基于PSO-FCM智能算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)方法

齊 坤，韋 凱

基于PSO-FCM智能算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)方法

齊 坤，韋 凱

（深圳職業(yè)技術(shù)學(xué)院 電子與信息工程學(xué)院，廣東 深圳 518055）

研究引入基于PSO-FCM智能算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)方法，主要是將粒子群(PSO)算法引入模糊聚類(FCM)算法，并對(duì)該方法進(jìn)行Matlab仿真分析．結(jié)果表明，F(xiàn)CM算法與PSO-FCM智能算法在檢測(cè)率上，已知攻擊均優(yōu)于未知攻擊，優(yōu)化后的PSO-FCM智能算法入侵檢測(cè)誤檢率顯著優(yōu)于FCM算法，PSO-FCM智能算法顯著優(yōu)于傳統(tǒng)FCM算法．

模糊聚類算法；粒子群算法；計(jì)算機(jī)；檢測(cè)；網(wǎng)絡(luò)入侵

隨著計(jì)算機(jī)網(wǎng)絡(luò)中不斷增長(zhǎng)的網(wǎng)絡(luò)行為與信息數(shù)據(jù)量，社會(huì)的發(fā)展已經(jīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)形成了嚴(yán)重的依賴性[1]．在計(jì)算機(jī)網(wǎng)絡(luò)全面發(fā)展的同時(shí)也凸顯了較多的網(wǎng)絡(luò)安全問(wèn)題，甚至嚴(yán)重威脅到了國(guó)家的教育、科研、國(guó)防、經(jīng)濟(jì)等領(lǐng)域[2]．在計(jì)算機(jī)網(wǎng)絡(luò)信息安全領(lǐng)域，無(wú)論是高新技術(shù)的IT企業(yè)，還是科研機(jī)構(gòu)都對(duì)此問(wèn)題進(jìn)行了大量的研究，也針對(duì)安全問(wèn)題開發(fā)了一系列關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全的軟硬件產(chǎn)品，但效果卻不是很好[3]．為了更好地提升計(jì)算機(jī)網(wǎng)絡(luò)的安全性，保障網(wǎng)絡(luò)的安全監(jiān)控，在目前的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中應(yīng)用最多的為入侵檢測(cè)技術(shù)[4]．由于當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)中信息量增長(zhǎng)迅猛，使得入侵檢測(cè)的準(zhǔn)確率較低，以致缺乏適用性與有效性，許多學(xué)者已經(jīng)開始在智能計(jì)算與數(shù)據(jù)挖掘領(lǐng)域?qū)θ肭址椒ㄟM(jìn)行新的研究．國(guó)內(nèi)外學(xué)者也提出了許多入侵檢測(cè)方法，使用較為廣泛的是聚類方法中的FCM算法．然而，F(xiàn)CM方算在使用的過(guò)程中存在一些難以克服的問(wèn)題：數(shù)據(jù)集大時(shí)結(jié)果容易局部最優(yōu)；需要預(yù)先設(shè)定值，對(duì)最先的個(gè)點(diǎn)選取很敏感；對(duì)噪聲和離群值非常敏感等．本文將一種基于PSO-FCM智能優(yōu)化的算法應(yīng)用于入侵檢測(cè)實(shí)驗(yàn)，使得FCM搜索方向變得具有多樣性，全局搜索的能力更強(qiáng)，聚類結(jié)果穩(wěn)定，在入侵檢測(cè)系統(tǒng)中具有重要的實(shí)際意義．

1 基于PSO-FCM智能優(yōu)化的入侵檢測(cè)算法

1.1 基于模糊聚類算法（FCM）的入侵檢測(cè)算法

將FCM算法應(yīng)用到入侵檢測(cè)技術(shù)，對(duì)入侵檢測(cè)數(shù)據(jù)準(zhǔn)確性的要求很高．要使聚類在區(qū)分異常和正常的能力得到保障，首先需要對(duì)FCM算法進(jìn)行2個(gè)假設(shè)，一是不同的入侵行為、一般的入侵行為以及正常行為相互間具有很大的特征差異性；二是樣本數(shù)據(jù)集中的具有非常低的異常數(shù)據(jù)比例，并具有較高的正常數(shù)據(jù)量，通常能都達(dá)到98%左右．若只達(dá)到第一個(gè)假設(shè)，F(xiàn)CM算法能夠在不同的分類器（簇）中劃分用于訓(xùn)練的原始數(shù)據(jù)集[5]．若達(dá)到了第二個(gè)假設(shè)，那么分類器的大小可以對(duì)異常類和正常類進(jìn)行類別判斷．所以，在這里對(duì)基于FCM的入侵檢測(cè)算法進(jìn)行了設(shè)計(jì)，設(shè)計(jì)包括了聚類、標(biāo)記以及匹配3個(gè)階段．其中，聚類是最為核心的問(wèn)題，所以，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)最為重要的環(huán)節(jié)是要對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行模糊聚類計(jì)算，具體流程如圖1所示．

對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)而言，首先是要對(duì)大量數(shù)據(jù)進(jìn)行類別劃分，而類別劃分正是FCM聚類算法的功能．然而，F(xiàn)CM算法也存在了許多不足之處，一是該算法較容易被噪聲數(shù)據(jù)點(diǎn)所干擾，從而使算法最優(yōu)性受到較大的影響；二是該算法的類中心和隸屬度計(jì)算過(guò)程在引入高維度數(shù)據(jù)樣本集后，會(huì)在一定程度上影響到聚類結(jié)果，同時(shí)會(huì)使運(yùn)算的速度大大降低．

1.2 基于PSO-FCM的入侵檢測(cè)算法

基于PSO-FCM的入侵檢測(cè)算法主要是將粒子群（PSO）算法引入模糊聚類（FCM）算法中，達(dá)到優(yōu)化FCM算法的目的[6]．基于PSO-FCM的入侵檢測(cè)算法的檢測(cè)思路同樣為聚類、標(biāo)類以及檢測(cè)3部分．對(duì)于FCM算法中存在的不足，此次研究引入了PSO算法來(lái)改進(jìn)FCM局部最小值問(wèn)題并進(jìn)行初始化操作，提高搜索的隨機(jī)性，使得空間分布的均勻性和廣泛性得到優(yōu)化，PSO算法全局搜索的能力在群智能算法中具有較強(qiáng)的優(yōu)越性[7]．所以，此次研究將PSO優(yōu)化算法的全局搜索能力引入FCM模糊聚類特性中，將兩者的優(yōu)勢(shì)進(jìn)行融合，采用粒子群優(yōu)化算法替代模糊聚類算法對(duì)聚類中心以及隸屬度更新的迭代進(jìn)行反復(fù)的計(jì)算，以得到基于PSO-FCM聚類算法．為了防止目標(biāo)函數(shù)在局部進(jìn)行極小化過(guò)程，優(yōu)化后的PSO-FCM聚類算法要進(jìn)一步將搜索空間擴(kuò)大，因?yàn)樵撍惴ǖ倪^(guò)程不同于單一的模糊聚類算法，使FCM搜索方向變得具有多樣性，全局搜索的能力更強(qiáng)．

圖1 模糊聚類算法的具體流程

基于FCM聚類算法的最優(yōu)解在最佳聚類的類中心，而在PSO進(jìn)行計(jì)算時(shí)，其中任意一個(gè)粒子在更新的過(guò)程中都可能會(huì)是最終的最優(yōu)解[8]．所以，基于PSO-FCM的思路是將聚類中心的空間采用粒子來(lái)進(jìn)行表示，也可以理解為粒子編碼問(wèn)題．假設(shè)樣本集合中有個(gè)樣本，表達(dá)式為，表示任意向量．在樣本集合中找到異常類與正常類以檢測(cè)Z的有效性，并找到適合的聚類中心，若的類有個(gè)，那么各個(gè)類中心表示為，，，…，，，且分別與Z是同維度的向量．因此，一個(gè)粒子X(jué)是由這個(gè)聚類中心組成的．根據(jù)這個(gè)思路，一個(gè)可行的解對(duì)應(yīng)這一個(gè)編碼，若樣本數(shù)據(jù)維度表示為，粒子長(zhǎng)度表示為，那么矩陣式（1）可以表示為單個(gè)粒子．若一個(gè)初始粒子群是由個(gè)單粒子組成，那么群體的規(guī)模為．

粒子群在進(jìn)行搜索時(shí)，需要對(duì)每個(gè)粒子的適應(yīng)度進(jìn)行不斷的評(píng)價(jià)，同時(shí)對(duì)粒子個(gè)體與全局極值進(jìn)行詳細(xì)記錄[9]．通常，F(xiàn)CM的目標(biāo)評(píng)價(jià)函數(shù)可以應(yīng)用于粒子適應(yīng)度的評(píng)價(jià)中，并基于（，）進(jìn)行優(yōu)化，如式（2）所示．

粒子群算法在粒子位置更新與速度的計(jì)算上受到了認(rèn)知（粒子最佳位置）、慣性（當(dāng)前速度）和社會(huì)（群體最佳位置）的影響．若慣性權(quán)值值較大時(shí)，粒子跳出局部最小點(diǎn)的幾率越大，能夠提高全局搜索能力，反之則利于收斂，能夠提高局部搜索能力[10]．對(duì)進(jìn)行了優(yōu)化改進(jìn)，在迭代的過(guò)程中，在初期較大，后期則逐漸變小．如式（3）所示．

式中，表示當(dāng)前次數(shù)；max表示算法最大迭代次數(shù)；0表示初始慣性權(quán)值．若0為0.9，max_為1000，進(jìn)行迭代計(jì)算的進(jìn)行，慣性權(quán)值會(huì)越來(lái)越小，直到取值接近于0，如圖2所示．

圖2 慣性權(quán)值w值在改進(jìn)后的變化趨勢(shì)

圖3 PSO-FCM聚類算法的具體流程

基于PSO-FCM聚類算法最后的關(guān)鍵流程就是進(jìn)行檢測(cè)算法，對(duì)各類中心距離與待檢測(cè)數(shù)據(jù)進(jìn)行計(jì)算，通過(guò)計(jì)算結(jié)果來(lái)分析標(biāo)記類中心與數(shù)據(jù)的一致性，從而對(duì)入侵行為進(jìn)行判斷．最后設(shè)計(jì)了入侵檢測(cè)方法的具體流程，主要分為訓(xùn)練模塊、檢測(cè)模塊、數(shù)據(jù)庫(kù)模塊和報(bào)警模塊．訓(xùn)練模塊是聚類處理數(shù)據(jù)庫(kù)中導(dǎo)出的數(shù)據(jù)，再將聚類處理結(jié)果導(dǎo)入數(shù)據(jù)庫(kù)，同時(shí)在檢測(cè)模塊中導(dǎo)入對(duì)應(yīng)的標(biāo)類信息，將標(biāo)類信息與讀取的數(shù)據(jù)集進(jìn)行匹配，并在數(shù)據(jù)庫(kù)中寫入檢測(cè)信息．若入侵?jǐn)?shù)據(jù)被匹配，就將信息傳遞給報(bào)警模塊并啟動(dòng)處理程序．基于PSO-FCM計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)算法的具體流程，如圖4所示．

該算法流程主要?jiǎng)澐譃?個(gè)階段，一是訓(xùn)練階段，對(duì)數(shù)據(jù)集進(jìn)行聚類訓(xùn)練；二是標(biāo)類階段，通常聚類處理結(jié)果中類標(biāo)識(shí)較少，對(duì)類的區(qū)別能力較差．通過(guò)標(biāo)類的方法對(duì)類中的樣本量進(jìn)行統(tǒng)計(jì)，從而識(shí)別異常類與正常類；三是檢測(cè)階段，測(cè)試樣本集中的記錄的最短距離是判斷類歸屬的依據(jù)，并判斷行為是否為入侵行為，如果是，則輸出報(bào)警信息．

圖4 基于PSO-FCM計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)算法的具體流程

2 實(shí)驗(yàn)設(shè)計(jì)與分析

本研究采用MATLAB對(duì)PSO-FCM智能算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)方法進(jìn)行仿真測(cè)試．實(shí)驗(yàn)環(huán)境如下：Intel Pentium Dual-core E5300 CPU，2.60GHz；2GB內(nèi)存；Windows7操作系統(tǒng)，編程環(huán)境Matlab R2010b．測(cè)試數(shù)據(jù)集中選取了4組數(shù)據(jù)記錄作為實(shí)驗(yàn)測(cè)試樣本集，1組與2組樣本數(shù)據(jù)中包括了正常記錄10000條，入侵行為樣本1000條；3組與4組測(cè)試樣本集中除了1、2組中的全部數(shù)據(jù)外，還增加了新的攻擊類型，用以對(duì)PSO-FCM算法以及未知類型入侵行為進(jìn)行檢測(cè)．

在測(cè)試中引入檢測(cè)率（Detection Rate，DR）與誤檢率（False Rate，F(xiàn)R）指標(biāo)，其中誤檢率為被誤檢查為攻擊樣本的例數(shù)與所有正常例數(shù)的比值，檢測(cè)率為被檢測(cè)為攻擊樣本的例數(shù)與全部攻擊例數(shù)的比值．一般指標(biāo)檢測(cè)結(jié)果具有較低的FR與較高的DR．將實(shí)驗(yàn)分為兩個(gè)部分，一是進(jìn)行實(shí)驗(yàn)對(duì)比操作以對(duì)實(shí)驗(yàn)完整性進(jìn)行提升，其過(guò)程主要是對(duì)最優(yōu)聚類數(shù)目進(jìn)行確定；二是對(duì)比PSO-FCM智能算法與常規(guī)FCM算法的誤檢率與檢測(cè)率．

設(shè)定最大迭代次數(shù)為1000，學(xué)習(xí)因子1、2的值均為1.49，慣性權(quán)重因子取值為0.9，模糊指數(shù)的值為2．首先，探討檢測(cè)結(jié)果受到初始聚類數(shù)目影響程度，在實(shí)驗(yàn)中，觀測(cè)并改變參數(shù)的值，觀察值在不同取值的情況下，誤檢率與檢測(cè)率的變化趨勢(shì)．對(duì)樣本集進(jìn)行實(shí)驗(yàn)后，結(jié)果如圖5所示．

圖5 測(cè)試不同聚類c值下的結(jié)果

由圖5可以看出，當(dāng)檢測(cè)率最高時(shí)，聚類數(shù)量值在[35,40]之間；當(dāng)聚類數(shù)量值為40時(shí)，對(duì)應(yīng)的誤檢率也隨之上升．因此，認(rèn)為當(dāng)聚類數(shù)量值為35時(shí)，能夠獲得最低誤檢率和較高檢測(cè)率．在下文的實(shí)驗(yàn)中，將聚類數(shù)量值設(shè)定為35來(lái)進(jìn)行．利用改進(jìn)后的PSO-FCM算法優(yōu)化的入侵檢測(cè)模型對(duì)通信行為訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集的檢測(cè)結(jié)果如圖6所示．

由圖6可知，PSO-FCM智能優(yōu)化算法對(duì)訓(xùn)練數(shù)據(jù)與測(cè)試數(shù)據(jù)的檢測(cè)率分別為98.3%、97.33%．運(yùn)行FCM算法與PSO-FCM智能算法，采用兩種算法分別測(cè)試數(shù)據(jù)樣本集，并對(duì)比運(yùn)行后的檢測(cè)率，結(jié)果如圖7所示．

由圖7可以看出，基于FCM算法的未知攻擊檢測(cè)率均值低于65%，已知攻擊檢測(cè)率均值低于70%；同時(shí)，說(shuō)明了FCM算法與PSO-FCM智能算法在檢測(cè)率上，已知攻擊均優(yōu)于未知攻擊．在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)方法上，此次設(shè)計(jì)的基于PSO-FCM智能算法顯著優(yōu)于傳統(tǒng)FCM算法．由于FCM算法與PSO算法在檢測(cè)與標(biāo)類階段具有較好的相似性，僅具有訓(xùn)練數(shù)據(jù)聚類效果的差異性．因此，優(yōu)化后的PSO-FCM智能算法具有更好的聚類效果．對(duì)于誤檢率的對(duì)比，此次試驗(yàn)在相同的樣本集上對(duì)比FCM算法與PSO-FCM智能算法的誤檢率，結(jié)果見表1．

圖6 PSO-FCM智能算法訓(xùn)練數(shù)據(jù)與測(cè)試數(shù)據(jù)檢測(cè)結(jié)果

圖7 對(duì)比FCM算法與PSO-FCM智能算法檢測(cè)率

表1 對(duì)比FCM算法與PSO-FCM智能算法誤檢率 （%）

由表1可以看出，優(yōu)化后的PSO-FCM智能算法入侵檢測(cè)誤檢率顯著優(yōu)于FCM算法，證實(shí)了經(jīng)PSO改進(jìn)后的FCM聚類算法的有效性．對(duì)比圖7與表1中的數(shù)據(jù)，誤檢率與檢測(cè)率相對(duì)于同一算法而言，在不同數(shù)據(jù)集中，檢測(cè)率升高的同時(shí)，誤檢率也會(huì)隨之升高，此次實(shí)驗(yàn)中的誤檢率均在可以接受的范圍內(nèi)．此次研究還對(duì)入侵模型進(jìn)行了多組優(yōu)化方法測(cè)試驗(yàn)證，以對(duì)比各種優(yōu)化方法的作用．基于各優(yōu)化方法的檢測(cè)模型尋優(yōu)結(jié)果見表2．

表2 基于各優(yōu)化方法的檢測(cè)模型尋優(yōu)結(jié)果

由表2可以看出，不同的優(yōu)化算法均有一定程度的檢測(cè)模型參數(shù)尋優(yōu)效果，可以使通訊行為檢測(cè)率有效提升，但收斂速度始終存在著不同，PSO-FCM無(wú)論在檢測(cè)率上還是在檢測(cè)時(shí)間上均優(yōu)于其他算法．綜上所述，在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)方法上，此次設(shè)計(jì)的基于PSO-FCM智能算法顯著優(yōu)于傳統(tǒng)FCM算法．

3 結(jié) 論

在計(jì)算機(jī)信息網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用基于PSO-FCM智能算法來(lái)實(shí)現(xiàn)信息網(wǎng)絡(luò)的入侵檢測(cè)功能，建立基于PSO-FCM計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)算法的具體方法流程，并應(yīng)用Matlab對(duì)設(shè)計(jì)的方法進(jìn)行了仿真分析．結(jié)果表明，在聚類數(shù)量值為35時(shí)，基于FCM算法的未知攻擊檢測(cè)率均值低于65%，已知攻擊檢測(cè)率均值低于70%，說(shuō)明了FCM算法與PSO-FCM智能算法在檢測(cè)率上，已知攻擊均優(yōu)于未知攻擊．優(yōu)化后的PSO-FCM智能算法在已知與未知攻擊的檢測(cè)中均顯著優(yōu)于FCM算法，同時(shí)入侵檢測(cè)誤檢率顯著優(yōu)于FCM算法，證實(shí)了經(jīng)PSO改進(jìn)后的FCM聚類算法的有效性，且此次實(shí)驗(yàn)中的誤檢率均在可以接受的范圍內(nèi)．本次研究未充分考慮真實(shí)網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)采集與實(shí)時(shí)檢測(cè)，在今后的研究中，會(huì)更關(guān)注這方面的問(wèn)題．

[1] 汪赫瑜，唐敏影，任建華．基于二次網(wǎng)格優(yōu)化的粒子群模糊聚類算法[J]．計(jì)算機(jī)工程與科學(xué)，2019，41（02）：354-362．

[2] 李根．基于量子人工魚群和模糊核聚類算法的網(wǎng)絡(luò)入侵檢測(cè)模型研究[J]．軟件工程，2019，22（06）：33-37．

[3] 李兆峰．基于主成分分析和卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法研究[J]．現(xiàn)代信息科技，2019，3（10）：148-151．

[4] 夏景明，李沖，談玲，等．改進(jìn)的隨機(jī)森林分類器網(wǎng)絡(luò)入侵檢測(cè)方法[J]．計(jì)算機(jī)工程與設(shè)計(jì)，2019，40（08）：2146-2150．

[5] 陳誠(chéng)，劉振宇．基于PCA優(yōu)化的PSO-FCM聚類算法[J]．計(jì)算機(jī)系統(tǒng)應(yīng)用，2020，29（03）：213-217．

[6] 龐幫艷，張艷敏．基于粗糙集的公共網(wǎng)絡(luò)入侵檢測(cè)方法研究[J]．現(xiàn)代電子技術(shù)，2017，40（04）：28-31．

[7] 袁琴琴，呂林濤．基于改進(jìn)蟻群算法與遺傳算法組合的網(wǎng)絡(luò)入侵檢測(cè)[J]．重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，29（01）：84-89．

[8] 丁國(guó)強(qiáng)，趙國(guó)增，李傳鋒．改進(jìn)BM算法策略的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)[J]．計(jì)算機(jī)測(cè)量與控制，2011，19（11）：2661-2664．

[9] 王宇鋼．基于粒子群優(yōu)化的模糊C均值聚類算法[J]．信息技術(shù)與網(wǎng)絡(luò)安全，2018，37（08）：36-39+44．

[10] 耿宗科，王長(zhǎng)賓，張振國(guó)．基于模糊c-means與自適應(yīng)粒子群優(yōu)化的模糊聚類算法[J]．計(jì)算機(jī)科學(xué)，2016，43（08）：267-272．

Computer Network Intrusion Detection Method Based on PSO-FCM Intelligent Algorithm

QI Kun, WEI Kai

（）

The research introduces the computer network intrusion detection method based on PSO FCM intelligent algorithm, which mainly introduces PSO algorithm into fuzzy clustering (FCM) algorithm, and makes Matlab simulation analysis on the method. The results show that both FCM algorithm and PSO FCM intelligent algorithm are better than unknown attacks in detection rate. The optimized PSO-FCM intelligent algorithm has better error detection rate than FCM algorithm, and PSO FCM intelligent algorithm is significantly better than traditional FCM algorithm.

fuzzy clustering algorithm; particle swarm optimization; computer; detection; network intrusion

2020-09-23

齊坤，男，河南固始人，碩士，講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)及信息安全.

TP391

A

1672-0318（2021）05-0003-06

10.13899/j.cnki.szptxb.2021.05.001

（責(zé)任編輯：王璐）