大數據環境下入侵檢測中若干軟計算方法應用研究

宋海波

（黔南民族醫學高等專科學校 公共課教學部，貴州 都勻 558000）

大數據環境下入侵檢測中若干軟計算方法應用研究

宋海波

（黔南民族醫學高等專科學校 公共課教學部，貴州 都勻 558000）

軟計算由若干種軟計算方法構成，包括神經元網絡、支持向量機、模糊集合理論、近似推理及一些非導數優化方法，如基于熵的計算、遺傳算法、人工免疫和蟻群算法等等。現時期，單一軟計算方法用于異常檢測有其局限性。文章通過條件熵、遺傳算法和人工免疫這3種軟計算方法的結合來提高入侵檢測的檢測效率、降低漏報率和發現未知類型的攻擊。

入侵檢測；條件熵；遺傳算法

在信息安全領域中，入侵檢測[1]是一種監控和分析系統事件的安全服務，其目的在于發現未授權方式下試圖訪問系統資源的行為和提供實時或準實時報警，并可分為誤用檢測和異常檢測。

1 信息熵的概念

信息熵的概念是由信息論的創始人Shannon于1948年提出的 ，它是隨機變量不確定性的度量。

定義[2]2 條件熵的定義：給定兩個隨機變量X和Y，其取值分別為xi和yi，i和j都取正整數，則條件熵的定義式如下：

本文利用條件熵的具體過程是: 對于KDDCUP’99訓練集，分別計算前41維數據和第42維（決策屬性）的條件熵，然后根據條件值熵從小到大排序，條件熵值比較小的屬性依次刪除直到m維。這篇論文把具有42維的KDDCUP’99訓練集降到了9維，很大程度上降低了算法的空間復雜度和時間復雜度。

2 遺傳算法

2.1 遺傳算法的通用框架[3]

遺傳算法的通用框架如圖1所示。

2.2 遺傳算法的參數值

M：初始化隨機選擇種群數量500。T：遺傳算法的終止進化代數，本文取為：200。

Pc：交叉概率，本文取為0.9

Pm：變異概率，本文取為0.1。

我國汽車維修技師技能等級分為初級工、中級工、高級工、技師和高級技師五個級別，沒有汽車診斷師，可以看出“汽車診斷師大賽”是一場民間大賽，是為強調診斷的重要性而命名的大賽。這個大賽形式輕松活躍，意在為技術升級大造聲勢。比賽項目包括提交維修案例、理論考試、必答搶答、實操比賽、培訓說課等環節，這是針對當今汽車維修技師必須具備會干(動手修車)、會寫(撰寫案例)、會講(培訓授課)而設計的賽項。當今絕大部分汽車修理企業撤銷了工程技術人員崗位，取而代之的是各級技術經理(總監)。比賽特點，選手爭做“修車大工匠”。

式中xi為某個個體，w為正確檢測到的攻擊數目，W為總的攻擊數目，c為被誤判為攻擊的連接數，C為總的正常連接數，該適應度函數得出的適應度值在閉區間[﹣1，1]中，其中﹣1是最差的可能值，l是理想值。

圖1 遺傳算法的通用框架

2.3 具體設計

本文采用二進制與實數混合編碼，既避免了二進制編碼搜索空間小的缺陷，也排除了純實數編碼擴大了額外的種群空間。

基本算子的設計如下。

2.3.1 交叉算子

2.3.2 變異算子

2.3.3 適應度函數中檢測算子的設計

對于二進制編碼部分分別計算被檢測個體和選擇的最優個體的海明距離，通過實驗給出一個閾值N，對于實數編碼部分是分別計算被檢測個體和選擇的最優個體間的歐式距離，通過實驗給出一個閾值d，當同時滿足海明距離小于N和歐氏距離小于d時，就認為是一條正常記錄，否則就認為是一條異常記錄。

操作系統：Windows 7；CPU：Inter(R)Pentium(R) CPU G2030@3.00GHZ；內存：4.00GB；編譯環境：Java(TM) 8.0.131；數據庫：Microsoft Of fi ce Access。偽碼如下：

3 人工免疫相關知識

3.1 人工免疫系統的通用框架

人工免疫系統的通用框架如圖2所示[4]。

3.2 人工免疫算法中親和度的設計

在大數據環境下，為了提高檢測效率，本文將采用二進制編碼的人工免疫算法。

具體過程如下：Step1利用目標函數產生初始化抗體，Step2 親和力的計算，親和力的計算一般采用r-連續位法。r-連續位法是一種部分匹配規則，即對于兩個字符串x和y，如至少存在連續r位相同，則它們就是r-連續位匹配的。

圖2 人工免疫系統的通用框架

4 實驗結果

實驗結果如表1所示。

表1 實驗結果

5 結語

本文構建了一種基于條件熵和遺傳算法的人工免疫入侵檢測算法，在本文中遺傳算法仍然采用以前的二進制與實數的混合編碼，然后把最優種群用到二進制編碼的人工免疫算法中。實驗證明，在大數據環境下，這3種軟計算方法的結合對檢測率有了很大的提高，同時也保證了檢測的效率。

[1]蔣盛益.基于聚類的入侵檢測算法研究[M].北京：科學出版社，2008.

[2]托馬斯，喬.信息元素理論[M].北京：機械工業出版社，2005.

[3]周明，孫樹棟.遺傳算法原理及應用[M].北京：國防工業出版社，2005.

[4]楊孔雨.免疫進化理論與應用[M].北京：社會科學文獻出版社，2008.

Research on application of some soft computing approaches for intrusion detection in the big data environment

Song Haibo
（Public Teaching Department of Qiannan Medical College for Nationalities, Duyun 558000, China）

Soft computing consists of some kinds of soft computing approaches, including approaches of neural networks, support vector machine, fuzzy set theory, approximate reasoning and some non-derivative optimization methods, such as computing based on entropy, genetic algorithm, arti fi cial immune and ant colony algorithm and so on. At present period, a single soft computing approach for anomaly detection has its limitations. The main purpose of this paper is to improve detection ef fi ciency of intrusion detection and reduce false negatives and detect unknown types of attacks with combination of conditional entropy, genetic algorithm and arti fi cial immune three soft computing.

intrusion detection; conditional entropy; genetic algorithm

黔南州科技產權局科研基金資助項目；項目編號：黔南科發（2016）44號。

宋海波（1982— ），男，河北邯鄲，碩士，講師；研究方向：信息處理，信息安全與網絡計算。