基于GSA 與DE 優化混合核ELM 的網絡異常檢測模型

生 龍，袁麗娜，武南南，姬少培

（1.河北工程大學信息與電氣工程學院，河北 邯鄲 056038；2.河北工程大學河北省安防信息感知與處理重點實驗室，河北 邯鄲 056038；3.天津大學 智能與計算學部，天津 300072；4.中國電子科技集團公司第三十研究所，成都 610041）

0 概述

隨著網絡技術的不斷發展，特別是Internet 的普及，網絡安全問題受到學者的廣泛關注。作為一種新的安全防御技術，入侵檢測系統（IDS）可以主動保護網絡系統免受非法外部攻擊。IDS 能夠通過檢測和響應各種惡意行為來提高系統的可靠性和安全性。文獻［1-2］介紹了網絡威脅的研究現狀，將IDS分為異常檢測系統和簽名檢測系統兩類。異常檢測系統在檢測未知攻擊方面表現更好，但是會產生很高的誤報率。簽名檢測系統依靠特定的攻擊特征來區分正常活動和惡意活動，但是這些系統的檢測效果受到檢測規則的直接影響。因此，提高入侵檢測系統的檢測精度和學習速度仍然是一項艱巨的任務［3］。

當前在入侵檢測（ID）領域已經有了大量研究。文獻［4］介紹一種有效的異常檢測方法，可以從網絡流量數據中提取準確的和可解釋的模糊規則進行分類。文獻［5］將主成分分析（PCA）法用于ID。文獻［6-7］介紹了K 最近鄰（KNN）方法在惡意攻擊檢測上的應用，該方法具備高精度和高檢測率的特點。文獻［8］介紹一種基于貝葉斯理論和決策樹的新型多級混合分類器，并將其用于IDS。文獻［9］提出一種具有自適應神經模糊推理特征的策略增強模糊模型，該模型以較高的檢測精度和較低的誤報率來應對與SOAP 相關的攻擊。文獻［10］提出一種用于自適應入侵檢測系統的實時多代理系統的方法（RTMAS-AIDS），該方法允許IDS 進行未知攻擊的實時檢測，并且應用混合支持向量機（SVM）和極限學習機（ELM）來對正常行為和已知攻擊進行分類。文獻［11］提出一種基于SVM 算法的入侵檢測模型，取得了很好的檢測效果。上述研究在檢測和報告惡意攻擊方面取得了較好的性能，但是在準確率及模型泛化性上仍有待提高。

現有研究旨在提供一種能夠準確有效進行網絡入侵檢測的方法，需針對特定的攻擊特征以高精度和快速的學習速度來區分正常活動和惡意活動。文獻［12］將粒子群優化（PSO）算法用于SVM-KNN 的參數優化，以構建具有更優準確性的分類器。文獻［13］提出一種基于差分進化（DE）的加權SVM 多類分類器。ELM［14］是進行入侵和攻擊檢測的常用方法。文獻［15］提出一種具有高斯核的自適應差分進化極限學習機，用于進行網絡入侵檢測。PSO 是一種啟發式優化方法，需要確定的參數較少，具有收斂速度快和局部優化能力強的優點。文獻［16-17］指出DE 算法也是一種啟發式優化方法，具有很強的全局優化能力與適應性強的優勢。但是PSO 和DE 算法都有其自身的缺點，即前者很容易陷入局部最優，而后者的局部優化能力相對較弱。

本文在上述研究的基礎上，將徑向基核函數（RBF）與多項式核函數相結合組成混合核函數，構建混合核函數ELM 模型（HKELM），同時將GSA、DE、KPCA 及HKELM 模型相結合，構建基于GSA 與DE 優化HKELM 的網絡入侵檢測模型KPCAGSADE-HKELM。

1 混合核函數ELM 模型

1.1 ELM 模型

極限學習機（ELM）最初針對單隱層前饋神經網絡進行訓練，具有學習速度快、泛化能力強的特點［18］。

可簡寫為：

其中：H為ELM 的隱含層輸出矩陣；Y∈RN×m為期望輸出向量；輸出矩陣β∈，為隱含層單元個數。

模型對參數ωi和bi進行隨機賦值，即可得出輸出矩陣：

其中：H?為H的廣義逆。

1.2 HKELM 模型

雖然ELM 模型具有較好的泛化性能，但是將模型應用于幾個未知的測試數據集時，ELM 模型的預測準確性可能會相對較低。2012 年，HUANG 等［19］為提高模型的泛化能力，將核參數I/C引入到HHT中，這一ELM 模型即核函數極限學習機（KELM）。KELM 的輸出函數如下：

其中：常數C是懲罰參數；I是單位矩陣。

KELM 核函數的定義如下：

核函數的選擇會極大地影響KELM 模型的性能。因此，為KELM 模型找到合適的核函數具有重要意義。多項式核函數是典型的全局核函數，其對應的KELM 模型具有較強的泛化能力和較弱的學習能力［20-21］。徑向基核函數RBF 是典型的局部核函數，這意味著相應的KELM 模型具有很強的學習能力和弱泛化能力［20-21］。多項式核函數的泛化能力優于RBF 核功能，而學習能力較差。因此，為了提高KELM 的通用性和學習能力，本文將兩個核函數相結合組建新的混合核函數作為KELM 的核函數，此時的KELM 模型即為混合核函數ELM（HKELM）模型。混合核函數的計算公式如下：

其中：常數ω是混合核函數的權重系數，ω∈[0，1]；Kpoly(x，xi)=(x·xi+b)p代表多項式核函數，b和p分別為常數和多項式核函數的指數參數；KRBF(x，xi)=代表徑向基核函數，σ是徑向基核函數的指數參數。

2 結合GSA 的差分進化算法

2.1 引力搜索算法

引力搜索算法（Gravitational Search Algorithm，GSA）是ESMAT 提出的一種群智能優化算法，其以萬有引力與牛頓第二定律為基礎［22］。

GSA 中第i個粒子的質量Mi(t)的計算公式如下：

其中：N為粒子的總數；fiti(t)為第i個粒子在t次迭代的適應度；best(t)和worst(t)分別為迭代時所有粒子最好和最差的適應度；mi(t)計算粒子的質量，為第i個粒子相對于迭代中最好和最差適應度的比值［22］，具體如下：

其中：Rij(t)為粒子間的歐氏距離；ε是保證分母不為0 的常量；是第t次迭代時第i個粒子在第d維的位置。

隨著迭代次數的增加，引力常數G(t)的值逐漸減小，表示為：

其中：G0為初始引力；T為最大迭代次數；α為衰減系數。

算法的最優解為反復迭代直至滿足終止條件后粒子的位置。

2.2 差分進化算法

差分進化（Differential Evolution，DE）算法是一種基于種群進化的智能優化算法［23］。

假設進化代數T，種群規模NP，解空間維度D，第T代的種群個體vi，T=(xi1，T，xi2，T，…，xiD，T)。標準DE 算法步驟如下：

步驟1初始化種群。一般采用隨機初始化種群策略。

步驟2變異操作。變異操作是DE 算法的核心內容，常用的變異策略為：

其中：Vi，T為第i個變異個體；xi，T為第i個父代個體；xr1，T和xr2，T是父代中2 個互不相同且不同于xi，T的個體；F為變異率。

步驟3交叉操作。交叉操作能增加種群多樣性，其表達式為：

其中：Uij，T+1為實驗個體；Cr為交叉率；rj為在［0，1］區間的隨機數；jrand∈[1，2，…，D]為隨機選擇的一個整數。

步驟4選擇操作。選擇操作通過比較父代個體和子代個體的目標函數值來選擇更優的個體，其表達式為：

其中：f(·)為適應度值。

計算公式如下：

其中：yi和分別是實際結果和預測結果。

2.3 差分進化算法

DE 算法的全局優化能力很強，可以利用差分信息準確地找到搜索空間的全局最優值，然而其局部優化能力相對較弱［24］。GSA 的局部優化能力較強，而其全局優化能力相對較弱。因此，本文將GSA 和DE 算法相結合，提出結合GSA 的差分進化算法（GSADE）。

GSADE 算法流程如圖1 所示。

圖1 GSADE 算法流程Fig.1 Procedure of GSADE algorithm

GSADE 算法的運行步驟如下：

步驟1初始化種群粒子個數N以及粒子的初始速度與位置。初始化GSADE 的參數，包括衰減系數α、初始引力常數G0等。設置算法最大迭代次數為itermax，當前迭代次數為t。

步驟2根據式（20）計算適應度值。

步驟3如果迭代次數t為奇數，則運行步驟4；否則跳轉到步驟5。

步驟4運行GSA 算法：

1）根據式（12）計算引力常數G；

2）對于求解最小問題，根據式（10）計算最佳和最差適應度值best(t)和worst(t)；

3）根據式（13）計算第i個粒子受到的合力；根據式（14）計算該粒子的加速度；根據式（8）計算該粒子的慣性質量Mi(t)；

4）根據式（15）、式（16）更新第i個粒子的速度和位置；

5）如果i≤N，則返回步驟3）；否則跳轉到步驟6。

步驟5運行DE 算法：

1）根據式（17）生成變異向量Vi，T；

2）根據式（18）生成實驗個體Uij，T+1；

3）如果fiti(Uij，T+1)≤fiti(xi，T)，則運行步驟4）；否則跳轉到步驟1）；

4）如果i≤N，則返回步驟1）；否則，轉到步驟6。

步驟6根據粒子的新適應度值進行參數更新。

步驟7如果t≤itermax，則返回步驟3；否則，轉到步驟8。

步驟8輸出更新結果作為最優參數。

3 核主成分分析

主成分分析（PCA）是一種用于特征提取和降維的經典方法［25］。KPCA 由SCHOLKOPF 等［26］提出，是對PCA 的改進，可以有效地處理非線性問題。

使用非線性映射函數φ，KPCA 將非線性訓練樣本X=[X1，X2，…，XN]T∈Rn×d映射到高維特征空間Γ：

通過使用簡單的非線性映射函數φ，輸入空間中不可分割的數據在高維特征空間Γ中變得可分離，然后利用PCA 方法提取Γ中的特征，實現了非線性訓練樣本的特征提取。

4 基于GSA 與DE 優化混合核ELM 的網絡入侵檢測模型

本文基于上述研究，提出一種新型的網絡入侵檢測模型——基于GSA 與DE 優化混合核ELM 的網絡入侵檢測模型（KPCA-GSADE-HKELM）。該模型的具體步驟如下：

步驟1輸入數據集及KPCA-GSADE-HKELM模型的初始參數。

步驟2使用KPCA 方法對輸入數據集進行降維和特征提取。

步驟3運用預處理的訓練數據集訓練HKELM模型；使用GSADE算法優化HKELM 的模型參數，當迭代次數達到最大值itermax時，優化過程停止，獲得最佳參數。

步驟4使用測試數據集評估獲得的最佳HKELM 模型的性能。

步驟5輸出模型檢測結果的評估指標。

基于KPCA-GSADE-HKELM 模型的網絡入侵檢測流程如圖2 所示。

圖2 基于KPCA-GSADE-HKELM 模型的網絡入侵檢測流程Fig.2 Network intrusion detection procedure based on KPCA-GSADE-HKELM model

5 仿真實驗

5.1 實驗數據

本文在實驗中選擇KDD99 數據集進行仿真實驗。KDD99 數據集中共包含23 種攻擊類型，可以分為四大攻擊類別：DoS，PRB，U2R 和R2L［27］。由于利用KDD99 完整的數據集在進行機器學習算法訓練時很復雜，因此大多數研究人員都使用了KDD99 數據集10%子集作為實驗數據。表1 給出了數據集的詳細信息，其中訓練數據集和兩個測試數據集分別表示為T0、T1 和T2。訓練數據集T0 與測試數據集T1 一起用來驗證GSADE-HKELM 和 KPCAGSADE-HKELM 模型的有效性。此外，本文還利用測試數據集T2 進行KPCA-GSADE-HKELM 模型與其他研究模型的性能比較。

表1 KDD99 數據集詳細信息Table 1 Details of KDD99 dataset

5.2 實驗結果評價指標

為了評估KPCA-GSADE-HKELM 算法的性能，本文利用python 進行仿真實驗分析，采用精準率（Precision）、召回率（Recall）和F-score 值作為每類攻擊的評估指標；采用準確率（Accuracy，Acc）、平均準確率（Mean accuracy，MAcc）、平均F-score（Mean Fscore，MF）和假正例率（False Normal Rate，FNR）作為數據集整體的評估指標。表2 為評估指標的詳細解釋。在數據集中的網絡連接可以分為正常（標記為0）、攻擊（標記為1，2，…，c?1）兩大類，其中c表示網絡連接的類別數。

表2 評估指標詳細解釋Table 2 Detailed explanation of evaluation indicators

5.3 實驗結果分析對比

在實驗中，本文利用訓練數據集T0 和測試數據集T1 進 行GSADE-HKELM 與DE-HKELM、GSAHKELM 模型的性能對比，以及KPCA-GSADEHKELM 模型與GSADE-HKELM 模型的性能對比；最后在數據集T2 上，將KPCA-GSADE-HKELM 方法與其他檢測方法分別進行入侵檢測。

5.3.1 DE_KELM、GSA_KELM 與GSADE-HKELM模型的對比

由于在對HKELM 進行訓練時，通過人工經驗很難快速、準確地找到最佳參數值。為此，本文引入了群智能優化算法GSADE，以自適應的方式獲得最佳參數值。同時，為驗證其效果，將DE-KELM、GSA-ELM 與GSADE-HKELM 模型進行比較。在實驗中，DEHKELM 與GSADE-HKELM 中DE 算法的參數設置保持一致，其中種群設置大小NDE設置為20，最大迭代次數itermax設置為100；式（17）中參數F設置為0.8，式（18）中交叉率Cr設置為0.2；GSA-KELM 與GSADEHKELM 中GSA 算法的參數設置保持一致，其中種群大小NGSA設置為20，最大迭代次數itermax設置為100，式（11）中的常數ε設置為2–40，式（12）中的初始重力常數G0設置為250，衰減系數α設置為15。

表3和圖3給出了由DE-HKELM、GSA-HKELM和GSADE-HKELM 模型獲得的每個類別詳細的F-score值。從中可以看出，通過GSADE-HKELM 獲得的每個類別的F-score值均高于其他兩種方法，尤其是在U2R類數據上。而且，由DE-HKELM 獲得的平均F-score值為92.23%，GSA-HKELM 的平均F-score值為93.21%，GSADE-HKELM 的平均F-score值為94.44%。與DEHKELM 和GSA-HKELM 相比，GSADE-HKELM 的平均F-score 值分別提高了約2.11 個百分點和1.23 個百分點。

表3 DE-HKELM、GSA-HKELM 和GSADE-HKELM在T1 上獲得的每個類別數據的F-score 值Table 3 The F-score value of each category data obtained on T1 by DE-HKELM，GSA-HKELM and GSADE-HKELM %

圖3 DE-HKELM、GSA-HKELM 和GSADE-HKELM 的F-score 值和平均F-score 值Fig.3 F-score value and average F-score value of DEHKELM，GSA-HKELM and GSADE-HKELM

表4 給出了 DE-HKELM、GSA-HKELM 和GSADE-HKELM 3 種模型在數據集T1 上各種總體評估指標值。GSADE-HKELM 的Acc、MAcc、MF 均明顯高于DE-HKELM 和GSA-HKELM，而GSADEHKELM 的FNR 值明顯低于其他兩種方法。結果表明，混合優化算法GSADE 在確定最佳參數以提高HKELM 性能方面明顯優于單DE 和GSA 優化HKELM 模型，將GSA 與DE 算法結合起來進行HKELM 模型的優化時充分發揮了兩個算法的優勢，克服了兩者自身存在的缺陷。

表4 DE-HKELM、GSA-HKELM 和GSADE-HKELM在T1 上的各評估指標Table 4 Various evaluation indicators of DE-HKELM，GSA-HKELM and GSADE-HKELM on T1 %

5.3.2 GSADE-HKELM 與KPCA-GSADE-HKELM的對比

KPCA 算法的引入可以減少不重要的特征對分類結果和計算效率的影響。表5 顯示了GSADEHKELM 和KPCA-GSADE-HKELM 在數據集T1 的各種評估指標值。在表5 中，KPCA-GSADEHKELM 的Acc、MAcc、MF 值分別為97.11%、96.08%和94.88%，分別高于GSADE-HKELM 的97.01%、96% 和94.58%。KPCA-GSADE-HKELM 的FNR 為4.15%，與GSADE-HKELM 的4.54% 相比，降低了8.59 個百分點。此外，GSADE-HKELM 的運行時間為0.037 391 s，KPCA-GSADE-HKELM 的 運行時間為0.016 379 s，與GSADEHKELM 相比，KPCAGSADE-HKELM 在時間上降低了56.19%，這表明本文所提出的KPCA-GSADE-HKELM 方法具有更高的計算效率，利用KPCA 首先進行數據集的降維，然后通過GSADE-HKELM 方法進行異常檢測時具有更好的檢測效果和更高的檢測效率。

表5 GSADE-HKELM 和KPCA-GSADE-HKELM 在數據集T1 上的評估指標值Table 5 Various evaluation index values of GSADEHKELM and KPCA-GSADE-HKELM on T1

5.3.3 KPCA-GSADE-HKELM 與其他模型的對比

對于本文提出的KPCA-GSADE-HKELM 模型，下面在測試數據集T2上將其與KDDwinner［28］、CSVAC［29］、CPSO-SVM［30］、Dendron［3］分別進行測試，結果如表6 所示。從表6可以看出，與其他模型相比，KPCA-GSADEHKELM 模型在DoS 和U2R 攻擊數據上具有更高的分類精度。KPCA-GSADE-HKELM 模型檢測結果的評估指標Acc、MAcc和MF 的值分別為98.53%、94.91%和86.74%。KPCA-GSADE-HKELM、KDDwinner、CSVAC、CPSO-SVM、Dendron 模型的MF 值分別為86.74%、59.70%、66.53%、73.42%、84.12%；與KDDwinner、CSVAC、CPSO-SVM 和Dendron 相比，KPCA-GSADEHKELM 模型檢測結果的MF 值分別提高了約27.04、20.21、13.32 和2.62 個百分點。這充分說明KPCAGSADE-HKELM 模型在KDD99 數據集上具有更好的性能。

表6 KPCA-GSADE-HKELM 與其他模型在T2 上的檢測結果Table 6 Test results of KPCA-GSADE-HKELM and other models on T2 %

6 結束語

本文提出一種基于GSA 與DE 優化混合核ELM的網絡入侵檢測模型KPCA-GSADE-HKELM。該模型利用能夠反映網絡流量模式的KDD99 數據集進行模型評估，并將兩個核函數相結合構建新的混合核函數HKELM 模型，以提高KELM 的通用性和學習能力。實驗結果表明，與KDDwinner、CSVAC、CPSO-SVM、Dendron 等模型相比，KPCA-GSADEHKELM 模型具有更好的檢測性能和更高的檢測效率。下一步通過將特征嵌入技術與深度學習技術相結合進行網絡異常入侵檢測［31］，并利用KDD99 數據集及網絡流量數據集UNSW-NB15 進行實驗，進一步提高網絡入侵攻擊的檢測率。