基于混合核函數(shù)的LSSVM網(wǎng)絡(luò)入侵檢測方法

趙夫群

摘 要： 針對常規(guī)網(wǎng)絡(luò)入侵檢測算法檢測率低、誤報(bào)率高以及檢測效率低下等問題，在此使用基于混合核函數(shù)的最小二乘支持向量機(jī)作為網(wǎng)絡(luò)入侵檢測模型的核心算法，使用粒子群優(yōu)化算法對最小二乘支持向量機(jī)的各個參數(shù)進(jìn)行優(yōu)化。使用著名的KDD CUP99數(shù)據(jù)庫中的部分?jǐn)?shù)據(jù)樣本對網(wǎng)絡(luò)入侵檢測模型進(jìn)行訓(xùn)練和測試，以驗(yàn)證所提出網(wǎng)絡(luò)入侵檢測方法的性能。測試實(shí)驗(yàn)結(jié)果表明，提出的基于混合核函數(shù)的PSO?LSSVM算法具有更好的檢測性能，提高了檢測系統(tǒng)的檢測率。

關(guān)鍵詞： 最小二乘支持向量機(jī)； 粒子群優(yōu)化； 網(wǎng)絡(luò)入侵檢測； 混合核函數(shù)

中圖分類號： TN711?34； TP393 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2015）21?0096?04

Detection method of LSSVM network intrusion based on hybrid kernel function

ZHAO Fuqun

（Xianyang Normal University， Xianyang 712000， China）

Abstract： Since the conventional detection algorithm of network intrusion has low detection rate， high false positive rate and low detection efficiency， the least squares support vector machine （LSSVM） algorithm based on hybrid kernel function is taken as the core algorithm of the network intrusion detection model， and each parameter of the LSSVM is optimized by using particle swarm optimization （PSO） algorithm. The network intrusion detection model was trained and tested by partial data samples in famous KDD CUP99 database to verify the performance of the proposed network intrusion detection method. The test results show that the PSO?LSSVM algorithm based on hybrid kernel function has better detection performance， and can improve the detection rate of the detection system.

Keywords： LSSVM； PSO； network intrusion detection； hybrid kernel function

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)與計(jì)算機(jī)技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)得到了廣泛的普及，為人們的生活、學(xué)習(xí)、工作帶來了無限的便利，可以說人們已經(jīng)無法離開互聯(lián)網(wǎng)。互聯(lián)網(wǎng)為人們帶來便利的同時，也帶來了新的問題，也就是互聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題。隨著互聯(lián)網(wǎng)犯罪率的逐年升高以及惡劣程度逐漸加劇，網(wǎng)絡(luò)安全越來越多地引起了人們的更深入的關(guān)注。網(wǎng)絡(luò)入侵檢測一直是人們研究互聯(lián)網(wǎng)技術(shù)的熱點(diǎn)問題之一，隨著互聯(lián)網(wǎng)入侵類型以及技術(shù)的不斷更新，傳統(tǒng)常規(guī)的網(wǎng)絡(luò)入侵檢測方法已經(jīng)不能夠滿足現(xiàn)階段網(wǎng)絡(luò)入侵檢測要求；提高網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測率以及檢測效率是研究網(wǎng)絡(luò)入侵檢測方法的主要問題之一[1?2]。

基于統(tǒng)計(jì)學(xué)習(xí)理論發(fā)展起來的支持向量機(jī)因?yàn)槠渚哂休^強(qiáng)的泛化能力以及處理非線性問題的能力，同時在局收斂性、處理非線性問題、小數(shù)據(jù)樣本等問題上要優(yōu)于其他機(jī)器學(xué)習(xí)算法，因此其在網(wǎng)絡(luò)入侵檢測系統(tǒng)中得到了廣泛的應(yīng)用。但是其算法存在稀疏性差、核函數(shù)容易受到條件制約等缺陷[3]。

因此，本文研究一種基于混合核函數(shù)的最小二乘支持向量機(jī)作為網(wǎng)絡(luò)入侵檢測模型的核心算法，使用粒子群優(yōu)化算法對最小二乘支持向量機(jī)的各個參數(shù)進(jìn)行優(yōu)化。RBF核函數(shù)屬于局部核函數(shù)，Polynomial核函數(shù)屬于全局核函數(shù)。局部核函數(shù)與全局核函數(shù)區(qū)別在于：局部核函數(shù)具有較強(qiáng)的學(xué)習(xí)能力以及較弱的泛化能力；全局核函數(shù)正好相反，其具有較強(qiáng)的泛化能力以及較弱的學(xué)校能力。因此將上述兩種核函數(shù)進(jìn)行混合，構(gòu)造一種新型混合函數(shù)，以發(fā)揮兩種核函數(shù)的優(yōu)勢，規(guī)避其劣勢。

1 混合函數(shù)PSO?LSSVM

1.1 最小二乘支持向量機(jī)

Vapnik基于統(tǒng)計(jì)學(xué)習(xí)理論提出一種依據(jù)最小化結(jié)構(gòu)風(fēng)險原理的小樣本學(xué)習(xí)方法，這種學(xué)習(xí)方法辨識支持向量機(jī)，簡稱SVM。

設(shè)定[xi]是[n]維輸入向量，[yi]是一維輸出值，[l]是樣本數(shù)量，你們訓(xùn)練樣本集合表示為：

RBF核函數(shù)屬于局部核函數(shù)，Polynomial核函數(shù)屬于全局核函數(shù)。局部核函數(shù)與全局核函數(shù)區(qū)別在于，局部核函數(shù)具有較強(qiáng)的學(xué)習(xí)能力以及較弱的泛化能力，全局核函數(shù)正好相反，其具有較強(qiáng)的泛化能力以及較弱的學(xué)校能力。因此可以上述兩種核函數(shù)進(jìn)行混合，構(gòu)造一種新型混合函數(shù)，以發(fā)揮兩種核函數(shù)的優(yōu)勢，規(guī)避其劣勢。混合函數(shù)可以表示為[6]：

[K=aKpoly+1-aKRBF=axxi+1q+1-aexp-x-xi2γ] （12）

式中：[γ]為RBF核函數(shù)懲罰系數(shù)；[q]為Polynomial核函數(shù)核階數(shù)；[a]為混合權(quán)重系數(shù)，[a∈0，1]。RBF核函數(shù)即為[a]為0時的混合函數(shù)；Polynomial核函數(shù)即為[a]為1時的混合函數(shù)。

由上述分析可知，核函數(shù)的核矩陣均是半正定的。其滿足運(yùn)行由簡單構(gòu)建塊構(gòu)造復(fù)雜核的閉性質(zhì)。

若[K1，][K2]是[X×X]的核，[X∈Rn，][fx]屬于[X]上實(shí)值函數(shù)，那么下列組合函數(shù)還是核函數(shù)：

式中：[wmin]為最后權(quán)重，通常[wmin=0.45]；[T]為現(xiàn)在迭代次數(shù)；[Tmax]為迭代次數(shù)最大值，[Tmax=200；][wmax]為初始權(quán)重[9]，通常[wmax=0.9；]

1.4 基于混合核函數(shù)的PSO?LSSVM算法

首先需要對RBF核函數(shù)參數(shù)[γ]和懲罰系數(shù)[c]這兩個參數(shù)進(jìn)行優(yōu)化，方能使用基于傳統(tǒng)RBF核函數(shù)支持向量機(jī)的粒子群優(yōu)化算法。基于混合核函數(shù)的PSO?LSSVM優(yōu)化算法為了得到最好的性能，需要對RBF核函數(shù)參數(shù)[γ]、懲罰系數(shù)[c]、Polynomial核函數(shù)核階數(shù)[q]以及混合權(quán)重[a]這4個參數(shù)進(jìn)行優(yōu)化[10]。

2 實(shí)驗(yàn)研究

2.1 數(shù)據(jù)來源

在實(shí)驗(yàn)室的Intel i7 2620QM，16 GB RAM，1 TB硬盤，Windows 7 操作系統(tǒng)環(huán)境的工作站中使用Matlab網(wǎng)絡(luò)入侵檢測模型進(jìn)行模擬仿真研究，數(shù)據(jù)來源于著名的KDD CUP99數(shù)據(jù)庫。KDD CUP99數(shù)據(jù)庫涵蓋了各種類型網(wǎng)絡(luò)入侵攻擊數(shù)據(jù)，最典型的有以下四類：

（1） Probe：掃描攻擊（）；

（2） DOS：拒絕服務(wù)攻擊；

（3） U2L：未授權(quán)使用本地超級權(quán)限訪問攻擊；

（4） U2R：遠(yuǎn)程用戶未授權(quán)訪問攻擊[11]。

由于KDD CUP99數(shù)據(jù)庫非常龐大，不可能對數(shù)據(jù)庫中所有數(shù)據(jù)進(jìn)行提取使用，因此只從KDD CUP99數(shù)據(jù)庫隨機(jī)提出一定的樣本數(shù)據(jù)用于實(shí)驗(yàn)分析。提取樣本數(shù)量如下：

（1） 50個Probe掃描攻擊樣本；

（2） 200個DOS拒絕服務(wù)攻擊樣本；

（3） 100個U2L未授權(quán)使用本地超級權(quán)限訪問攻擊樣本；

（4） 80個U2R遠(yuǎn)程用戶未授權(quán)訪問攻擊樣本；

（5） 1 000個正常樣本。

2.2 數(shù)據(jù)處理

通常使用誤報(bào)率、檢測率以及檢測時間對網(wǎng)絡(luò)入侵檢測方法的檢測性能進(jìn)行評價：

[誤報(bào)率=被誤報(bào)為入侵的正常樣本數(shù)量正常樣本總數(shù)×100%] （16）

[檢測率=檢測出入侵樣本數(shù)量入侵樣本總數(shù)×100%] （17）

為了消除少量樣本數(shù)據(jù)的特征對支持向量機(jī)性能的影響，需要對樣本數(shù)據(jù)做歸一化處理：

[x′i=xi-xxstd ，i=1，2，…，n] （18）

式中：[xstd]是樣本的特征標(biāo)準(zhǔn)差；[n]是用于訓(xùn)練的樣本數(shù)量[12]。

通過粒子群優(yōu)化算法尋優(yōu)后的混合核函數(shù)最小二乘支持向量機(jī)的RBF核函數(shù)參數(shù)[γ、]懲罰系數(shù)[c、]Polynomial核函數(shù)核階數(shù)[q]以及混合權(quán)重[a]這4個參數(shù)，如表1所示[13]。

對比結(jié)果表明，LSSVM算法能夠有效避免使用龐大訓(xùn)練樣本的BP神經(jīng)網(wǎng)絡(luò)容易陷入局部最小值以及收斂速度低等問題。因此，對于網(wǎng)絡(luò)入侵檢測這種高維數(shù)、訓(xùn)練樣本數(shù)量小以及線性不可分模型，使用本文研究的LSSVM算法能夠有效實(shí)現(xiàn)入侵檢測功能。

3 結(jié) 論

本文對網(wǎng)絡(luò)入侵檢測方法進(jìn)行了研究，首先對網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行了分析，并根據(jù)傳統(tǒng)網(wǎng)絡(luò)入侵檢測算法劣勢和缺陷，研究新型網(wǎng)絡(luò)入侵檢測方法，以混合核函數(shù)的粒子群優(yōu)化最小二乘支持向量機(jī)算法作為算法核心。為了驗(yàn)證所提出網(wǎng)絡(luò)入侵檢測方法的性能，在實(shí)驗(yàn)室工作站環(huán)境下使用著名的KDD CUP99數(shù)據(jù)庫中的部分?jǐn)?shù)據(jù)樣本對網(wǎng)絡(luò)入侵檢測模型進(jìn)行訓(xùn)練和測試。使用基于傳統(tǒng)的RBF核的LSSVM算法以及基于粒子群優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)算法與所提出的算法進(jìn)行對比，實(shí)驗(yàn)結(jié)果表明，本文提出的基于混合核函數(shù)的PSO?LSSVM算法具有更好的檢測性能，提高了網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測率，降低了誤報(bào)率。

參考文獻(xiàn)

[1] 肖國榮.改進(jìn)蟻群算法和支持向量機(jī)的網(wǎng)絡(luò)入侵檢測[J].計(jì)算機(jī)工程與應(yīng)用，2014（3）：75?78.

[2] 張拓，王建平.基于CQPSO?LSSVM的網(wǎng)絡(luò)入侵檢測模型[J].計(jì)算機(jī)工程與應(yīng)用，2015（2）：113?116.

[3] 劉明珍.基于CPSO?LSSVM的網(wǎng)絡(luò)入侵檢測[J].計(jì)算機(jī)工程，2013（11）：131?135.

[4] 劉智國，張雅明，林立忠.基于粒子群LSSVM的網(wǎng)絡(luò)入侵檢測[J].計(jì)算機(jī)仿真，2010（11）：136?139.

[5] 左申正.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)異常分析及響應(yīng)研究[D].北京：北京郵電大學(xué)，2010.

[6] 郭通.基于自適應(yīng)流抽樣測量的網(wǎng)絡(luò)異常檢測技術(shù)研究[D].鄭州：解放軍信息工程大學(xué)，2013.

[7] 王雪松，梁昔明.改進(jìn)蟻群算法優(yōu)化支持向量機(jī)的網(wǎng)絡(luò)入侵檢測[J].計(jì)算技術(shù)與自動化，2015（2）：95?99.

[8] 劉潔.基于支持向量機(jī)的網(wǎng)絡(luò)入侵檢測系統(tǒng)研究[D].長沙：中南大學(xué)，2008.

[9] 譚龍.基于聚類和支持向量機(jī)的網(wǎng)絡(luò)入侵檢測[D].秦皇島：燕山大學(xué)，2010.

[10] 胡天騏，單劍鋒，宋曉濤.基于改進(jìn)PSO?LSSVM的模擬電路診斷方法[J].計(jì)算機(jī)技術(shù)與發(fā)展，2015（6）：193?196.

[11] 孫衛(wèi)紅，童曉，李強(qiáng).改進(jìn)PSO優(yōu)化參數(shù)的LSSVM燃煤鍋爐NO_X排放預(yù)測[J].數(shù)據(jù)采集與處理，2015（1）：231?238.

[12] 鄭志成，徐衛(wèi)亞，徐飛，等.基于混合核函數(shù)PSO?LSSVM的邊坡變形預(yù)測[J].巖土力學(xué)，2012（5）：1421?1426.

[13] 陳健，陳雪剛，張家錄，等.杜鵑鳥搜索算法優(yōu)化最小二乘支持向量機(jī)的網(wǎng)絡(luò)入侵檢測模型[J].微電子學(xué)與計(jì)算機(jī)，2013（10）：29?32.

[14] 呂曼.基于數(shù)據(jù)挖掘的入侵檢測方法的研究[D].大慶：大慶石油學(xué)院，2007.

[15] 張躍軍.提高基于SVM的網(wǎng)絡(luò)入侵檢測性能的研究[D].濟(jì)南：山東大學(xué)，2006.