基于PSO-FCM智能算法的計算機網絡入侵檢測方法

齊 坤，韋 凱

基于PSO-FCM智能算法的計算機網絡入侵檢測方法

齊 坤，韋 凱

（深圳職業技術學院 電子與信息工程學院，廣東 深圳 518055）

研究引入基于PSO-FCM智能算法的計算機網絡入侵檢測方法，主要是將粒子群(PSO)算法引入模糊聚類(FCM)算法，并對該方法進行Matlab仿真分析．結果表明，FCM算法與PSO-FCM智能算法在檢測率上，已知攻擊均優于未知攻擊，優化后的PSO-FCM智能算法入侵檢測誤檢率顯著優于FCM算法，PSO-FCM智能算法顯著優于傳統FCM算法．

模糊聚類算法；粒子群算法；計算機；檢測；網絡入侵

隨著計算機網絡中不斷增長的網絡行為與信息數據量，社會的發展已經對計算機網絡形成了嚴重的依賴性[1]．在計算機網絡全面發展的同時也凸顯了較多的網絡安全問題，甚至嚴重威脅到了國家的教育、科研、國防、經濟等領域[2]．在計算機網絡信息安全領域，無論是高新技術的IT企業，還是科研機構都對此問題進行了大量的研究，也針對安全問題開發了一系列關于計算機網絡安全的軟硬件產品，但效果卻不是很好[3]．為了更好地提升計算機網絡的安全性，保障網絡的安全監控，在目前的網絡基礎設施中應用最多的為入侵檢測技術[4]．由于當前計算機網絡中信息量增長迅猛，使得入侵檢測的準確率較低，以致缺乏適用性與有效性，許多學者已經開始在智能計算與數據挖掘領域對入侵方法進行新的研究．國內外學者也提出了許多入侵檢測方法，使用較為廣泛的是聚類方法中的FCM算法．然而，FCM方算在使用的過程中存在一些難以克服的問題：數據集大時結果容易局部最優；需要預先設定值，對最先的個點選取很敏感；對噪聲和離群值非常敏感等．本文將一種基于PSO-FCM智能優化的算法應用于入侵檢測實驗，使得FCM搜索方向變得具有多樣性，全局搜索的能力更強，聚類結果穩定，在入侵檢測系統中具有重要的實際意義．

1 基于PSO-FCM智能優化的入侵檢測算法

1.1 基于模糊聚類算法（FCM）的入侵檢測算法

將FCM算法應用到入侵檢測技術，對入侵檢測數據準確性的要求很高．要使聚類在區分異常和正常的能力得到保障，首先需要對FCM算法進行2個假設，一是不同的入侵行為、一般的入侵行為以及正常行為相互間具有很大的特征差異性；二是樣本數據集中的具有非常低的異常數據比例，并具有較高的正常數據量，通常能都達到98%左右．若只達到第一個假設，FCM算法能夠在不同的分類器（簇）中劃分用于訓練的原始數據集[5]．若達到了第二個假設，那么分類器的大小可以對異常類和正常類進行類別判斷．所以，在這里對基于FCM的入侵檢測算法進行了設計，設計包括了聚類、標記以及匹配3個階段．其中，聚類是最為核心的問題，所以，對于計算機網絡入侵檢測最為重要的環節是要對訓練數據集進行模糊聚類計算，具體流程如圖1所示．

對于計算機網絡入侵檢測而言，首先是要對大量數據進行類別劃分，而類別劃分正是FCM聚類算法的功能．然而，FCM算法也存在了許多不足之處，一是該算法較容易被噪聲數據點所干擾，從而使算法最優性受到較大的影響；二是該算法的類中心和隸屬度計算過程在引入高維度數據樣本集后，會在一定程度上影響到聚類結果，同時會使運算的速度大大降低．

1.2 基于PSO-FCM的入侵檢測算法

基于PSO-FCM的入侵檢測算法主要是將粒子群（PSO）算法引入模糊聚類（FCM）算法中，達到優化FCM算法的目的[6]．基于PSO-FCM的入侵檢測算法的檢測思路同樣為聚類、標類以及檢測3部分．對于FCM算法中存在的不足，此次研究引入了PSO算法來改進FCM局部最小值問題并進行初始化操作，提高搜索的隨機性，使得空間分布的均勻性和廣泛性得到優化，PSO算法全局搜索的能力在群智能算法中具有較強的優越性[7]．所以，此次研究將PSO優化算法的全局搜索能力引入FCM模糊聚類特性中，將兩者的優勢進行融合，采用粒子群優化算法替代模糊聚類算法對聚類中心以及隸屬度更新的迭代進行反復的計算，以得到基于PSO-FCM聚類算法．為了防止目標函數在局部進行極小化過程，優化后的PSO-FCM聚類算法要進一步將搜索空間擴大，因為該算法迭代的過程不同于單一的模糊聚類算法，使FCM搜索方向變得具有多樣性，全局搜索的能力更強．

圖1 模糊聚類算法的具體流程

基于FCM聚類算法的最優解在最佳聚類的類中心，而在PSO進行計算時，其中任意一個粒子在更新的過程中都可能會是最終的最優解[8]．所以，基于PSO-FCM的思路是將聚類中心的空間采用粒子來進行表示，也可以理解為粒子編碼問題．假設樣本集合中有個樣本，表達式為，表示任意向量．在樣本集合中找到異常類與正常類以檢測Z的有效性，并找到適合的聚類中心，若的類有個，那么各個類中心表示為，，，…，，，且分別與Z是同維度的向量．因此，一個粒子X是由這個聚類中心組成的．根據這個思路，一個可行的解對應這一個編碼，若樣本數據維度表示為，粒子長度表示為，那么矩陣式（1）可以表示為單個粒子．若一個初始粒子群是由個單粒子組成，那么群體的規模為．

粒子群在進行搜索時，需要對每個粒子的適應度進行不斷的評價，同時對粒子個體與全局極值進行詳細記錄[9]．通常，FCM的目標評價函數可以應用于粒子適應度的評價中，并基于（，）進行優化，如式（2）所示．

粒子群算法在粒子位置更新與速度的計算上受到了認知（粒子最佳位置）、慣性（當前速度）和社會（群體最佳位置）的影響．若慣性權值值較大時，粒子跳出局部最小點的幾率越大，能夠提高全局搜索能力，反之則利于收斂，能夠提高局部搜索能力[10]．對進行了優化改進，在迭代的過程中，在初期較大，后期則逐漸變?。缡剑?）所示．

式中，表示當前次數；max表示算法最大迭代次數；0表示初始慣性權值．若0為0.9，max_為1000，進行迭代計算的進行，慣性權值會越來越小，直到取值接近于0，如圖2所示．

圖2 慣性權值w值在改進后的變化趨勢

圖3 PSO-FCM聚類算法的具體流程

基于PSO-FCM聚類算法最后的關鍵流程就是進行檢測算法，對各類中心距離與待檢測數據進行計算，通過計算結果來分析標記類中心與數據的一致性，從而對入侵行為進行判斷．最后設計了入侵檢測方法的具體流程，主要分為訓練模塊、檢測模塊、數據庫模塊和報警模塊．訓練模塊是聚類處理數據庫中導出的數據，再將聚類處理結果導入數據庫，同時在檢測模塊中導入對應的標類信息，將標類信息與讀取的數據集進行匹配，并在數據庫中寫入檢測信息．若入侵數據被匹配，就將信息傳遞給報警模塊并啟動處理程序．基于PSO-FCM計算機網絡入侵檢測算法的具體流程，如圖4所示．

該算法流程主要劃分為3個階段，一是訓練階段，對數據集進行聚類訓練；二是標類階段，通常聚類處理結果中類標識較少，對類的區別能力較差．通過標類的方法對類中的樣本量進行統計，從而識別異常類與正常類；三是檢測階段，測試樣本集中的記錄的最短距離是判斷類歸屬的依據，并判斷行為是否為入侵行為，如果是，則輸出報警信息．

圖4 基于PSO-FCM計算機網絡入侵檢測算法的具體流程

2 實驗設計與分析

本研究采用MATLAB對PSO-FCM智能算法的計算機網絡入侵檢測方法進行仿真測試．實驗環境如下：Intel Pentium Dual-core E5300 CPU，2.60GHz；2GB內存；Windows7操作系統，編程環境Matlab R2010b．測試數據集中選取了4組數據記錄作為實驗測試樣本集，1組與2組樣本數據中包括了正常記錄10000條，入侵行為樣本1000條；3組與4組測試樣本集中除了1、2組中的全部數據外，還增加了新的攻擊類型，用以對PSO-FCM算法以及未知類型入侵行為進行檢測．

在測試中引入檢測率（Detection Rate，DR）與誤檢率（False Rate，FR）指標，其中誤檢率為被誤檢查為攻擊樣本的例數與所有正常例數的比值，檢測率為被檢測為攻擊樣本的例數與全部攻擊例數的比值．一般指標檢測結果具有較低的FR與較高的DR．將實驗分為兩個部分，一是進行實驗對比操作以對實驗完整性進行提升，其過程主要是對最優聚類數目進行確定；二是對比PSO-FCM智能算法與常規FCM算法的誤檢率與檢測率．

設定最大迭代次數為1000，學習因子1、2的值均為1.49，慣性權重因子取值為0.9，模糊指數的值為2．首先，探討檢測結果受到初始聚類數目影響程度，在實驗中，觀測并改變參數的值，觀察值在不同取值的情況下，誤檢率與檢測率的變化趨勢．對樣本集進行實驗后，結果如圖5所示．

圖5 測試不同聚類c值下的結果

由圖5可以看出，當檢測率最高時，聚類數量值在[35,40]之間；當聚類數量值為40時，對應的誤檢率也隨之上升．因此，認為當聚類數量值為35時，能夠獲得最低誤檢率和較高檢測率．在下文的實驗中，將聚類數量值設定為35來進行．利用改進后的PSO-FCM算法優化的入侵檢測模型對通信行為訓練數據集和測試數據集的檢測結果如圖6所示．

由圖6可知，PSO-FCM智能優化算法對訓練數據與測試數據的檢測率分別為98.3%、97.33%．運行FCM算法與PSO-FCM智能算法，采用兩種算法分別測試數據樣本集，并對比運行后的檢測率，結果如圖7所示．

由圖7可以看出，基于FCM算法的未知攻擊檢測率均值低于65%，已知攻擊檢測率均值低于70%；同時，說明了FCM算法與PSO-FCM智能算法在檢測率上，已知攻擊均優于未知攻擊．在計算機網絡入侵檢測方法上，此次設計的基于PSO-FCM智能算法顯著優于傳統FCM算法．由于FCM算法與PSO算法在檢測與標類階段具有較好的相似性，僅具有訓練數據聚類效果的差異性．因此，優化后的PSO-FCM智能算法具有更好的聚類效果．對于誤檢率的對比，此次試驗在相同的樣本集上對比FCM算法與PSO-FCM智能算法的誤檢率，結果見表1．

圖6 PSO-FCM智能算法訓練數據與測試數據檢測結果

圖7 對比FCM算法與PSO-FCM智能算法檢測率

表1 對比FCM算法與PSO-FCM智能算法誤檢率 （%）

由表1可以看出，優化后的PSO-FCM智能算法入侵檢測誤檢率顯著優于FCM算法，證實了經PSO改進后的FCM聚類算法的有效性．對比圖7與表1中的數據，誤檢率與檢測率相對于同一算法而言，在不同數據集中，檢測率升高的同時，誤檢率也會隨之升高，此次實驗中的誤檢率均在可以接受的范圍內．此次研究還對入侵模型進行了多組優化方法測試驗證，以對比各種優化方法的作用．基于各優化方法的檢測模型尋優結果見表2．

表2 基于各優化方法的檢測模型尋優結果

由表2可以看出，不同的優化算法均有一定程度的檢測模型參數尋優效果，可以使通訊行為檢測率有效提升，但收斂速度始終存在著不同，PSO-FCM無論在檢測率上還是在檢測時間上均優于其他算法．綜上所述，在計算機網絡入侵檢測方法上，此次設計的基于PSO-FCM智能算法顯著優于傳統FCM算法．

3 結 論

在計算機信息網絡安全領域應用基于PSO-FCM智能算法來實現信息網絡的入侵檢測功能，建立基于PSO-FCM計算機網絡入侵檢測算法的具體方法流程，并應用Matlab對設計的方法進行了仿真分析．結果表明，在聚類數量值為35時，基于FCM算法的未知攻擊檢測率均值低于65%，已知攻擊檢測率均值低于70%，說明了FCM算法與PSO-FCM智能算法在檢測率上，已知攻擊均優于未知攻擊．優化后的PSO-FCM智能算法在已知與未知攻擊的檢測中均顯著優于FCM算法，同時入侵檢測誤檢率顯著優于FCM算法，證實了經PSO改進后的FCM聚類算法的有效性，且此次實驗中的誤檢率均在可以接受的范圍內．本次研究未充分考慮真實網絡環境中的數據采集與實時檢測，在今后的研究中，會更關注這方面的問題．

[1] 汪赫瑜，唐敏影，任建華．基于二次網格優化的粒子群模糊聚類算法[J]．計算機工程與科學，2019，41（02）：354-362．

[2] 李根．基于量子人工魚群和模糊核聚類算法的網絡入侵檢測模型研究[J]．軟件工程，2019，22（06）：33-37．

[3] 李兆峰．基于主成分分析和卷積神經網絡的入侵檢測方法研究[J]．現代信息科技，2019，3（10）：148-151．

[4] 夏景明，李沖，談玲，等．改進的隨機森林分類器網絡入侵檢測方法[J]．計算機工程與設計，2019，40（08）：2146-2150．

[5] 陳誠，劉振宇．基于PCA優化的PSO-FCM聚類算法[J]．計算機系統應用，2020，29（03）：213-217．

[6] 龐幫艷，張艷敏．基于粗糙集的公共網絡入侵檢測方法研究[J]．現代電子技術，2017，40（04）：28-31．

[7] 袁琴琴，呂林濤．基于改進蟻群算法與遺傳算法組合的網絡入侵檢測[J]．重慶郵電大學學報（自然科學版），2017，29（01）：84-89．

[8] 丁國強，趙國增，李傳鋒．改進BM算法策略的網絡入侵檢測系統設計[J]．計算機測量與控制，2011，19（11）：2661-2664．

[9] 王宇鋼．基于粒子群優化的模糊C均值聚類算法[J]．信息技術與網絡安全，2018，37（08）：36-39+44．

[10] 耿宗科，王長賓，張振國．基于模糊c-means與自適應粒子群優化的模糊聚類算法[J]．計算機科學，2016，43（08）：267-272．

Computer Network Intrusion Detection Method Based on PSO-FCM Intelligent Algorithm

QI Kun, WEI Kai

（）

The research introduces the computer network intrusion detection method based on PSO FCM intelligent algorithm, which mainly introduces PSO algorithm into fuzzy clustering (FCM) algorithm, and makes Matlab simulation analysis on the method. The results show that both FCM algorithm and PSO FCM intelligent algorithm are better than unknown attacks in detection rate. The optimized PSO-FCM intelligent algorithm has better error detection rate than FCM algorithm, and PSO FCM intelligent algorithm is significantly better than traditional FCM algorithm.

fuzzy clustering algorithm; particle swarm optimization; computer; detection; network intrusion

2020-09-23

齊坤，男，河南固始人，碩士，講師，研究方向：計算機網絡及信息安全.

TP391

A

1672-0318（2021）05-0003-06

10.13899/j.cnki.szptxb.2021.05.001

（責任編輯：王璐）