基于MDM的KELM學習器選擇性集成網(wǎng)絡(luò)入侵檢測

摘 要： 采用集成學習模式進行入侵檢測時，可以獲得比單個學習器更高效的網(wǎng)絡(luò)攻擊識別過程，并能顯著提高識別準確率。設(shè)計的SN通過MDM對各KELM子學習器計算得到集成增益度，從中選出具有較高增益度的KELM子學習器再實施集成。選擇Bagging方式完成抽樣集成過程，同時以Hadoop分布式結(jié)構(gòu)對算法實施訓練，通過并發(fā)方式完成各子KELM的檢測，使算法達到更高的效率。通過測試發(fā)現(xiàn)，不管對于公共KDD99數(shù)據(jù)集還是以手工方式建立的網(wǎng)絡(luò)物理仿真系統(tǒng)，SN都可以高效發(fā)現(xiàn)各類入侵行為，滿足實際應(yīng)用要求。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵; 極限學習機; 異常檢測; 集成學習

中圖分類號： TP 391文獻標志碼： A

Intrusion Detection by Selectively Integrated Network

with MDM - based KELM Learner

GAO Zhenghao

（Institute of Electric Power Science， Guizhou Power Grid Co. Ltd.， Guiyang， Guizhou 550000， China）

Abstract： The integrated learning mode can obtain a more efficient network attack identification process than a single learner， and it significantly improves the recognition accuracy. The SN designed in this paper calculates the integration gain of each KELM sub-learning device through MDM， and then selects the KELM sub-learning device with higher gain degree to implement integration. The bagging is selected to complete the sampling integration process. Meanwhile， the algorithm is trained by Hadoop distributed structure， and the detection of each sub-KELM is completed by means of concurrency， so as to achieve higher efficiency of the algorithm. Through testing， it is found that the SN can efficiently detect various intrusion behaviors for both public KDD99 data set and manual network physical simulation system， which meets the practical application requirements.

Key words： network intrusion; extreme learning machine; abnormal detection; integrated learning

0 引言

當前，大數(shù)據(jù)技術(shù)獲得了廣泛應(yīng)用，對于信息技術(shù)發(fā)展發(fā)揮了極大的促進作用，但也因此帶來了網(wǎng)絡(luò)信息的安全問題。針對上述情況，可以利用網(wǎng)絡(luò)入侵檢測的方法來實現(xiàn)對網(wǎng)絡(luò)安全的主動防護功能，從而實現(xiàn)網(wǎng)絡(luò)系統(tǒng)被破壞前就實現(xiàn)對外部入侵行為的及時攔截并作出快速響應(yīng)[1-6]。對各類復(fù)雜網(wǎng)絡(luò)運行狀態(tài)進行處理時，不管是建立在誤用或異常情況上的入侵檢測系統(tǒng)通常都需要占用大量資源，并且實際測試效率很低，通常需結(jié)合人工綜合分析的過程才能獲得正確的結(jié)果[7-9]。對于一個具備優(yōu)異性能的入侵檢測系統(tǒng)來說，應(yīng)滿足可以實現(xiàn)自主學習并根據(jù)不同網(wǎng)絡(luò)條件不斷調(diào)整適應(yīng)的要求。通過機器學習來實現(xiàn)對分類器的訓練，從而達到準確分辨網(wǎng)絡(luò)中的各類連接行為是否屬于正常類型[10-11]。通過機器學習方式來實現(xiàn)的入侵檢測由于采用不同的學習（分類）器，因此各自性能存在較大的差異。

采用集成學習模式進行入侵檢測時，可以獲得比單個學習器更高效的網(wǎng)絡(luò)攻擊識別過程，并顯著提高識別準確率。

1 入侵檢測算法

從本質(zhì)上分析，網(wǎng)絡(luò)入侵檢測屬于多變量分類的過程。假定總共

存在n條網(wǎng)絡(luò)連接數(shù)據(jù)集X，將其表示為X={xi|i=1，2，…，n}T∈Rn，并且滿足條件Xi∈R為第i條網(wǎng)絡(luò)連接的記錄，n表示樣本總條數(shù);上述各項記錄的網(wǎng)絡(luò)連接類型以T={ti|i=1，…，n}進行表示，則根據(jù)單學習器構(gòu)建得到如下入侵檢測模型[12-13]如式（1）。

上式的λ表示權(quán)重系數(shù)，當Qj結(jié)構(gòu)被確定后，可以將式（1）作為對分類器Gj參數(shù)進行調(diào)整后得到的最佳分類器。本文通過Bagging學習模式來設(shè)計SN方法，先對具備互補功能的子學習器實施訓練，再通過邊緣距離最小化方式完成對子學習器實施選擇性學習的過程。算法的具體流程如圖1所示。

2.1 KELM分類器

將ELM作為一個線性方程，對其進行求解分析可以得到一個閉式的全局理論最優(yōu)解。為防止ELM模型受到隱含層特征映射函數(shù)的干擾，可以考慮使用KELM模型。結(jié)合輸出層參數(shù)a計算結(jié)果，現(xiàn)創(chuàng)建一條新網(wǎng)絡(luò)連接記錄Xtest，將其表示成如下的連接類型向量如式（2）。

式中：h為X的ELM非線性映射，H是隱含層的輸出矩陣。以ELM核矩陣表示HHT。以Ω=HHT表示ELM核矩陣，代入上述各項矩陣參數(shù)可以得到以下結(jié)果如式（3）。

為了盡可能避免陷入局部最優(yōu)，本文基于MDM的KELM學習器選擇性集成網(wǎng)絡(luò)入侵檢測。該方法基于MDM準則計算出每個子學習器對整體集成算法性能提升的增益度量，通過選擇增益度高的KELM子學習器進行部分集成，獲得計算效率高、泛化能力強的強學習器。

2.2 學習器選擇性集成

（MDM）集成學習是按照特定組合形式實現(xiàn)對不同弱分類器的集成并獲得強分類器算法，通常將此類算法稱作元算法。Bagging對已有分類器中存在錯誤分類的樣本進行集中關(guān)注再優(yōu)化各新創(chuàng)建得到的子學習器。Bagging方法充分考慮了不同子學習器間存在的強依賴性能，可以利用串行方式得到。

Bagging選擇隨機方式進行重采樣，確保各子學習器可以達到互不干擾的狀態(tài)。通常是以能夠同時生成的分布式并發(fā)模式構(gòu)建上述算法，采用上述方法可以實現(xiàn)子學習器的高效訓練，同時確保子學習器能夠滿足互補的性能。

考慮到采用此Bagging策略可以實現(xiàn)并發(fā)學習的效果，本文選擇Bagging方案來實現(xiàn)子分類器學習的功能。并且為確保可以對各類異常入侵進行高效檢測，本文設(shè)計了一種建立在最小邊緣距離基礎(chǔ)上的選擇性集成（MDM）算法來完成增益排序子學習器的目的，從中選出具有較大增益度的子學習器組成最終結(jié)果，有效減緩弱學習器影響檢測結(jié)果的程度。

3 實驗驗證

本實驗需要對以下二項內(nèi)容進行驗證：（1） 利用KDD99數(shù)據(jù)集驗證本文構(gòu)建的SN有效性，同時測試各項參數(shù)造成的性能變化，比較SN和不同入侵檢測方式的差異性;（2） 構(gòu)建網(wǎng)絡(luò)物理仿真系統(tǒng)，對SN進行復(fù)雜網(wǎng)絡(luò)環(huán)境條件下的運行測試，評價其檢測真實入侵的效果。

3.1 驗證分析

比較SN和KELM算法及其集成算法對于KDD99所達到的準確率與花費的運算時間，如表1所示。

測試時以徑向基函數(shù)組成KELM核函數(shù)，其中，KELM集成算法以及SN算法都選擇Bagging模式，設(shè)置跟原維度相同的抽樣數(shù)量，設(shè)定子學習器的數(shù)量為100，通過MDM選擇子學習器時，滿足條件的子學習器數(shù)量總共是60個。

經(jīng)過50次獨立測試得到的結(jié)果，如表1所示。

根據(jù)表1可知，采用傳統(tǒng)形式KELM集成算法可以獲得比單獨KELM方式高出8%的AR同時減小了0.6%的MR，不過卻使檢測時長增加了10倍左右。本文設(shè)計的SN是根據(jù)MDM準則選出具備優(yōu)異性能的KELM子學習器來達到集成的目的，顯著降低集成得到的子學習數(shù)量，降低了弱學習器所造成的不利影響，除了有效提升AR以外還使MR發(fā)生了大幅減小，并且可以獲得更高的檢測效率。

表2給出了檢測方法運算時間比較。

如表3所示。

采用傳統(tǒng)形式KELM集成算法訓練時間較長，相B比較之下，本文算法在訓練時間和測試時間上明顯縮短，計算效率明明顯提高。

3.2 參數(shù)設(shè)置對算法性能的影響

對SN性能具有影響的參數(shù)有子學習器集成數(shù)U與特征數(shù)F。表3給出了在不同的輸入層神經(jīng)元數(shù)量與各抽樣率條件下算法的性能變化。

對表3結(jié)果進行分析可以發(fā)現(xiàn)，F(xiàn)幾乎不會造成測試結(jié)果的變化。這是由于訓練與測試階段所選擇的KDD99樣本集包含了大量的數(shù)據(jù)，同時該算法具備優(yōu)異泛化性能，此時如果只單獨調(diào)節(jié)F將無法提升算法性能。不過對F進行調(diào)整后能夠改善小樣本集學習器性能。

同時，集成算法泛化性能受到子學器數(shù)量的直接影響，而當子學習器太多時則會占據(jù)大量資源。本實驗將KELM子學習器的最初數(shù)量設(shè)定在100，利用選擇性學習的方式得到最終集成數(shù)量。入侵檢測性能與選擇性集成子學習器數(shù)量的關(guān)系，如圖2所示。

對圖2進行分析可知，當子學習器數(shù)量增多后，入侵檢測準確率表現(xiàn)為先緩慢上升再不斷減小的趨勢。在子學習器數(shù)量介于35～40范圍內(nèi)時，可以獲得較高的網(wǎng)絡(luò)入侵檢測準確率，而當子分類器數(shù)量繼續(xù)提高（超過40）后，獲得的入侵檢測效果保持基本穩(wěn)定狀態(tài)，而當加入太多弱學習器時，反而減小了正確率。進行比較測試時，將集成數(shù)量設(shè)定在40。

4 總結(jié)

本文設(shè)計的SN通過MDM對各KELM子學習器計算得到集成增益度，從中選出具有較高增益度的KELM子學習器再實施集成。選擇Bagging方式完成抽樣集成過程，同時以Hadoop分布式結(jié)構(gòu)對算法實施訓練，通過并發(fā)方式完成各子KELM的檢測，使算法達到更高的效率。通過測試發(fā)現(xiàn)，不管對于公共KDD99數(shù)據(jù)集還是以手工方式建立的網(wǎng)絡(luò)物理仿真系統(tǒng)，SN都可以高效發(fā)現(xiàn)各類入侵行為，滿足實際應(yīng)用要求。

參考文獻

[1] 李立勛，張斌，董淑琴，等. 基于脆弱性轉(zhuǎn)化的網(wǎng)絡(luò)動力學防御效能分析方法[J]. 電子學報，2018，46 （12）：3014-3020.

[2] Sultanan， Chilamkurti N， Peng W， et al. Survey on SDN based network intrusion detection system use machine learning approaches [J]. Peer-to-Peer Networking And applications， 2018，11 （1-2）： 1-9.

[3] 高妮，高嶺，賀毅岳， 等.基于自編碼網(wǎng)絡(luò)特征降維的輕量級入侵檢測模型[J]. 電子學報，2017， 45（3）：730-739.

[4] Wang C R， Xu R F， Lee S J， et al. Network intrusion detection using equality constrained optimization based extreme learning machines[J]. Knowledge-Based Systems， 2018、147 （1）：68 - 80.

[5] 張志霞.基于RS-SVM的無線傳感器網(wǎng)絡(luò)入侵檢測模型研究[J].智能計算機與應(yīng)用，2019（3）：319-320.

[6] 王莉莉，張建軍.網(wǎng)絡(luò)入侵節(jié)點的盲取證技術(shù)研究與仿真[J].現(xiàn)代電子技術(shù)，2019，42（9）：51-54.

[7] 金立群.適應(yīng)多元尺寸長度的卷積神經(jīng)網(wǎng)絡(luò)模型在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].山東農(nóng)業(yè)大學學報（自然科學版），2019（5）：1-3.

[8] 孫惠麗，陳維華，劉東朝.基于深度學習的改進貝葉斯網(wǎng)絡(luò)入侵檢測算法[J].軟件工程，2019，22（4）：17-20.

[9] 楊印根，王忠洋.基于深度神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（4）：37-41.

[10] 徐文良，張永勝，程健慶.基于機器學習的艦艇網(wǎng)絡(luò)入侵檢測技術(shù)[J].指揮控制與仿真，2019，41（2）：137-140.

[11] 閆明輝.計算機網(wǎng)絡(luò)入侵檢測系統(tǒng)匹配算法的研究[J].電子設(shè)計工程，2019，27（8）：34-37.

[12] 韓存鴿.混合光纖網(wǎng)絡(luò)偽裝危險數(shù)據(jù)有效識別技術(shù)研究[J].激光雜志，2019，40（4）：108-112.

[13] 劉立明，李群英，郝成亮，等.基于異常流量可視化的通信網(wǎng)絡(luò)入侵攻擊路徑智能跟蹤技術(shù)[J].科學技術(shù)與工程，2019，19（11）：230-235.

（收稿日期： 2020.02.04）

作者簡介：

高正浩（1979-），男，本科，工程師，研究方向：信息技術(shù)。