基于IHGS-SVM算法的網絡入侵檢測方法

高 倩

(河南警察學院 網絡安全系,鄭州 450046)

近年來,網絡安全引發了人們的高度關注。網絡入侵檢測系統在出現外部網絡入侵時,可以第一時間攔截并提醒用戶。因此,怎樣提升網絡入侵檢測系統的防護效率一直是網絡安全領域的重點[1-2]。

目前,互聯網入侵檢測算法繁多,具有代表性的包括模式匹配算法、博伊爾-摩爾算法、快速搜索算法等。上述算法只能識別出單類型的網絡入侵行為,已經無法適應目前網絡安全檢測的需要[2]。近幾年,隨著網絡技術的更新,出現了馬爾可夫、支持向量機(Support Vector Machine,SVM)、人工神經網絡(Artificial Neural Networks,ANN)等入侵檢測算法。其中,SVM算法對比ANN等算法有著更強的參數擬合能力[3]。對于維度高、信息少的網絡入侵行為,具有很好的檢測效果[4-6]。許多研究結果顯示,SVM算法的檢測效果與其算法中參數(懲罰因子C和核函數等)緊密相關。因此,為了得到更好的SVM參數,許多研究人員提出采用遺傳算法(Genetic Algorithm,GA)、蟻群算法(Ant Colony Optimization,ACO)、粒子群算法等智能算法去尋找SVM的最佳參數值,提升其入侵檢測效率[7-8]。

但是,上述方法對網絡入侵攻擊的辨別效率低、精確度不高。為解決這些問題,本文提出了一種融合改進的饑餓游戲搜索算法(Improved Hunger Games Search, IHGS)和SVM的網絡入侵檢測新方法。首先利用混沌初始化和動態進化策略對饑餓搜索算法進行改進,然后將改進后的算法與SVM算法融合,并對網絡入侵行為進行檢測,從而提升網絡入侵檢測模型的效率及準確性。

1 算法基本原理

1.1 饑餓游戲搜索算法

饑餓游戲搜索(Hunger Games Search,HGS)算法是Yang等[9]提出的一種新型優化算法。該算法概念源于“饑餓”,是生命周期中負責不同行為的最關鍵因素。HGS中的全局搜索和局部搜索過程具體描述為:

S(i+1)=Si·(1+rn(1)),r1

(1)

(2)

(3)

(4)

式中,h是在0和2之間的變量。

(5)

式中:Fi和F*代表當前解和最優解的適應度,sech是雙曲正割函數,其表達式為:

(6)

ω1和ω2是利用種群的饑餓水平為每個個體計算的自適應權重,其表示式為:

(7)

(8)

(9)

每個個體的饑餓水平(Fi)是不同的,h值的計算如下:

(10)

(11)

式中:Fw為本次迭代評估的最差適應度值;lb和ub為搜索空間的上下限;Fi-F*用于評價個體不再感到饑餓所需的食物量;Fw-F*表示當前迭代的整個狩獵范圍;r6是介于[0,1]之間的隨機數;lh和th為判別參數。

1.2 SVM算法

SVM算法采用了統計思想,利用數學表達式描述網絡入侵行為如下:

yi(w·xi+b)-1≥0。

(12)

式中:xi表示輸入值;yi取1或者-1,兩者表示不同的類型;w在Rn的范圍內;b代表誤差;i為自然數。

結合實際網絡入侵情況設計目標函數為:

IUI因操作簡單、并發癥少、易被患者接受等原因，已成為最具代表性的輔助生殖技術之一。IUI的適應證包括因男方因素、宮頸因素、免疫因素及不明原因等造成的不孕不育。本研究中的IUI臨床周期妊娠率為11.93%，較文獻中報道的約20%IUI總臨床妊娠率較低[4]。IUI成功率受多因素影響，本研究重點從男方年齡、女方年齡、不孕年限、女方BMI、女方基礎內分泌(FSH、LH、E2)、不孕類型、精子濃度、活力、總數、TMS、PTMS等方面對511對夫婦(1 090個周期)進行分析，探討對宮腔內人工授精妊娠率的影響。

(13)

2 IHGS-SVM算法

2.1 DES策略

利用動態進化(Dynamic Evolution Strategy,DES)策略改進HGS算法,該策略基本上是基于自組織臨界性理論。表明種群中的局部變化可能會影響整個種群,而無須任何外部干預。DES的目的是通過從當前迭代的解中移除最差的解,并通過生成最優解周圍的新個體來取代最差的解,從而提高解的質量。

2.2 種群初始化混沌改進

與其他元啟發式優化算法一樣,HGS也使用隨機初始化,但這種方法對種群的多樣性不利。因此,使用Tent混沌映射對種群進行初始化,使種群盡可能平均地覆蓋整個解空間。

(14)

式中:xt+1為更新后位置;xt為上一代位置。

2.3 IHGS-SVM算法流程

IHGS-SVM算法是在SVM算法的基礎上引入IHGS算法,具體過程如下:

步驟1:用混沌映射初始化的方法處理饑餓游戲算法中各參數的初始值。

步驟2:根據實際情況對個體的適應度進行評估。

步驟4:對種群中個體位置進行網絡入侵檢測,并不斷更新檢測對象。

步驟5:判斷IHGS算法尋優結果參數是否滿足結束迭代條件。如果滿足,停止IHGS算法尋優并輸出最佳參數。否則,返回步驟2,直至滿足條件。

步驟6:從SVM算法中提取最佳參數,并應用于IHGS-SVM算法模型中。

3 網絡入侵檢測模型構建

3.1 網絡入侵檢測模型體系架構

引入用于多分類的檢測模型,通過新的分類機制,對n/(2(n-1))個樣本進行分類。設a和b為2種檢測類型,樣本訓練模型設計如下:

(15)

(16)

(17)

通過此訓練模型,可以對n/(2(n-1))個樣本進行分類,并且判斷每個樣本的具體類型。采用改進的投票策略作為判斷方法。首先,在訓練集中任意選擇2個樣本,利用SVM算法進行比較,最終得出滿足條件的樣本。然后,將此次選出的樣本作為下一次訓練的樣本,并且和本輪迭代中的其余樣本進行對比,得出此次迭代的最優樣本。接著,不斷進行訓練,直到整個訓練集中的樣本都完成對比。最后,辨別各個樣本對應的網絡入侵行為,提升入侵檢測的準確度。IHGS-SVM檢測模型框架如圖1所示。

圖1 檢測模型框架

首先對網絡入侵數據集進行預處理,并將其劃分為訓練集和測試集。該模型中設置多個代理響應單元(Agent)進行入侵檢測,并將檢測后的數據最終反饋給響應單元。所有的網絡訪問行為信息都被保存到系統數據庫中,通過框架結構的系統數據庫,獲取有關信息并加以處理,形成待檢測數據,從而符合IHGS-SVM算法檢測要求。另外,所采用的訓練集和測試集都必須先經過數據預處理,而不是未經處理過的網絡入侵行為信息,這樣可以大大提升檢測效率。

3.2 網絡入侵檢測過程

IHGS-SVM算法檢測網絡入侵信息的具體過程如下:

步驟1:收集初始的數據,獲取互聯網端口的入侵行為信息。

步驟2:采用歸一化方法,對步驟1中采集的訪問數據進行預先處理,均勻劃分各樣本,使得樣本快速收斂。

步驟3:選擇確定在SVM中的學習樣本。利用步驟2得到數據樣本作為學習樣本,并采用IHGS算法優化SVM中各參數值,從而得到模型的最佳參數。

步驟4:基于步驟3中得到的參數對訓練集樣本進行訓練,最終得出IHGS-SVM模型。

步驟5:基于系統設定的網絡侵入行為特征進行判定,查看網絡上的數據信息。假設當前的數據特征和網絡侵入行為特征相符,即可判定當前數據中的訪問行為是侵入行為,并馬上發出報警信息[10]。

步驟6:按照上述過程,分別對各網絡連接終端的樣本數據進行檢測,找出具有攻擊行為的樣本,并得出測試結果。

4 實驗與結果分析

4.1 實驗環境

本實驗采用Windows 11操作系統,實驗運行平臺為Matlab R2018a,其他硬件條件為AMD R7-5800H,運行內存為16 GB。網絡環境與各個接口間的通信連接,可以模擬網絡入侵接入條件。在此條件下,用本文提出的IHGS-SVM模型來判斷網絡終端的侵入情況,主要有3種不同的入侵攻擊行為,分別是掃描攻擊(Scanning)、遠程網絡攻擊(Remote network)和本地超級訪問攻擊(Local super access)。

4.2 入侵類型檢測結果分析

本實驗選取傳統SVM算法和IHGS-SVM算法分別對5個樣本進行對比實驗,通過比較2種算法的檢測結果和入侵攻擊行為來檢驗IHGS-SVM入侵檢測模型性能,如表1所示。

表1 入侵類型識別的檢測結果

從表1可知,SVM算法有2個樣本檢測的結果與實際不一致,對樣本1中Scanning攻擊與樣本3中Remote network攻擊,均判定為無入侵攻擊,檢測錯誤。而本文提出的IHGS-SVM模型的準確率更高,5個樣本的檢測結果均與實際情況一致。基于上述結果可知,本文設計的IHGS-SVM入侵檢測模型具有良好的性能,且較傳統SVM算法在準確度方面有顯著提升。

4.3 不同模型的入侵檢測時間

基于不同的模型在驗證集上的檢測時間進行仿真和比較,并使用遺傳算法優化的支持向量機(Genetic Algorithm-Support Vector Machine,GA-SVM)和蟻群算法優化的支持向量機(Ant Colony Optimization-Support Vector Machine,ACO-SVM)作為比較模型。從圖2可以看出,與GA算法和ACO優化算法相比,本文提出的IHGS算法可以幫助找到更優的SVM參數,搭建性能更佳的網絡入侵檢測模型,從而更加快速地對入侵攻擊行為進行檢測,提升檢測效率。結果表明:利用IHGS優化SVM的參數是可行且有效的,有助于提升網絡入侵檢測模型的各項性能,快速、高效地實現網絡入侵行為檢測。

圖2 不同模型的運行時間

4.4 不同算法的入侵檢測

本實驗分別基于傳統SVM和IHGS-SVM進行,具體的入侵行為檢測結果指標對比如表2所示。

表2 不同模型的入侵檢測結果 %

從表2可知,SVM模型具體表現為5個樣本的準確率為81.91%～83.04%,漏檢率為16.96%～18.09%,誤檢率6.08%～6.45%。而本文的IHGS-SVM模型的準確率為93.78%～95.32%,漏檢率為4.68%～6.22%,誤檢率為0.78%～1.11%。相較于傳統SVM模型,IHGS-SVM模型檢測平均準確率提升約14.74%,平均漏檢率降低約69.62%和平均誤檢率降低約85.50%。IHGS-SVM模型更適應目前網絡入侵行為檢測場景。

5 結論

本文設計了一種IHGS-SVM算法用于網絡入侵行為檢測,以提升檢測準確率。基于傳統SVM和IHGS-SVM進行實驗。結果表明,所提出的IHGS-SVM模型可以快速準確地辨別出網絡入侵行為,準確率超過93%,漏檢率低于7%,誤檢率低于2%,均優于傳統SVM算法。該方法雖然能有效地識別入侵信號,但仍存在誤識別和漏檢的問題。在未來,將嘗試引入前沿的算法模型,例如深度學習、強化學習等技術,建立入侵檢測模型,從而適應越來越復雜的網絡場景。