基于改進(jìn)遺傳算法的網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)選取

熊云龍

摘 要： 針對目標(biāo)網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)存在大量高維和冗余特征，而現(xiàn)有入侵檢測方法僅定性選取特征，導(dǎo)致入侵檢測率低、誤報率高、實(shí)時性差的問題，提出基于改進(jìn)遺傳算法的網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)選取方法。采用半監(jiān)督學(xué)習(xí)算法對歸一化處理后的數(shù)據(jù)進(jìn)行自動標(biāo)記以獲取更大規(guī)模的網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)，將其作為入侵檢測模型的訓(xùn)練數(shù)據(jù)集；采用重采樣算法從訓(xùn)練數(shù)據(jù)集中隨機(jī)選取一個訓(xùn)練數(shù)據(jù)子集，計(jì)算訓(xùn)練數(shù)據(jù)子集中疑似入侵?jǐn)?shù)據(jù)特征的信息增益率，選取信息增益率最大的特征構(gòu)造有效疑似入侵?jǐn)?shù)據(jù)特征集；采用偏F檢驗(yàn)對特征進(jìn)一步選取，構(gòu)建待優(yōu)化疑似入侵?jǐn)?shù)據(jù)特征集，利用改進(jìn)的遺傳算法對待優(yōu)化特征集進(jìn)行優(yōu)化選擇，選取出最能反應(yīng)入侵狀態(tài)的數(shù)據(jù)集。實(shí)驗(yàn)結(jié)果表明，所提方法在確保入侵檢測率、誤報率盡可能低的前提下，有效提高了檢測效率。

關(guān)鍵詞： 遺傳算法； 網(wǎng)絡(luò)疑似入侵； 重采樣； 入侵檢測； 數(shù)據(jù)集； 優(yōu)化選擇

中圖分類號： TN915?34； TP393.08 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2018）22?0163?03

Abstract： The suspected intrusion data of the target network has a large quantity of high?dimensional and redundant features， and the current intrusion detection method can only select features qualitatively， resulting in problems of low intrusion detection rate， high false alarm rate， and poor real?time performance. Therefore， an optimal data selection method based on the improved genetic algorithm is proposed for suspected network intrusion. The semi?supervised learning algorithm is used to automatically mark the normalized processing data， so as to obtain a large scale of suspected network intrusion data， which is taken as the training data set of the intrusion detection model. The re?sampling algorithm is adopted to randomly select a training data subset from the training data set. The information gain rates of suspected intrusion data features in the training data subset are calculated. The features with the highest information gain rates are selected to construct the suspected valid intrusion data feature set. The partial F?detection is adopted to further select features， so as to construct the to?be optimized feature set of suspected intrusion data. The improved genetic algorithm is used to optimize the selection of the to?be optimized feature set， so as to select out the data set that can best reflect the intrusion state. The experimental results show that the proposed method can effectively improve the detection efficiency on the premise of ensuring the intrusion detection rate and false alarm rate as low as possible.

Keywords： genetic algorithm； suspected network intrusion； re?sampling； intrusion detection； data set； optimization selection

隨著計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)及應(yīng)用的飛速發(fā)展和日益普及，其安全問題也逐漸顯現(xiàn)出來[1?2]。如何采用有效方式防御目標(biāo)網(wǎng)絡(luò)免受入侵，成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域亟待解決的主要問題[3]。入侵檢測系統(tǒng)作為監(jiān)測網(wǎng)絡(luò)事件的一種系統(tǒng)，通過對疑似入侵?jǐn)?shù)據(jù)的分析來發(fā)現(xiàn)攻擊行為，這些數(shù)據(jù)多數(shù)來自于系統(tǒng)和應(yīng)用程序，通常含有大量高維和冗余數(shù)據(jù)，若不對這些數(shù)據(jù)進(jìn)行有效處理，將會對入侵檢測效果產(chǎn)生影響[4]。在這種情況下，如何有效地從網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)中獲取最有可能的攻擊數(shù)據(jù)，是對目標(biāo)網(wǎng)絡(luò)進(jìn)行安全評估的重要措施，對于提高網(wǎng)絡(luò)入侵檢測性能具有重要意義[5?6]。

目前，很多學(xué)者通過采用不同的特征選取方法對網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)進(jìn)行選取，例如文獻(xiàn)[7]提出一種基于互信息的網(wǎng)絡(luò)疑似入侵特征選取方法。在對目標(biāo)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)處理過程中，結(jié)合互信息理論選取出網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)最優(yōu)特征，結(jié)合支持向量機(jī)算法對最優(yōu)數(shù)據(jù)特征進(jìn)行分類完成檢測。文獻(xiàn)[8]提出基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)疑似入侵特征選取方法，利用層次分析法調(diào)整影響網(wǎng)絡(luò)疑似入侵特征選取的參數(shù)權(quán)重并構(gòu)建模糊判斷矩陣，通過該矩陣調(diào)整參數(shù)概率來優(yōu)化蛙跳算法。當(dāng)前方法對網(wǎng)絡(luò)疑似入侵攻擊的檢測具有較好的檢測性能，但均沒有考慮到未被選取的疑似入侵特征中含有的分類信息，導(dǎo)致入侵檢測過程耗時長，且存在較高的誤報率。

針對上述問題，提出基于改進(jìn)遺傳算法的網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)選取方法。仿真實(shí)驗(yàn)結(jié)果表明，所提算法在保證入侵檢測精度的前提下，降低了網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)特征維度，提高了檢測效率。

1 基于改進(jìn)遺傳算法的疑似入侵最優(yōu)數(shù)據(jù)選取

采用min?max標(biāo)準(zhǔn)化法對目標(biāo)網(wǎng)絡(luò)數(shù)據(jù)集進(jìn)行歸一化處理，對歸一化處理后的數(shù)據(jù)使用半監(jiān)督學(xué)習(xí)算法進(jìn)行自動標(biāo)記以獲取更大規(guī)模的網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)，并將其作為入侵檢測模型的訓(xùn)練數(shù)據(jù)集；采用重采樣算法從訓(xùn)練數(shù)據(jù)集中隨機(jī)選取一個訓(xùn)練數(shù)據(jù)子集，計(jì)算訓(xùn)練數(shù)據(jù)子集中疑似入侵?jǐn)?shù)據(jù)特征的信息增益率，選取信息增益率最大的疑似入侵?jǐn)?shù)據(jù)特征，構(gòu)造有效疑似入侵?jǐn)?shù)據(jù)特征集[9?10]。

采用偏F檢驗(yàn)對構(gòu)建的有效疑似入侵?jǐn)?shù)據(jù)特征集進(jìn)一步選取，構(gòu)建待優(yōu)化疑似入侵?jǐn)?shù)據(jù)特征集，利用改進(jìn)的遺傳算法對待優(yōu)化特征集進(jìn)行優(yōu)化選擇，選取出最能反應(yīng)入侵狀態(tài)的數(shù)據(jù)集，具體過程如下。

式中：[β]表示模型中復(fù)相關(guān)系數(shù)。其中有[m′]個自變量的入侵檢測模型中復(fù)相關(guān)系數(shù)的平方和為[R2]，去除自變量[xi]后模型中的復(fù)相關(guān)系數(shù)的平方和為[R2i]。[ΔR2i=R2-R2i]，假設(shè)[ΔR2i]的值越趨近于零，則說明變量[xi]對變量[y]沒有顯著影響；假設(shè)[ΔR2i]的值較大，說明變量[xi]對變量[y]的影響越大。

上述過程等同于檢驗(yàn)假設(shè)，[H0：ΔR2i=0]，[H1：ΔR2i≠0]。可將這種檢驗(yàn)方式稱之為偏F檢驗(yàn)，作為網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)特征變量篩選的依據(jù)。通過偏F檢驗(yàn)的疑似入侵?jǐn)?shù)據(jù)特征集稱作待優(yōu)化疑似入侵?jǐn)?shù)據(jù)特征集，表示為[L′]。

采用改進(jìn)的遺傳算法對網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)特征進(jìn)行尋優(yōu)，設(shè)定[p（x）]表示種群中個體[x]的全部基因相應(yīng)的疑似入侵?jǐn)?shù)據(jù)特征中，含有攻擊信息量大于給定閾值N的特征概率，即個體變異概率。用[t]表示當(dāng)前階段種群迭代次數(shù)，[T]表示進(jìn)化總代數(shù)，[p（x）logtT]表示種群適應(yīng)度函數(shù)。在種群迭代過程中，統(tǒng)計(jì)各個節(jié)點(diǎn)的交換概率，當(dāng)該值小于給定閾值[N]時，說明網(wǎng)絡(luò)疑似入侵特征為最重要特征的幾率較小，以交叉概率[P（xj）=ci?xj?placeci?length]在染色體之間進(jìn)行基因交叉操作。其中，[ci?xj?place]用于描述與基因[xj]具有相同編號的基因在染色體中的排列位置，[ci?length]表示染色體長度。

式中：[xj]用于描述染色體基因；[m″]表示染色體執(zhí)行變異操作后的長度；[H（xj）]表示個體含有的信息量。

假設(shè)，[p（c）]表示全部個體中高[n]位中出現(xiàn)相同模式的個體閾值概率，[T]表示最大迭代次數(shù)。當(dāng)滿足以上兩個條件中的其中一個時算法截止。從中選取高[n]位模式相同的染色體，將含有“1”的數(shù)量較少的個體作為最優(yōu)解，則該染色體中編碼為“1”的節(jié)點(diǎn)相應(yīng)的網(wǎng)絡(luò)疑似入侵特征即為被選取的最優(yōu)數(shù)據(jù)特征，用由[K2]表示，這些特征構(gòu)造最能反應(yīng)可選取得到入侵狀態(tài)的數(shù)據(jù)集，表示為[L″]：

2 實(shí)驗(yàn)結(jié)果與分析

為了驗(yàn)證基于改進(jìn)遺傳算法的網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)選取方法的綜合有效性，需要進(jìn)行一次仿真實(shí)驗(yàn)。實(shí)驗(yàn)環(huán)境配置為：CPU為Intel Core i7 2.50 GHz；內(nèi)存為8 GB；操作系統(tǒng)為Windows 7 32位，采用Matlab仿真軟件搭建網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)實(shí)驗(yàn)平臺，實(shí)驗(yàn)數(shù)據(jù)來源于KDD99數(shù)據(jù)集，該數(shù)據(jù)集包含多條攻擊連接記錄。為了驗(yàn)證所提方法選取的網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)對未知攻擊類型的有效性，設(shè)定的訓(xùn)練數(shù)據(jù)集中僅含有5種攻擊類型，測試數(shù)據(jù)集中含有4種攻擊類型（DOS，U2R，R2L，Proce）。

式中：[DR]用于描述檢測率；[DC]表示檢測出的疑似入侵?jǐn)?shù)據(jù)的數(shù)量；[AC]表示真實(shí)入侵?jǐn)?shù)據(jù)的數(shù)量；[FPR]表示誤報率；[MIC]表示正常網(wǎng)絡(luò)數(shù)據(jù)被誤報為入侵?jǐn)?shù)據(jù)的數(shù)量；[NIC]表示正常網(wǎng)絡(luò)數(shù)據(jù)的數(shù)量。實(shí)驗(yàn)結(jié)果如表1所示。

分析表1可知，所提方法通過進(jìn)行網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)選取，有效降低了數(shù)據(jù)維度。相比原始數(shù)據(jù)全集，檢測率提高了7.7%，誤報率降低了2%，驗(yàn)證了所提方法的有效性。

為了驗(yàn)證所提方法的優(yōu)越性，將所提方法與基于互信息的網(wǎng)絡(luò)入侵特征選取方法以及基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法進(jìn)行入侵檢測實(shí)驗(yàn)。將得到的檢測率和誤報率進(jìn)行對比，對比結(jié)果如表2所示。為了簡化描述，將所提方法、基于互信息的網(wǎng)絡(luò)入侵特征選取方法以及基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法描述為A，M，U。

分析表2結(jié)果可知，基于互信息的網(wǎng)絡(luò)入侵特征選取方法的檢測率要高于基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法，主要原因在于基于互信息的網(wǎng)絡(luò)入侵特征選取方法對目標(biāo)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行了預(yù)處理操作，去除了冗余數(shù)據(jù)和干擾數(shù)據(jù)。所提方法的檢測率要更優(yōu)于基于互信息的網(wǎng)絡(luò)入侵特征選取方法，主要原因在于所提方法利用改進(jìn)的遺傳算法找到了最能反應(yīng)入侵狀態(tài)的數(shù)據(jù)集。實(shí)驗(yàn)結(jié)果表明，所提方法是有效的，且優(yōu)于現(xiàn)行的其他方法。

對所提方法、基于互信息的網(wǎng)絡(luò)入侵特征選取方法，以及基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法進(jìn)行入侵檢測實(shí)驗(yàn)，得到的檢測時間結(jié)果如圖1所示。為了簡化描述，將所提方法、基于互信息的網(wǎng)絡(luò)入侵特征選取方法以及基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法分別描述為A，M，U。

分析圖1可知，隨著檢測數(shù)據(jù)量的不斷增加，不同方法相應(yīng)的檢測時間均呈現(xiàn)出逐漸上升的趨勢，但基于互信息的網(wǎng)絡(luò)入侵特征選取方法相應(yīng)的檢測時間與所提方法相比多了1倍，基于自適應(yīng)蛙跳算法的網(wǎng)絡(luò)入侵特征選取方法比所提方法的檢測時間多了近2倍。這對目標(biāo)網(wǎng)絡(luò)入侵檢測實(shí)時性具有重要意義。

3 結(jié) 論

針對當(dāng)前網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)選取方法存在的誤報率高、檢測耗時長等問題，提出基于改進(jìn)遺傳算法的網(wǎng)絡(luò)疑似入侵最優(yōu)數(shù)據(jù)方法，有效提高了網(wǎng)絡(luò)疑似入侵?jǐn)?shù)據(jù)檢測效率，保證了網(wǎng)絡(luò)入侵檢測模型的檢測精度，同時降低了檢測誤報率。

參考文獻(xiàn)

[1] 顧艷林.大數(shù)據(jù)驅(qū)動下網(wǎng)絡(luò)入侵信號提取檢測仿真[J].計(jì)算機(jī)仿真，2017，34（9）：370?373.

GU Yanlin. Simulation of network intrusion signal extraction and detection based on big data drive [J]. Computer simulation， 2017， 34（9）： 370?373.

[2] 吳麗云，李生林，甘旭升，等.基于PLS特征提取的網(wǎng)絡(luò)異常入侵檢測CVM模型[J].控制與決策，2017，32（4）：755?758.

WU Liyun， LI Shenglin， GAN Xusheng， et al. Network anomaly intrusion detection CVM model based on PLS feature extraction [J]. Control and decision， 2017， 32（4）： 755?758.

[3] 安尼瓦爾·加馬力，亞森·艾則孜，木尼拉·塔里甫.基于連接數(shù)據(jù)分析和OSELM分類器的網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].計(jì)算機(jī)應(yīng)用研究，2017，34（12）：3749?3752.

Anwar Jamal， Yasen Aizezi， Munila Talifu. Network intrusion detection system based on connection data analysis and OSELM classifier [J]. Application research of computers， 2017， 34（12）： 3749?3752.

[4] 韓紅光，周改云.基于Markov鏈狀態(tài)轉(zhuǎn)移概率矩陣的網(wǎng)絡(luò)入侵檢測[J].控制工程，2017，24（3）：698?704.

HAN Hongguang， ZHOU Gaiyun. A network intrusion detection method based on fusion of Markov chain state transfer probability matrix [J]. Control engineering of China， 2017， 24（3）： 698?704.

[5] 莊夏.基于互信息特征選擇和LSSVM的網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].中國測試，2017，43（11）：134?139.

ZHUANG Xia. Network intrusion detection system based on mutual information feature selection and LSSVM [J]. China measurement & testing technology， 2017， 43（11）： 134?139.

[6] 劉云，向嬋，王海花.基于互信息的特征選擇在入侵檢測中的優(yōu)化[J].西北大學(xué)學(xué)報（自然科學(xué)版），2017，47（5）：666?673.

LIU Yun， XIANG Chan， WANG Haihua. Optimization of feature selection based on mutual information in intrusion detection [J]. Journal of Northwest University （Natural science edition）， 2017， 47（5）： 666?673.

[7] 彭平，孫立新，王鐵柱，等.基于自適應(yīng)蛙跳算法的入侵檢測特征選擇[J].濟(jì)南大學(xué)學(xué)報（自然科學(xué)版），2016，30（2）：129?132.

PENG Ping， SUN Lixin， WANG Tiezhu， et al. Intrusion detection feature selection based on adaptive frog leaping algorithm [J]. Journal of University of Jinan （Science and technology）， 2016， 30（2）： 129?132.

[8] 陳虹，萬廣雪，肖振久.基于優(yōu)化數(shù)據(jù)處理的深度信念網(wǎng)絡(luò)模型的入侵檢測方法[J].計(jì)算機(jī)應(yīng)用，2017，37（6）：1636?1643.

CHEN Hong， WAN Guangxue， XIAO Zhenjiu. Intrusion detection method of deep belief network model based on optimization of data processing [J]. Journal of computer applications， 2017， 37（6）： 1636?1643.

[9] 高一為，周睿康，賴英旭，等.基于仿真建模的工業(yè)控制網(wǎng)絡(luò)入侵檢測方法研究[J].通信學(xué)報，2017，38（7）：186?198.

GAO Yiwei， ZHOU Ruikang， LAI Yingxu， et al. Research on industrial control system intrusion detection method based on simulation modelling [J]. Journal on communications， 2017， 38（7）： 186?198.

[10] 崔君榮，尚文利，萬明，等.基于半監(jiān)督分簇策略的工控入侵檢測[J].信息與控制，2017，46（4）：462?468.

CUI Junrong， SHANG Wenli， WAN Ming， et al. Intrusion detection of industrial control based on semi?supervised clustering strategy [J]. Information and control， 2017， 46（4）： 462?468.