基于智能優化算法選擇特征的網絡入侵檢測

趙悅品++孫潔麗

摘 要： 為了改善網絡入侵檢測的效果，提出一種智能優化算法選擇特征的網絡入侵檢測模型。首先采用智能優化算法對網絡入侵特征進行選擇，得到對檢測結果有重要貢獻的特征，去除無效特征；然后采用支持向量機建立入侵檢測分類器，最后采用KDD99數據集對模型性能進行分析。結果表明，該模型提高了網絡入侵檢測的準確率，而且檢測速度可以滿足網絡安全實際應用的要求。

關鍵詞： 智能優化算法； 網絡入侵檢測； 支持向量機； 入侵行為； 特征選擇

中圖分類號： TN915.08?34； TP391 文獻標識碼： A 文章編號： 1004?373X（2016）23?0086?04

Network intrusion detection based on selection feature of

intelligent optimization algorithm

ZHAO Yuepin1， 2， SUN Jieli1

（1. Hebei University of Economics and Business， Shijiazhuang 050061， China； 2. Hebei Jiaotong Vocational and Technical College， Shijiazhuang 050091， China）

Abstract： In order to improve the effect of network intrusion detection， a network intrusion detection model based on selection feature of intelligent optimization algorithm is proposed. The intelligent optimization algorithm is used to select the network intrusion features to obtain the important contribution feature for the detection result， and remove the invalid features. The support vector machine is employed to establish the classifier of intrusion detection. The KDD99 dataset is adopted to analyze the model performance. The results show that the model can improve the accuracy of network intrusion detection， and its detection speed can meet the requirement of network security practical application.

Keywords： intelligent optimization algorithm； network intrusion detection； support vector machine； intrusion behavior； feature selection

0 引 言

隨著互聯網應用的日益廣泛，網絡的安全性、可靠性引起了人們的廣泛關注[1]。由于互聯網絡的開放性，人們網絡安全意識淡薄，網絡入侵十分頻繁，再加上網絡入侵手段的多樣化，因此如何提高網絡入侵的檢測率，保證網絡正常通信和數據傳輸安全成為網絡管理領域研究中的重大課題[2?3]。

許多研究人員對網絡安全問題中的入侵檢測技術進行了一系列探索，提出了大量的網絡入侵檢測模型[3]。當前網絡入侵檢測模型主要有兩類：傳統方法和現代方法。傳統網絡入侵檢測模型基于專家系統等實現[3?5]，它們屬于線性的網絡入侵檢測分析模型，對于小規模網絡有效，然而當前網絡向大規模、超大規模方向發展，網絡入侵行為日益復雜，入侵行為的類型與特征間呈現出十分復雜的變化關系，傳統模型無法準確描述網絡入侵行為變化的特點，網絡入侵檢測率急劇下降，而且入侵檢測結果也不可靠，沒有太大的實際應用價值[6]。現代網絡入侵檢測方法主要基于非線性理論建立網絡入侵檢測模型，主要有神經網絡、支持向量機等，相對于神經網絡，支持向量機可以更好地擬合入侵行為與特征間的聯系，在網絡入侵檢測應用中最為廣泛[7]。在網絡入侵檢測建模過程中，原始網絡狀態特征維數相當高，若直接輸入到支持向量機進行學習，那么支持向量機的輸入向量維數易出現“維數災”現象，同時，原始網絡特征中存在一些無用或者冗余特征，它們會對網絡入侵檢測的建模效率和檢測結果均帶來不利影響。為了解決網絡入侵檢測建模過程中特征優化和選擇問題，有學者提出了采用遺傳算法、粒子群優化算法等原始網絡特征進行搜索和求解，選擇一些對網絡入侵檢測結果有重要貢獻的特征作為支持向量機的輸入向量，在一定程度上降低了特征維數，加快了網絡入侵的建模速度，但這些算法自身存在一些不可克服的缺陷，如收斂速度慢、易獲得局部最優的網絡特征等[8?10]。

搜索者算法（Seeker Optimization Algorithm，SOA）是一種新型的智能優化算法，模擬人群搜索行為對問題進行求解，全局搜索性能好，搜索效率高，為了提高網絡入侵的檢測率，針對當前網絡特征優化和選擇的難題，提出一種基于SOA算法的網絡入侵檢測特征選擇策略，并采用支持向量機設計網絡入侵檢測模型，結果表明，本文模型能夠描述網絡工作狀態，提高網絡入侵檢測率，為網絡入侵檢測提供了一種新的研究工具。

4 結 語

為了獲得更優的網絡入侵檢測結果，針對當前網絡入侵檢測建模過程中的特征選擇難題，提出采用SOA選擇網絡狀態特征，利用支持向量機設計網絡入侵行為的分類器，KDD99數據集的測試結果表明，通過SOA對原始網絡狀態進行篩選，可以從中找到一些對網絡入侵檢測的重要特征，去除無用特征對網絡入侵檢測結果的干擾，網絡入侵檢測的效率高，可以實現網絡入侵的在線檢測，而且網絡入侵檢測率高，可以保證網絡的安全。

在網絡入侵檢測的建模過程中，支持向量機參數對檢測結果同樣有影響，因此下一步將考慮同時對參數和特征進行選擇，以獲取更佳的網絡入侵檢測效果。

參考文獻

[1] 馬傳香，李慶華，王卉.入侵檢測研究綜述[J].計算機工程，2005，31（3）：4?6.

[2] 余生晨，王樹，高曉燕，等.網絡入侵檢測系統中的最佳特征組合選擇方法[J].計算機工程，2008，34（1）：150?153.

[3] 楊輝華，王行愚，王勇，等.基于KPLS的網絡入侵特征抽取及檢測方法[J].控制與決策，2005，20（3）：251?256.

[4] 孫寧青.基于神經網絡和CFS特征選擇的網絡入侵檢測系統[J].計算機工程與科學，2010，32（6）：37?39.

[5] 牟琦，畢孝儒，庫向陽.基于GQPSO算法的網絡入侵特征選擇方法[J].計算機工程，2011，37（14）：103?105.

[6] 陳友，程學旗，李洋，等.基于特征選擇的輕量級入侵檢測系統[J].軟件學報，2007，18（7）：1639?1651.

[7] 張雪芹，顧春華.一種網絡入侵檢測特征提取方法[J].華南理工大學學報（自然科學版），2010，38（1）：81?85.

[8] 何敏.基于數據挖掘的網絡實時入侵檢測體系結構的研究[J].計算機與現代化，2011（9）：134?136.

[9] 小沛，汪厚祥，聶凱，等.面向入侵檢測的基于IMGA和MKSVM的特征選擇算法[J].計算機科學，2012，39（7）：96?100.

[10] 姜春茂，張國印，李志聰.基于遺傳算法優化SVM的嵌入式網絡系統異常入侵檢測[J].計算機應用與軟件，2011，28（2）：287?289.

[11] 倪霖，鄭洪英.基于免疫粒子群算法的特征選擇[J].計算機應用，2007，27（12）：2922?2924.

[12] 顏謙和，顏珍平.遺傳算法優化的神經網絡入侵檢測系統[J].計算機仿真，2011，28（4）：141?144.