基于麻雀搜索算法和改進粒子群優化算法的網絡入侵檢測算法

高 兵，鄭 雅，秦 靜，鄒啟杰，汪祖民*

（1.大連大學信息工程學院，遼寧大連 116622；2.大連大學軟件工程學院，遼寧大連 116622）

0 引言

近年來，隨著網絡安全意識的不斷提高，網絡入侵檢測也受到了前所未有的重視。網絡入侵檢測通過對網絡流量進行識別分類，及時發現異常流量并迅速作出決策。目前存在的兩大難題分別為識別分類中對異常流量檢測精度和檢測效率的問題。基于機器學習的網絡流量分類技術是通過網絡流量的統計特征對其進行分類，而不是利用端口號和特征碼，從而具有較高的檢測精度和效率，因此有廣闊的應用前景。

基于機器學習的網絡流量分類根據不同的應用場景可以分為有監督分類和無監督分類。有監督分類是通過學習樣本類別已知的數據集來構建分類模型，可以實現對已知的流量類型的高準確率檢測。有監督分類的代表性方法有分類特征和梯度提升（Categorical features+gradient Boosting，CatBoost）算法、支持向量機（Support Vector Machine，SVM）、

K

-近鄰（

K

-Nearest Neighbor，

K

NN）、決策樹等。

本文提出基于麻雀搜索算法（Sparrow Search Algorithm，SSA）和改進粒子群優化（Sparrow Search Algorithm-Particle Swarm Optimization，SSAPSO）的網絡入侵檢測算法，對已證明的輕量級梯度提升機（Light Gradient Boosting Machine，LightGBM）進行參數尋優建立網絡入侵檢測算法。

本文的主要工作為：

1）提出了融合麻雀搜索算法的改進粒子群優化算法（SSAPSO），在大范圍搜索過程中保證尋優精度的同時提高收斂速度；

2）設計了基于輕量級分類算法LightGBM 的網絡入侵檢測算法，利用SSAPSO 對LightGBM 算法進行參數尋優，達到了更高的檢測精度。

1 相關工作

智能優化算法在參數尋優等領域取得了良好的效果。文獻［3］將遺傳算法和粒子群優化（Particle Swarm Optimization，PSO）算法相結合，在屬性特征權重中更好地對數據集中案例的相似度尋優，但對于動態數據集的尋優精度還未證實；文獻［4］提出一種改進的果蠅算法優化加權極限學習機入侵檢測算法，利用果蠅算法迭代步長自適應來優化加權極限學習機隱含層輸入權值和偏置，以避免算法陷入局部最優；文獻［5］使用基本的PSO 算法優化極限學習機的輸入權重與隱含層偏置參數并建立分類模型，提高了入侵檢測的準確率，但沒有考慮實時性問題；文獻［6］使用堆疊稀疏自編碼器對數據集進行特征降維，將降維后的數據使用LightGBM 算法進行訓練，在提高了分類的精度的同時提高了檢測效率；文獻［7］中使用混沌映射和細菌覓食算法對引力搜索算法進行改進，再用改進后的引力搜索算法對SVM分類器的參數進行尋優；文獻［8］提出一種融合PSO 算法的二進制飛蛾撲火優化算法，在增強局部搜索能力的同時避免陷入局部最優；文獻［9］利用自適應PSO 算法優化SVM 參數，提高SVM 的分類性能；文獻［10］將SVM 分類器的輸出輸入到另一個SVM 中訓練最終的檢測模型，得到一個雙層的SVM 集成入侵檢測模型。然而，SVM 等算法難以對入侵行為作出快速反應。其次，監督學習算法網絡有大量參數難以整定，影響模型的檢測精度；文獻［11］將極端梯度提升（eXtreme Gradient Boosting，XGBoost）算法與改進PSO 算法相結合進行參數尋優，解決連續多變量優化問題；文獻［12］采用PSO 算法優化XGBoost 對新冠肺炎的圖像進行分類，準確率有所提升。但是，當數據量較大時，XGBoost 的復雜度較高，在空間和時間上的開銷都比較大。

針對網絡入侵檢測的數據量大因而計算開銷大且檢測精度不高的問題，本文基于輕量級分類算法LightGBM 建立網絡入侵檢測模型。為了快速整定參數，使模型具備自適應訓練的能力并獲得更好的檢測效果，本文將SSA 的大范圍快速收斂特征與PSO 算法結合，使粒子群中的個體粒子向最優方向加快搜索，利用SSAPSO 對LightGBM 算法的參數尋優，得到最優網絡入侵檢測算法。

2 融合SSA的PSO算法

2.1 基本粒子群優化算法

PSO 算法是受鳥群覓食行為啟發，具備全局迭代尋優能力的一種群智能優化算法。PSO 算法具有結構簡單、魯棒性好的優點，常被用于求解最優解的問題。

在一個多維空間中，PSO算法賦予種群

S

內每粒子

x

在每一維度上一個值，每個粒子都具有速度屬性使其自身在不同維度上的值朝著更優方向進行更新。在迭代過程中，算法記錄個體和群體的最優值作為每個個體的更新方向，算法流程如下：

步驟1 初始化粒子種群的各參數，將位置屬性和速度屬性賦予種群內的每一個粒子。

步驟2 通過適應度函數

F

獲得每個粒子的適應度值，并通過比較適應度值大小獲得全局最優值和個體最優值。

步驟3 通過全局最優值更新種群內各個粒子的速度和位置，分別用式（1）～（2）表示：

其中：

ω

為慣性權重，用來調節算法的局部搜索能力和全局搜索能力；

v

為粒子

i

在

d

維上的速度；

x

為粒子

i

在

d

維上的位置；

c

和

c

為加速因子，取值通常為2；

r

和

r

為[0，1]的隨機數；

p

、

p

分別表示第

i

個變量在

d

維的個體最優值和全局最優值；

v

為粒子

i

在

d

+1維由以上變量更新后的速度；

x

為粒子

i

在

d

+1維由歷史位置

x

和速度

v

更新位置。

2.2 基本SSA

SSA 是由Xue 等通過麻雀的覓食行為提出的一種啟發式群優化算法，與傳統的優化算法相比可以更快地收斂。麻雀在覓食的過程中，作為探索者的麻雀為種群提供搜索方向和區域，作為追隨者的麻雀通過探索者的指引進行搜索，警戒者麻雀依靠反捕食策略避免種群陷入局部最優。

在迭代搜索的過程中，探索者的位置更新表達式如式（3）所示：

當預警值

r

小于安全值

ST

時，搜索者進行大范圍跳躍式搜索；當預警值

r

大于等于安全值

ST

時，搜索者移動到其他位置進行搜索。

追隨者的位置更新公式如式（4）所示：

2.3 SSAPSO

針對PSO 算法中大范圍搜索過程中局部搜索能力和搜索精度不夠高的問題，引入基本SSA。因為探索者麻雀相較其他算法搜索范圍更大，并且可以快速更新其位置，可以將發現者的能力賦予部分粒子群優化算法以引導整個種群，達到快速收斂的目標。算法改進的具體流程如下。

步驟1 根據比例系數

a

確定種群內獲得具有探索者麻雀能力的粒子比例。

其中：|

X

|為種群中位置最好的

PN

只麻雀，作為探索者粒子；|

X

|為種群中位置較差的

N-PN

只麻雀，作為跟隨者粒子。步驟2 大范圍搜索的環境下，設成為探索者的粒子的預警值

r

恒小于安全值

ST

，此時探索者粒子進行大范圍跳躍式搜索，根據式（6）來更新探索者粒子的能力。

步驟3 其他粒子作為跟隨者仍按照正常的速度由探索者粒子引導。根據探索者粒子能力的變化，生成影響因子

rr

，如式（7）所示，改變粒子過去位置和速度對現在的影響。

由式（8）～（9）更新跟隨者粒子的速度和位置。

通過在PSO 算法中引入SSA，解決基本PSO 算法容易陷入局部最優、后期尋優的收斂速度慢和精度低等問題，SSAPSO 利用麻雀大范圍快速搜索能力，提升粒子群收斂速度，提高算法的性能。

3 基于SSAPSO的LightGBM入侵檢測算法

3.1 基本LightGBM算法

LightGBM 是在梯度提升決策樹（Gradient Boosting Decision Tree，GBDT）算法框架下的一種改進實現，是一種基于Histogram 決策樹算法的快速、分布式、高性能的GBDT框架。在2016 年由微軟提出，憑借更快的訓練速度和更低的計算資源消耗的優點被廣泛應用。同其他提升算法一樣，該算法將多個弱分類器提升為具有強分類效果的強分類器，可用于網絡入侵檢測中的異常流量檢測。

目標函數

h

（

x

）如式（10）所示：

其中：

L

為損失函數，Ω 為正則項，

y

為預測值。模型通過損失函數和正則項來控制模型的精度和復雜度。模型通過負梯度來擬合損失，目標函數通過泰勒展開式可以獲得，如式（11）所示：

其中

C

為常數項。將目標函數簡化后可以獲得式（12）：

傳統的教學注重知識的灌輸，教學形式單一，教學內容枯燥乏味，學生在學習中極易形成疲勞和厭煩感，不利于學生學習成績的提高。小學數學教師可以把多媒體教學引入數學課堂上，利用其鮮明的色彩即視感以及生動形象的視聽效果，使數學課堂充滿新鮮感和趣味性，這樣，可以有效地激發學生的學習興趣，使得學生興致十足地投入到數學學習中去，從而提高小學數學的教學效果。

3.2 SSAPSO-LightGBM入侵檢測算法

在網絡入侵檢測模型訓練過程中，LightGBM 算法相較于GBDT 算法有著較快的訓練速度并且尋優精度更高，以及高效的并行計算速度。然而，由于計算復雜度過高等問題，會出現決策樹加深現象，從而產生過擬合。

另外，由于LightGBM 算法最優切分變量，在模型參數尋找最優解的過程中，無法適應大范圍快速參數尋優場景。針對以上問題提出SSAPSO-LightGBM 算法。SSAPSOLightGBM 算法首先對網絡入侵數據集進行預處理，將源文件轉換成數字標識的函數。用預處理后的測試集檢測SSAPSO，將該數據集上的檢測精度作為適應度值返回。模型流程如圖1 所示。

圖1 SSAPSO-LightGBM算法模型Fig.1 SSAPSO-LightTGBM algorithm model

然后利用SSAPSO 大范圍快速搜索能力，對LightGBM 中難以整定的參數進行快速尋優，使PSO 算法在保證尋優精度的同時快速收斂，并得到最優的網絡入侵檢測算法。最后，通過測試集對得到的最優網絡入侵檢測算法進行測試。

LightGBM 算法中包含很多參數，參數的不同取值對分類的結果都會造成一定的影響。使用SSAPSO 對LightGBM的參數進行尋優，以獲得更好的檢測精度和檢測速度。設定需要被尋優的參數如表1 所示。

表1 LightGBM尋優參數Tab 1 LightGBM optimization parameter

其中：max_depth 參數用來限制樹的深度，min_data_in_leaf 參數用來處理leaf_wise 樹的過擬合問題，通過設置feature_fraction 參數來使用特征采樣加快訓練速度。

SSAPSO-LightGBM 算法主要分為四個步驟：

步驟1 數據預處理。

將入侵檢測數據集進行歸一化等數據預處理，劃分為訓練數據集、適應度測試數據集以及測試數據集。訓練集包括了22 種類型的入侵攻擊，測試集中則出現了17 種訓練集中沒有的入侵攻擊。

2）標準化處理。計算公式如式（13）所示：

其中：

x

表示特征值；

μ

為所有樣本數據的均值；

λ

為所有樣本數據的標準差；

x

表示每個數據樣本該維特征標準化后的結果。

3）歸一化處理。計算公式如式（14）所示：

步驟2 將訓練集代入LightGBM 算法中，初始化算法參數建立入侵檢測模型。令

c

=

c

=2，

ω

=0.9，空間維度

dim

=30，解空間范圍為[-10，10]。

步驟3 通過SSAPSO，使用適應度測試數據集來進行檢測，將該數據集上的檢測準確率作為適應度值返回。根據適應度值不斷迭代最優個體和當前的全局最優解，判斷是否達到終止條件：若達到，得到最優參數；否則對粒子的速度和位置進行更新，逐步迭代建立最優檢測模型。

步驟4 利用訓練集數據訓練LightGBM分類器，將測試集數據在最優檢測模型上進行測試，對模型分類效果進行驗證，并調整分類器參數，以達到最優意義下的各項參數，輸出測試結果。

4 實驗與結果分析

4.1 入侵檢測數據集及環境

4.1.1 入侵檢測數據集

為驗證模型的檢測效果，本文選擇經典的入侵檢測數據集KDDCUP99進行實驗，訓練集和測試集信息如表2 所示。該數據集具有41 維特征，分為四種攻擊類型及一種正常類型，分別為拒絕服務（Denial of Service，DoS）攻擊、未授權遠程訪問（Remote-to-Login，R2L）攻擊、未授權本地訪問（User-to-Root，U2R）攻擊及監聽（Probeing，PROBE）攻擊，以及一種正常流量（Normal）。攻擊類型詳細描述如下：

1）DoS 攻擊：攻擊者占用處理有效請求所需的計算資源或內存資源，使得系統無法應答正常的用戶請求。

2）R2L 攻擊：攻擊者遠程非授權接入系統，使用有效用戶賬戶。

3）U2R 攻擊：攻擊者遠程接入網絡，并非法獲得超級用戶權限，使用有效用戶賬戶。

4）PROBE 攻擊：攻擊者試圖獲得計算機網絡相關信息。

表2 給出了KDDCUP99 數據集的詳細信息。本文隨機抽取了5 000 條數據進行實驗，其中3 500 條為訓練集，1 500 條為測試集。

表2 KDDCUP99的訓練集和測試集信息Tab 2 Information in KDDCUP99 training and test dataset

4.1.2 實驗環境

實驗硬件環境采用Intel Core i7-7600 CPU+GeForce GTX 1060+16 GB 內存；軟件環境使用Anaconda3-5.3.1+Python 3.6.1。

4.2 實驗結果分析

4.2.1 SSAPSO的性能測試

為驗證SSAPSO 的優化性能，本文使用Step 函數、Sphere函數、Schwefel2.22 函數和Rastrigin 函數等單多峰值函數測試SSAPSO 性能。其中Step 函數、Sphere 函數、Schwefel2.22函數為單峰值函數，適合檢驗改進算法在大范圍搜索環境下的收斂速度；Rastrigin 函數作為多峰值函數，適合檢驗算法的尋優精度。表3 給出了4 個函數的函數表達式及其變量的取值范圍、維數和最優值等變量。

表3 測試函數變量Tab 3 Test function variable

將SSAPSO 與基本的PSO 算法分別在Step 函數、Sphere函數、Schwefel2.22 函數、Rastrigin 函數等單多峰值函數上進行比較，通過互不干擾的500 次迭代，尋優結果如圖2 所示。

如圖2（a）、（b）所示，在Step函數、Sphere函數上，SSAPSO 的收斂速度明顯優于基本的PSO 算法且都找到最優值；如圖2（c）所示，在Schwefel2.22 函數上，SSAPSO 可以跳出局部最優，并能快速收斂，基礎的PSO 算法在50 次左右收斂，但SSAPSO 的收斂速度明顯更快；如圖2（d）所示，在Rastrigin 函數上，SSAPSO 在500 次迭代中快速收斂，而PSO算法明顯在500 次迭代中沒有達到最優。因此SSAPSO 在收斂速度和精度上相較于基本PSO 算法的性能更優越。

圖2 SSAPSO與PSO優化效果對比Fig.2 Comparison of optimization effect between SSAPSO and PSO

4.2.2 SSAPSO優化LightGBM效果展示

在對LightGBM 參數優化過程中，將基本PSO 算法和SSAPSO 作對比。通過50 次迭代，判斷PSO 算法和SSAPSO優化LightGBM 算法的收斂速度和準確率，結果如圖3 所示。

圖3 PSO和SSAPSO收斂速度和準確率對比Fig.3 Comparison of convergence speed and accuracy between PSO and SSAPSO

由圖3 可知，在收斂速度上，SSAPSO 在20 次左右完成收斂，計算開銷為0.525 s，相較于PSO 算法，SSAPSO 的收斂速度更快且尋優精度更高，準確率達到99.67%。因此，在對LightGBM 的參數尋優這一應用過程中，改進的SSAPSO 優于基本PSO 算法。

4.2.3 SSAPSO優化LightGBM檢測準確率展示

在本文實驗中，根據模型檢測樣本類別和樣本實際類別進行計算，采用準確率（Accuracy，Acc）、召回率（Recall）、精確率（Precision，Pre）和F1 指數（F1_score）作為檢測各類攻擊效果的評價指標。各指標的計算公式分別如下：

其中：

TP、TN、FP、FN

中第一個字母表示分類器識別結果是否正確，正確用True 的首字母T 表示，錯誤用False 的首字母F 表示；第二個字母表示分類器的判定結果；P 表示分類器判定為正樣本（Positive Sample），N 表示分類器判定為負樣本（Negative Sample），在這里攻擊類樣本是正樣本，正常樣本為負樣本。

TP

（True-Positive）表示分類器對攻擊類樣本識別正確的個數，

TN

（True-Negative）表示分類器對正常樣本識別正確的個數，

FN

（False-Negative）表示分類器將攻擊類樣本檢測為正常樣本的個數，

FP

（False-Positive）表示分類器將正常樣本檢測為攻擊類樣本的個數。

表4 給出了多個分類算法使用KDDCUP99 數據集的運行結果。由表4 可知，SSAPSO-LightGBM 算法的準確率、召回率、精確率和F1 指數都高于其他三種分類算法。SSAPSOLightGBM 算法對比CatBoost 算法得出的準確率、召回率、精確率和F1 指數分別提升了15.12%、3.25%、21.26% 和12.25%，召回率高則漏報率低。由此可見，SSAPSOLightGBM 算法對于攻擊樣本具有更好的特征表達，能更準確地對特征進行分類，從而有利于對入侵檢測更高效、更準確地進行判別。

表4 分類算法檢測準確率 單位：%Tab 4 Classification algorithm detection accuracy unit：%

然后，對本文研究測試數據集中的5 類數據（一種正常，四種異常），采用SSAPSO-LightGBM 算法、基本LightGBM 算法、CatBoost 算法和

K

NN 算法進行網絡入侵檢測對比，檢測結果如表5 所示。由表5 可知，SSAPSO-LightGBM 算法對Normal 檢測準確率高達99.60%，對R2L 的準確率高達98.40%，對U2R 的準確率高達97.00%，對PROBE 的準確率高達96.00%。SSAPSO-LightGBM 算法對數據集中Normal、R2L、U2R、PROBE的檢測準確率相較于LightGBM算法分別提升了0.61%、3.14%、4.24%、1.04%和5.03%。但在對DoS的檢測中，SSAPSO-LightGBM算法的檢測精度略低于CatBoost算法，但也高達98.4%。CatBoost在各類型準確率的表現上與LightGBM相近，但在實際的應用中，LightGBM算法的輕量化已經得到證明。因此，與其他算法相比，SSAPSO-LightGBM更加適合入侵檢測。

表5 分類算法的網絡入侵檢測準確率對比 單位：%Tab 5 Comparison of network intrusion detection accuracy among classification algorithms unit：%

5 結語

針對網絡入侵檢測中LightGBM 算法訓練模型難以快速整定參數的問題，本文使用SSA 中的大范圍快速搜索能力對PSO 算法進行改進，并使用SSAPSO 對LightGBM 算法參數進行尋優，建立SSAPSO-LightGBM。通過對比，SSAPSOLightGBM 檢測精度高于其他算法，且其輕量化的特點適合對入侵檢測進行分類應用。未來的研究中，可以使用深度學習的相關算法進一步挖掘數據關系，建立更加智能化的模型。