計算機與應用，2011，1（2）：10-13.

[11]Chou T S，Yen K K，Luo J.Network intrusion detection design using feature selection of soft computing paradigms[J].International Journal of Computational Intelligence，2008，4（3）：196-208.

[12]蔣加伏，吳鵬.基于多目標進化算法的入侵檢測特征選擇[J].計算機工程與應用，2010，46（17）：110-138.

[13]倪霖，鄭洪英.基于免疫粒子群算法的特征選擇[J].計算機應用，2007，27（12）：2922-2924.

[14]Mitra P，Murthy C A，Pal S K.Unsupervised feature selection on using feature similarity[J].IEEE Transactions on Pattern Analysis and Machine Intelligence，2002，24（3）：301-312.

[15]Pawlak Z.Rough set[J].International Journal of Computer and Information Scienses，1982，11：341-350.

JIA Huaping1,LI Yaolong1,SHI Xiaoying2

1.College of Mathematics and Information Science,Weinan Normal University,Weinan,Shaanxi 714099,China
2.College of Physics and Electrical Engineering,Weinan Normal University,Weinan,Shaanxi 714099,China

In order to effectively improve the detection rate of intrusion detection system and reduce the false alarm rate, the method of attribute reduction of high-dimensional data in intrusion detection feature selection is proposed.Attribute input irrelevant is weeded out to improve the detection effect.The chaos immune genetic algorithm is used in neural network learning process for intrusion detection.Compared with the traditional BP neural network detection results,the experimental results show that the method used in intrusion detection is feasible.

chaos;immune network;Genetic Algorithm（GA）;intrusion detection

A

TP18

10.3778/j.issn.1002-8331.1401-0423

JIA Huaping,LI Yaolong,SHI Xiaoying.Network intrusion detection model of chaos immune genetic algorithm. Computer Engineering and Applications,2014,50（21）：96-99.

陜西省自然科學基礎研究計劃項目（No.2011JM1010）；陜西省教育廳專項科研計劃項目（No.14JK1256）。

賈花萍（1979—），女，講師，研究方向：計算機網絡，神經網絡；李堯龍（1970—），男，博士，教授，研究方向：計算機算法；史曉影（1977—），女，副教授，研究方向：計算機算法。

2014-01-26

2014-04-08

1002-8331（2014）21-0096-04

CNKI出版日期：2014-07-02，http://www.cnki.net/kcms/doi/10.3778/j.issn.1002-8331.1401-0423.html