改進遺傳算法優化神經網絡的入侵檢測研究

楊云峰，唐鳳仙

(河池學院 計算機與信息工程學院，廣西 宜州 546300)

改進遺傳算法優化神經網絡的入侵檢測研究

楊云峰，唐鳳仙

(河池學院 計算機與信息工程學院，廣西 宜州 546300)

針對大數據時期的互聯網安全日趨嚴重的形勢，構建一個利用粗糙集和改進新種群生成方式的遺傳算法優化BP網絡的網絡攻擊檢測模型，通過粗糙集進行除噪降維，改進的遺傳算法的新種群生成方式是通過選擇部分最優父代個體進行交叉變異后替換父代最差個體產生新種群，BP網絡獲得改進新種群生成方式的遺傳算法提供更佳初始參數，BP網絡的檢測速率慢及局部最小的問題獲得更好解決。本模型經過仿真測試證明其增長檢測正確率，減少檢測時間。

粗糙集；改進遺傳算法；BP神經網絡；全局最優

0 引言

隨著網絡進入各行各業，網絡安全形勢日趨嚴重，早期的安全措施防火墻已不能較好的滿足現在的網絡安全需求，怎樣查找利用網絡進行的攻擊行為已經成為當代防范網絡入侵的首要目標。網絡入侵檢測系統通常設置于安全網絡與不安全網絡之間，其通過獲取并分析流經的用戶數據信息或日志，從中發現異常行為并調用安全模塊進行有效的防御。網絡入侵檢測具有檢測效率高，使用靈活，不占用正常的服務資源的優點，它已經成為防火墻之后另一有效的安全措施。

進入21世紀，在新科技革命帶動下入侵檢測技術得到了長足發展，但這些技術在檢測速率和正確率方面仍存在不足。文獻[1-3]中構建了一個粗糙集(RS，Rough Set)加反向傳播算法(BP，Back-Propagation Algorithm)的網絡安全檢測結構，在該結構中粗糙集對入侵信息進行預處理，提高了在大數據網絡中發現攻擊行為的效率，但是文獻中存在的局部最小值和優化時間長的問題沒有得到處理，導致模型的檢測率較低。而文獻[4-6]提出通過優化來解決BP網絡進行數據分析時的不足，但是由于不對冗余屬性進行有效的歸約，在對網絡攻擊的大數據進行分析時會降低檢測的速率甚至降低檢測的正確性。文獻[7-9]提出基于粒子算法和K最近鄰(KNN，K-Nearest Neighbor)算法優化的入侵檢測系統，適用于處理樣本中存在交叉或重疊的數據集，但是如果相異樣本數量有較大差別時較難實現準確的分類，而KNN的分類錯誤也多出現樣本數量較小時。而在文獻[10-12]展示了利用支持向量機(SVM，Support Vector Machines)建立的網絡安全檢測結構，由于SVM的數目與SVM計算的復雜程度成正比，支持向量機幾乎不存在由于維度而造成計算機量過大的問題，但是SVM在矩陣存儲和計算過程中如果樣本較大時占用資源增多會造成檢測效率降低。

局部最小、收斂速度慢及檢測數據的高維度、高冗余的問題都存在于以上入侵檢測算法中。結合粗糙集及遺傳算法的優點，建立利用粗糙集對數據進行維歸約，利用改進新種群生成方式的遺傳算法(GA，Genetic Algorithm；)全局優化BP神經網絡，最后使用BP網絡分析數據并從中發現網絡攻擊的安全系統。該模型擬解決網絡攻擊中信息維度冗余和BP網絡局域最小的問題，最后本模型與獲得經典遺傳算法提供初始權值、閾值的BP網絡共同分析網絡攻擊數據并進行對比。

1 BP神經網絡模型

BP網絡為一種基于多層后向學習的神經網絡算法，其基本原理為基于最優化理論的最速下降法，BP神經網絡通過重復尋找，直到算法在某一區域中找到最小誤差函數值及其位置。BP網絡算法目的是其在訓練過程中利用輸出可能誤差和反向傳播多次調整獲取最優權值、閾值，最終得出最佳的推導結果。BP神經網絡具有結構簡單適應多種訓練算法及便于實現的特點，長期以來BP網絡算法不僅在入侵檢測還在圖像處理等方面獲得應用。圖1為具有一個隱含層的三層BP網絡結構，該結構中的x和y分別為輸入及輸出，各層之間的值分別為調整誤差的權值和閾值。一個包含N個樣本的數據集，其誤差函數L如公式(1)。

圖1 三層BP神經網絡結構

(1)

圖2 改進新種群生成方式的RS-GA-BP網絡結構

tn為類別向量，yn為BP網絡輸入為xn時所得到的輸出值。BP采用重復學習法可以尋找到最優權值和閾值，但是在歸一化在[0，1]之間的BP網絡在初始訓練時，訓練函數會在0和1之間生成隨機值并成為BP網絡首次訓練的權值、閾值，首次運算隨機值的使用會造成BP網絡的不穩定，運行結果差異較大，而且也存在著收斂速度慢及收斂不能保證其在全局最小值的問題。

2 改進遺傳算法的入侵檢測模型

2.1 改進RS-GA-BP算法流程圖

圖2為利用粗糙集和改進新種群生成方式的GA算法優化BP網絡的入侵檢測結構。

本模型算法結構如下：

(1)對數據進行歸一化和屬性歸約操作的預處理。

(2)利用預處理得到的數據訓練BP網絡的初始運算值并訓練誤差。

(3)GA利用BP網絡訓練誤差計算適應度，并利用適應度的大小選擇最優個體。

(4)利用GA算法中改進的新種群生成算法經過多次迭代訓練并選擇出最優新種群。

(5)BP網絡利用GA算法產生的最優種群訓練出最佳權值、閾值作為首次運算值多次進行反向傳播學習，最終得出最佳的仿真測試結果。

2.2 數據初始化預處理

2.2.1 數據歸一化

由于網絡入侵數據都具有數據量大和屬性多的特點，而且同一屬性數值大小常有107甚至更大的差異，測試時如果直接將這些數據直接進行分析訓練，會造成數據屬性特點不明確、收斂不正常的問題，甚至不能得到正確的訓練結果。而經過數據歸一化操作，可以把各屬性特征值大小控制在一個固定的區域內，便于數據的進一步分析處理，也加快了分析程序的收斂速度。數據歸一化后的數值范圍可以有[-1，+1][13]和[0，1][14]兩種選擇。本文采用文獻[14]中的方法對本實驗數據歸一化到區間[0，1]，歸一化方法如公式(2)。

(2)

maxa和mina分別為屬性a中的最大及最小數值，vi′為屬性vi歸一的特征值。

2.2.2 粗糙集的屬性約簡

網絡入侵檢測系統采集的數據常具有數據量大、屬性不簡約的特點，所以在進行數據分析前需要對數據進行維歸約。改進RS-GA-BP模型中采用粗糙集進行維歸約，粗糙集常用于識別不能進行準確判斷的信息[15]。其可直接進行數據歸約的處理簡化，簡化后的數據將變小，但是能夠得到幾乎一樣的甚至更好的分析結果。在神經網絡對利用粗糙集歸約處理的網絡入侵數據再進行分析時，可以加快神經網絡收斂速度，提高數據分析速率和正確率。粗糙集的屬性約簡是利用樣本中正域(pos)的變化來判斷的，正域是樣本中能夠準確描述其屬性的信息集合。

對于一個訓練樣本的有限屬性集A和決策屬性I，如果歸約某一屬性j其pos出現變化，如公式(3)則說明屬性j在A中是必需的，即屬性是不能歸約；但是如果同等條件下正域pos未發生變化，如公式(4)說明屬性不屬于該樣本的核屬性，即該屬性可以歸約。

pos(A-j)(I)≠posA(I)

(3)

posA-j(I)=posA(I)

(4)

2.3 改進的遺傳算法

遺傳算法GA是一種進化算法，其原理為模仿生物在進化的過程中“優勝劣汰”生存規律。GA算法在運算時對于初始條件沒有嚴格要求；其對數據進行編碼并使用適應度函數進行評價，通過多次選擇、交叉及變異的迭代方式來交換染色體的信息最終選擇產生最優的新種群。遺傳算法沒有傳統進化算法只可處理單個體的缺點，卻有傳統進化算法中所不具備的全局最優的優點。BP網絡利用改進新種群生成方式的GA算法提供的初始值能夠較好的解決BP網絡局域最小問題。

2.3.1 改進的選擇算法

在GA算法中通過利用適應度來判斷個體的好壞。本文選擇轉輪選擇法[16]，即個體適應度越小其被選擇的概率越大，被選擇的概率pk越大那么它的基因就會在種群中擴大，反之，其將可能被淘汰。適應度與測試結果的誤差相關聯，本文BP網絡采用測試最后結果的絕對值來判斷個體適應度的大小。個體適應度函數和選擇函數分別如公式(5)(6)。

(5)

(6)

公式(5)中m為BP神經網絡的輸出節點數；yt為BP神經網絡第個節點的期望結果；ot為第t個節點的可能結果；公式(6)中Fk為種群個體k的適應度，M為本種群中所有個體的總數。在本文改進的算法中利用適應度選擇個體時并不選擇所有個體，而是根據適應度大小只選擇部分最優父代個體(為可進行交叉操作，選擇數量必須為偶數)。在本文實驗中通過測試得出選擇比例為0.95的父代個體進行下一步操作效果最佳。

2.3.2 交叉運算

交叉算法是為了讓子代產生一個同時具備父代兩個交叉個體的特征新個體，如果新個體在交叉時獲得父代最優特征，生成的新個體將優于交叉之前的個體，通過交叉將有助于新種群進化。交叉方式有單點、兩點和多點等方式，本文使用單點交叉算法，其原理是隨機選擇兩個體作為交叉對象，其次任意生成交叉點，第三是兩個體在交叉點交換部分基因，因此生成不同于交叉之前的兩個體。交叉操作通常采用與個體編碼方式相同的算法，兩染色體R和R′在k位的交叉操作結果等于未交叉值加上對方的交叉值，交叉運算如公式(7)。

(7)

其中、分別為兩染色體R和R′在k位的交叉運算值；隨機數S∈[0，1]，本實驗S=0.7。

2.3.3 變異運算

變異運算原理是通過基因突變產生一個新個體，如果產生的是一劣勢個體，那么該個體經過選擇運算后將會被淘汰。但如果生產的是一更優個體，其經過選擇運算后會產生更多子代個體，從而該個體在種群中將占主導地址。為了避免過早收斂，通常采用的方法是基本位變異或均勻變異等多種方式。本文采用基本位的變異，即是對由二進制基因組成的個體種群采用基因的小概率翻轉，即為0與1互變。本文的隨機選擇的變異位置大于0.5，基因R的變異選擇如公式(8)。

R=R+(R-R′)×r(1-g/g1)2

(8)

公式(8)中，R′為基因的上界；為了防止遺傳算法的退化，通常采用小概率的變異，變異概率∈[0.001，0.1]，本文中=0.01；g為當前迭代次數，g∈[1，200]；g1為最大迭代次數，本文中g1=50。

2.4 改進的新種群重插入生成算法

雖然經典遺傳算法通過優化BP網絡初始值來解決了其局域最優的缺點，但是仍存在改進效果不佳的問題。針對經典遺傳算法的不足，提出一種改良的遺傳算法，該算法的改良是針對流程中新種群生成過程的改進，改良后的新種群算法如圖2。改進新種群生成算法描述流程如下。

步驟1對最初的種群、目標函數和適應度進行運算并產生父代。

步驟2采用只對父代個體中比例為0.95最優個體實施交叉、變異。

步驟3在新算法中步驟2得到的數據并不直接形成新的種群，而是利用重插入函數把經過交叉變異產生的新種群個體在保留步驟1父代種群中最佳個體前提下替換原父代中適應度最差的個體，從而形成當前最優新種群。

步驟4進行多次循環選擇最終得出最優新種群。

在改進的新種群生成算法中，通過替換父代適應度最差個體的方式來進行優化。在改進的新種群生成的算法中通過迭代每次都能夠產生優于原父代的種群，算法迭代結束后即可相比未使用改進新種群生成方式的經典遺傳算法生成更優種群，從而訓練出更佳權值、閾值并成為BP網絡首次仿真測試的參數。BP神經網絡使用該初始參數進行反向傳播學習調整，更好的解決了BP神經網絡優化速度慢和局域最優的的問題，提高了數據分析效率。

3 仿真實驗及分析

3.1 實驗數據集

本文實驗采用KDD99數據集模擬網絡攻擊數據，KDD99中的任一連接都有41個參數特征及1個連接標記，KDD99按照入侵的種類可分為4大類共39類網絡攻擊方式，4大類的網絡攻擊方式分別為DOS、R2L、U2R和PROBING。在測試中從10%的數據中任意采集訓練信息12 046條，測試信息4 241條。訓練子集共有22種攻擊類型；為了評估改進遺傳算法的網絡安全系統的泛化能力，測試集中的入侵方式比訓練集多17種。

3.2 數據預處理

利用公式(2)(3)(4)對訓練數據集和測試數據集進行歸一化和進行粗糙集的維歸約，預處理后發現第20維特征信息num_outbound_cmds(一個FTP會話中出站連接的次數)被歸約，分析原因因要為數據集中這一特征出現次數為0。

3.3 實驗結果

3.3.1 算法的訓練

由于參數原因遺傳算法與BP算法需要多次進行測試，經過多次測試后得出最優參數為：遺傳算法交叉概率為0.7，變異概率為0.01；BP神經網絡訓練目標為0.01，學習速率為0.1。根據KDD99具有的41個連接特征，4大攻擊類型細劃分的39類的特點。通過測試由圖3遺傳迭代數及誤差關系圖知當隱含層有32個節點時經過37次迭代得到的誤差值最小。

圖3 遺傳迭代數及誤差關系圖

3.3.2 實驗現象

在本次實驗中使用的硬件為InterI52.5GHZ，4GB內存和1TB硬盤的計算機，實驗在Win7平臺上使用Matlab2014a編程實現。為了檢測改進后的系統的功能，本文采用檢測率、誤差率(報錯的概率)及時間作為檢測參數判斷系統的性能高低，利用本文算法與經典SVM、BP網絡及基于傳統的GA模型進行對比。

經過多次模擬測試，由圖4可知獲得改進遺傳算法提供初始值的BP網絡(改進+BP)平均測試時間為0.82s少于獲得傳統遺傳算法提供初始值的BP網絡(傳統+BP)的平均測試時間0.9s。

圖4 兩種技術優化的BP檢測時間

經過實驗模擬測試不同類型入侵檢測結果對比如表1。

表1 入侵檢測結果對比

從圖4和表1可知本文模型即改進新種群生成算法的RS+GA+BP模型由于新種群的迭代生成造成檢測時間與經典未改進新種群算法的RS+GA+BP模型相比略有不足，但是獲得改進GA算法提供初始值的BP網絡平均檢測時間仍少于由傳統GA算法提供初始值的BP網絡的平均檢測時間，而且由于本文算法中的粗糙集對數據進行的屬性歸約精簡了檢測數據，所以本文模型的平均檢測時間仍優于傳統BP神經網絡算法和GA+BP模型，而且該模型對攻擊數據進行分析的檢驗率及誤差率均好于其他模型。

4 結論

通過分析了基于經典遺傳算法改善BP網絡的入侵檢測技術，針對BP網絡收斂速度慢、正確率不高及分析的具有數據高維高冗余問題，構建利用重插入算法得到新種群的RS+GA+BP入侵檢測模型。通過測試分析幾種經典入侵檢測模型性能并相互對比，文中所使用的改進新種群生成方式的RS+GA+BP入侵檢測模型不僅減少了BP網絡的數據輸入維，提高分析效率，而且由于改進新種群算法的GA算法能為BP網絡提供更佳首次運算值，從而入侵檢測模型能夠提高了分析數據的正確率和泛化能力，降低了誤報機率及BP網絡的分析檢測時間，互聯網的安全得到更好的保障。

[1]蔡曉麗.基于粗糙集理論和BP神經網絡入侵檢測模型[J].計算機仿真，2011，28(11)：107-110.

[2]張東波，黃輝先，王耀南.基于粗糙集約簡的特征選擇神經網絡集成技術[J].控制與決策，2010，25(3)：371-377.

[3]史志才.基于粗糙集的入侵檢測方法研究[J].計算機工程與科學，2012，34(2)：13-18.

[4]楊雅輝，黃海珍，沈晴霓，等.基于增量式GHSOM神經網絡模型的入侵檢測研究[J].計算機學報，2014(5)：1216-1224.

[5]WU Wen-Tie,LI Min,B Liu.Intrusion Detection Scheme based on IPSO-RBF[J]. Journal of Networks，2013,8(10)：2269-2276.

[6]Zou, Li Kun. Intrusion detection model based on improved genetic algorithm neural network in computer integrated process system[J].Applied Mechanics and Materials，2013,380(4)：2708-2711.

[7]AA Aburomman，MBI Reaz.A novel SVM-kNN-PSO ensemble method for intrusion detection system[J]. Applied Soft Computing, 2015(38):360-372.

[8]馮瑩瑩，余世干，劉輝.KNN-IPSO選擇特征的網絡入侵檢測[J].計算機工程與應用，2014，50(17)：95-99.

[9]李歡，焦建民.簡化的粒子群優化快速KNN分類算法[J].計算機工程與應用，2008，44(32)：57-59.

[10]饒鮮，董春曦，楊紹全.基于支持向量機的入侵檢測系統[J].軟件學報，2003，14(4)：798-803.

[11]郭成芳.支持向量機在網絡異常入侵檢測中的應用研究[J].計算機仿真，2011，28(7)：135-137.

[12]MS Pozi，MN Sulaiman，N Mustapha，T Perumal.Improving Anomalous Rare Attack Detection Rate for Intrusion Detection System Using Support Vector Machine and Genetic Programming[J].Neural Processing Letters,2015,44(2):1-12.

[13]姚明海.改進的遺傳算法在優化BP網絡權值中的應用[J].計算機工程與應用，2013，49(24)：49-54.

[14]Wlee,Sl stolfo,KW MOK.A data mining framework for building intrusion detection models[J].In IEEE Symposium on security and Privacy,1999(1):120-132.

[15]Pawlak,Zdzislaw.Rough set theory and its applications to data analysis[J].Cybernetics & Systems,2010,29(29):661-688.

[16]周明，孫樹棟.遺傳算法原理及應用[M].北京：國防工業出版社，1999.

[責任編輯 韋楊波]

Research on Intrusion Detection of Optimized Neural Network Based on Improved Genetic Algorithm

YANG Yunfeng, TANG Fengxian

(School of Computer and Information Engineering， Hechi University, Yizhou, Guangxi 546300,China)

Based on the situation that internet security is becoming increasingly serious and important in the age of big data, a network attack detection model has been built which optimizes the BP network by using the rough set and improved genetic algorithm of new population generation mode. The new population generation mode produced by the improved genetic algorism is the mode through whicha new population is generated by selection of the optimal parent individuals undertaking crossover mutation to replace the worst parent individuals. The improved genetic algorism of new population generation mode provides better initial parameters to BP network and supplies a better solution to the slow detection rate and local minimization problem of BP network. Simulation tests of this model have proved the improvement of detection accuracy and reduction of detection time.

Rough Set；Improved Genetic Algorithm；BP Neural Network；Global Optimization

TP37

A

1672-9021(2017)02-0077-07

楊云峰(1975-)，男，廣西宜州人，河池學院計算機與信息工程學院高級實驗師，主要研究方向：網絡安全。

2016年廣西高校中青年教師基礎能力提升項目(KY2016YB380)；河池學院智能計算與模式識別重點實驗室科研項目。

2017-01-15