基于特征選擇的網絡入侵檢測模型

姜濱

關鍵詞： 網絡入侵; 檢測模型; 特征選擇; 分類器設計; 主成分分析; 網絡安全

中圖分類號： TN915.08?34 ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼： A ? ? ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2019）01?0087?04

Abstract： The intrusion detection acts as one of the most important ways to ensure the network security. Since the current network intrusion detection model can′t get the desired effect of network intrusion detection， a network intrusion detection model based on feature selection was designed. The research status of the network intrusion detection is analyzed， and then the deficiency of current network intrusion detection model is pointed out. The network state information is acquired. The original network characteristics are extracted， and then the principal component analysis is used to select the important characteristics. The extreme learning machine is introduced to establish the classifier of network intrusion detection. The KDD CUP99 dataset is adopted to analyze the model. The analysis results show that the method can improve the network intrusion detection rate greatly， and has low false detection rate and misdetection rate for network intrusion detection， and the overall detection effect of the network intrusion detection model is superior to other network intrusion detection models.

Keywords： network intrusion; detection model; feature selection; classifier design; principal component analysis; network security

0 ?引 ?言

隨著通信技術的不斷發展，網絡進入了千家萬戶，網絡給人們的生活帶來了便利，但是由于網絡自身安全漏洞出現了網絡安全問題[1?2]。最常用的網絡安全保護措施為防火墻、數據加密、身份認證，它們是一種被動防御技術，無法抵御外來的非法入侵，這樣難以保障網絡安全。入侵檢測系統是一種主動防御技術，屬于網絡安全的第二道防線，可以對網絡入侵行為進行有效識別，因此網絡入侵檢測的研究成為一個熱點[3]。

許多研究人員投入了大量的時間和精力對網絡入侵問題進行探索和分析，提出了大量的網絡入侵檢測模型。當前網絡入侵檢測模型劃分為定性模型和定量模型兩類，定性模型主要通過專家系統進行網絡入侵檢測，專家根據一些規則建立相應的網絡入侵特征數據庫，待檢測的網絡訪問行為特征與網絡入侵特征數據庫進行模式區配，如果匹配成功，那么就將其劃分到相應的類別中[4]。該類模型的網絡入侵檢測優劣直接與專家建立的規則相關，網絡入侵檢測不科學。定量模型主要根據一些機器學習算法建立網絡入侵檢測模型，網絡入侵檢測科學，而且網絡入侵檢測結果可靠。基于定量分析的網絡入侵檢測模型分為誤用入侵檢測模型和異常入侵檢測模型。其中，誤用入侵檢測模型能夠檢測已知的網絡入侵行為，對新的、變異的網絡入侵行為無能為力，實際應用價值低[5?6]。異常入侵檢測模型能夠識別到新的、變異的網絡入侵行為，成為學者們關注的焦點[7?8]。異常入侵檢測實際是一種模式識別問題，網絡訪問行為特征提取十分關鍵，通常情況下人們盡可能多的提取網絡訪問行為特征，但是太多的網絡訪問行為特征導致入侵檢測的分類器輸入向量過多，分類器過于復雜，因此影響網絡入侵檢測的效率，無法滿足大規模異常入侵檢測的實時性[9?11]。同時，每一種網絡訪問行為特征對網絡入侵檢測結果的影響不一樣，當前假設它們的作用相同，因此建立的網絡入侵檢測模型并非最優[12]。

針對傳統網絡入侵檢測模型難以準確識別異常入侵行為，以提高網絡入侵檢測效果為目標，設計了基于特征選擇的網絡入侵檢測模型。首先提取網絡入侵的原始特征，并采用主成分分析選擇主要的特征，然后極限學習機建立網絡入侵檢測的分類器，并采用粒子群優化算法模型的參數，最后采用KDD CUP99數據集進行仿真實驗以分析本文模型的性能。

1 ?網絡入侵檢測原理

入侵通常是指在未授權情況下，一些非法用戶盜取網絡中的一些隱私信息、重要資料，或者對這些信息修改和破壞，而網絡入侵檢測是指采用一定理論和算法對網絡入侵行為學習，建立一個能夠對入侵行為進行識別的檢測模型，并可以對網絡訪問行為進行有效檢測，根據檢測可以進行攔截或放行，網絡入侵檢測模型的工作原理如圖1所示。

3.2 ?結果與分析

本文模型和對比模型均運行10次，統計的檢測率、誤檢率、漏檢率、訓練時間的平均值結果如圖4～圖7所示，從圖4～圖7的實驗結果可知：

1） 相對于對比模型，本文模型的網絡入侵檢測率得到一定的改善，有效降低了誤檢率、漏檢率，網絡入侵檢測率遠遠高于網絡實際應用要求，這主要是因為采用主成分分析減少了一些無用、冗余特征網絡入侵檢測過程和檢測結果的干擾，可以更加準確地描述網絡入侵行為與特征間的映射關系，使網絡入侵檢測結果更優。

2） 本文網絡入侵檢測模型的時間短于對比模型，入侵檢測速度快，入侵檢測的分類器更加簡單，實時性更好。

4 ?結 ?論

入侵檢測是網絡管理過程中的一項關鍵技術，設計基于特征選擇的入侵檢測模型，采用KDD CUP99數據集進行仿真實驗。由實驗結果可知：

1） 特征直接影響網絡入侵檢測的結果，特征數量過大會導致網絡入侵檢測分類的輸入維數高，易出現“維數災”等難題，嚴重影響網絡入侵的建模效率。

2） 采用主成分分析對網絡入侵檢測特征進行選擇，減少了網絡入侵特征數量，消除了特征之間的信息冗余，減少了無用網絡入侵檢測的干擾，提高了網絡入侵檢測的效率。

3） 采用極限學習機建立的網絡入侵檢測分類可以描述網絡訪問的各種行為，可獲得較高正確率的網絡入侵檢測結果。

4） 引入粒子群算法對網絡入侵檢測的分類器參數進行優化，解決人為設置參數的盲目性問題，進一步改善了網絡入侵檢測的效果，保障網絡系統安全。

參考文獻

[1] 毛勇，周曉波，夏錚，等.特征選擇算法研究綜述[J].模式識別與人工智能，2007，20（2）：211?218.

MAO Yong， ZHOU Xiaobo， XIA Zheng， et al. A survey for study of feature selection algorithms [J]. Pattern recognition and artificial intelligence， 2007， 20（2）： 211?218.

[2] MOHAMMAD M N， SULEIMAN N， MUSHI O A. A novel intrusion detection system by using intelligent data mining in weak environment [J]. Procedia computer science， 2011， 3（1）： 1237?1242.

[3] SHEN Furao， YU Hui， SAKURAI K， et al. An incremental online semi?supervised active learning algorithm based on a self?organizing incremental neural network [J]. Neural computing and applications， 2011， 20（1）： 1061?1074.

[4] 李響.基于經驗模態分解的局域網絡入侵檢測算法[J].西南師范大學學報（自然科學版），2016，41（8）：132?137.

LI Xiang. Local network intrusion detection algorithm based on empirical mode decomposition [J]. Journal of Southwest China Normal University （natural science foundation）， 2016， 41（8）： 132?137.

[5] 牟琦，畢孝儒，厙向陽.基于GQPSO算法的網絡入侵特征選擇方法[J].計算機工程，2011，37（14）：103?105.

MOU Qi， BI Xiaoru， SHE Xiangyang. Feature selection me?thod for network intrusion based on GQPSO algorithm [J]. Computer engineering， 2011， 37（14）： 103?105.

[6] 龔儉，王卓然，蘇琪，等.面向網絡安全事件的入侵檢測與取證分析[J].華中科技大學學報（自然科學版），2016，44（11）：30?33.

GONG Jian， WANG Zhuoran， SU Qi， et al. Intrusion detection and forensic analysis for network security incidents [J]. Journal of Huazhong University of Science and Technology （natural science edition）， 2016， 44（11）： 30?33.

[7] 魏吳，王一帆，李玉，等.基于WIA?PA網絡的周界入侵檢測系統設計與實現[J].重慶郵電大學學報（自然科學版），2013，25（2）：148?153.

WEI Wu， WANG Yifan， LI Yu， et al. Design and implementation of perimeter intrusion detection system based on WIA?PA industrial wireless network [J]. Journal of Chongqing University of Posts and Telecommunications （natural science edition）， 2013， 25（2）： 148?153.

[8] 沈夏炯，王龍，韓道軍.人工蜂群優化的BP神經網絡在入侵檢測中的應用[J].計算機工程，2016，42（2）：190?194.

SHEN Xiajiong， WANG Long， HAN Daojun. Application of BP neural network optimized by artificial bee colony in intrusion detection [J]. Computer engineering， 2016， 42（2）： 190?194.

[9] 江峰，王春平，晉惠芬.基于相對決策熵的決策樹算法及其在入侵檢測中的應用[J].計算機科學，2012，39（4）：223?226.

JIANG Feng， WANG Chunping， JIN Huifen. Relative decision entropy based decision tree algorithm and its application in intrusion detection [J]. Computer science， 2012， 39（4）： 223?226.

[10] 楊宏宇，趙明瑞，謝麗霞.基于自適應進化神經網絡算法的入侵檢測[J].計算機工程與科學，2014，36（8）：1469?1475.

YANG Hongyu， ZHAO Mingrui， XIE Lixia. Intrusion detection based on the adaptive evolutionary neural network algorithm [J]. Computer engineering & science， 2014， 36（8）： 1469?1475.

[11] 趙悅，程子傲，陳雷，等.移動Ad?Hoc網絡葉節點簇降低能源節約入侵檢測[J].控制工程，2016，23（7）：1137?1141.

ZHAO Yue， CHENG Ziao， CHEN Lei， et al. Leaf node cluster reduce algorithm of mobile Ad?Hoc network based energy saving for intrusion detection [J]. Control engineering of China， 2016， 23（7）： 1137?1141.

[12] 袁開銀，費嵐.混合粒子群優化算法選擇特征的網絡入侵檢測[J].吉林大學學報（理學版），2016，54（2）：309?313.

YUAN Kaiyin， FEI Lan. Detection of network intrusion based on hybrid particle swarm optimization algorithm selection features [J]. Journal of Jilin University （science edition）， 2016， 54（2）： 309?313.