改进EHO算法在无线传感网络入侵检测中的应用

周 跃

(安徽工业职业技术学院， 安徽 铜陵 244000)

入侵检测是网络运行中为了保护内部用户信息、防止外部攻击所采用的一种系统保护机制。入侵检测机制包括入侵检测技术和机器学习方法两部分，入侵检测技术需在机器学习的基础上来实现[1-2]。无线传感网络入侵检测需要具备较高的测算精准度、较强的检测稳定性及较低的检测误差率等优势的算法模型来支撑。入侵检测在模式匹配、规则匹配和协议分析的基础上完成，其识别率和精准度有待进一步提高。象群算法是基于象群移动特性而设计的一种群体智能优化算法[3]。一个象群同时可分为好几个氏族，每个氏族中都有一个女族长，每一代都有成年雄象因适应性差而离开族群，因此族群会以族长为中心进行重新分类，进而优化族群位置结构[4]。象群分析算法具有较高的收敛能力、识别能力及分离能力。本次研究中，将象群算法用于无线传感网络入侵检测，以进一步优化侵检测技术。

1 无线传感网络入侵检测EHO模型优化建构

1.1 结合飞行及融合粒子策略的算法模型建构

象群优化算法是基于象群同类相识的行动原理来寻求系统最优策略的算法，算法内容包括氏族更新与氏族分离。在氏族更新的过程中，依据大象以女族长为中心的原则进行更新活动。假设，在n个种群中，每个氏族有j头大象，女族长标记为ci，则象群更新后的位置模型如式(1)所示：

xnew，ci，j=xci，j+α·(xbest，ci-xci，j)·r

(1)

式中：xnew，ci，j—— 象群更新后的位置；

xbest，ci—— 女族长适应度最佳的位置；

α—— 象群个体因女族长位置变化所受的影响，取值范围为[0，1]；

r—— 随机数，用来提高象群变化的多样性，取值范围为[0，1]；

xci，j—— 象群位置；

xci—— 象群女族长位置，象群会跟随族长一起移动。

因为氏族中可能同时存在多个女族长，而氏族的更新变化只能有一个中心，因此女族长的位置受中心位置的约束。其模型如式(2)所示：

xnew，ci，j=β×xcenter，ci

(2)

式中：β—— 第2个算法参数，取值范围[0，1]；

χcenter，ci—— 氏族中心位置；

d—— 空间转移中的维度数，它大于1并且小于所搜索空间的总维度；

nci—— 氏族中大象的总数。

经过一定周期后，成年大象会离开原氏族重新建立新的氏族，从而扩大象群搜索范围。象群分离包括适应度较差的大象个体与恒定数量的成年象的移动，其分离位置模型如式(3)所示：

xworst，ci=xmin+(xmax-xmin+1)·r

(3)

式中：xworst，ci—— 象群分离后所处的新位置。

xmin—— 分离象群的更新搜索范围下限；

xmax—— 分离象群的更新搜索范围上限。

传统象群算法的不足是，无法适应高维度计算数据集，容易陷入局部最优困境[5-6]。为了提高算法的全局搜索能力和收敛速度，对传统象群算法作了优化，在其基础上加入飞行及融合粒子策略。从以上分析可知，单个个体的运行活动受女族长位置的影响。如果没有约束条件，一旦女族长受到局部最优影响而提早陷入局部最优困境，则受其影响的一部分群体便会随之陷入局部最优困境[7]。为了避免这种情况，在原位置更新公式的基础上加入了飞行策略，优化模型如式(4)所示：

xnew，ci，j=xci，j+Levy(λ)+α·

(xbest，ci-xci，j)·r

(4)

式中：Levy (λ) —— 莱维随机数，是一种短距搜索与偶尔长距行走相间的模式，该模式服从参数λ的莱维分布。在一般情况下使用Mantegna算法模拟计算。

通过式(4)计算优化结果，在象群个体短距离搜索的基础上加入长距离跳跃式搜索，通过拓宽个体行动搜索范围，使得个体摆脱局部最优困境，增加象群位置更新的多样性与最优程度。为了降低象群替换适应度较差个体的随机性，在基本算法的基础上加入了具有较高群居搜索能力和收敛速度的融合粒子算法。在每次替换计算时将个体象群粒子化，根据个体的适应值来判断是否进行分离更新，以及是否对适应度最差大象个体进行更新优化。其算法模型如式(5)所示：

(5)

式中：vi—— 粒子更新速度；

ω—— 惯性权重系数；

t—— 时间；

c1、c2—— 加速常数；

r1、r2—— 随机数，取值范围为[0，1]。

根据式(5)所示最差个体大象最优位置计算结果，在保留最优值的基础上判断结果是否满足迭代次数。若满足迭代次数，则不必进行位置更新；反之，则对适应度较差个体进行位置更新，直到满足迭代次数为止。

1.2 Spark-EHO特征选择模型建构

改进后的象群算法，虽然实现了全局最优及收敛速度提升的目标，但仍采用二进制函数进行运算，只能处理连续性问题。而入侵函数是一个特征选择的二进制组合问题，因此，还需要在象群优化的基础上与Spark结合，对算法二进制进行编码，从而缩短分类时间，提高检测精度[8-9]。用sig函数进行二进制向量转换，如式(6)所示：

(6)

式中：大象的位置都按照0或者1取值；δ表示飞行的象群位置差量，其差量值等于Levy(λ)⊕α·(xbest，ci-xci，j)·r。大象个体的二进制函数则如式(7)所示：

(7)

对于第j头大象的第d个维度，都会产生一个相对应的位置更新差量，将差量δ映射到[0，1]值域上。通过差量的映射结果来判断第j头大象第d个维度对应值是0或者1的概率，据此选择二进制特征。

基于Spark的二进制特征选择流程如图1所示。首先，随机设定大象个体初始位置，进行最优特征子集搜索。若找到最优子集，就停止搜索，输出最优结果；反之，则进行位置更新，建立新的搜索范围(即新的象群结构)，重复搜索动作，直到找到最优特征子集并输出结果为止。在搜索过程中，给定搜索空间，降低搜索维度，可提高搜索效率；给定适应度函数，提供判断子集优劣指标，可提高搜索结果的正确率。

图1 基于Spark的二进制特征选择流程

1.3 EHO-SVM入侵技术模型建构

SVM函数实质上是一个分类问题。前述改进后的象群算法模型及其参数的选择也较为简单，而具体参数的选择会直接影响分类能力及分类结果的精准度[10]。因此，在参数选择方面结合SVM参数，以象群位置作为函数参数和自身参数，用入侵的精准度作为适应度函数，以提高入侵检测的精准度，降低误报率。设SVM训练样本集为S，且S={(xi，yi)，i=1，2，…，r}，xi∈Rd，yi∈{-1，+1}，那么加入SVM分类函数，则有：

(8)

式中：ai—— 支持向量样本，不能取0；

b—— 偏移向量，它可以在支持选定之后，通过约束条件求得。

在线性部分可分的情况下，支持向量机将最优分类面约束优化为式(9)：

yi[w·xi+b]-1+ζ≥0，i=1，2，…，n

(9)

在式(9)所示约束条件下，目标函数如式(10)所示：

s.t.y[w·xi+b]-1+ζi≥0，

(10)

i=1，2，…，r，ζ≥0

式中：C—— SVM函数的自身参数，大于0，它控制了求解过程中对错划分的惩罚力度;

w—— 平面向量；

ζi—— 松弛变量，ζi=max(0，1-yi(w·xi+b))。

基于SVM函数的象群算法优化流程如图2所示。在引入SVM函数之后，整个网络入侵检测模型可分为4个模块，分别是数据获取、数据预处理、参数优化及分类模型。数据获取模块的任务是，建立测试集，通过对系统或者网络数据进行打包而形成检测初始数据训练样本集；数据预处理模块的任务是，对数据集进行归一化、数值化和降维处理；参数优化模块的任务是，根据已经建立的SVM函数对最优参数进行判断；分类模型模块的任务是，建立SVM分类模型，通过分类处理得到预测函数，进而建立入侵函数，完成入侵检测预测模型的建构。

图2 EHO-SVM入侵检测模型结构图

2 无线传感网络入侵检测EHO模型评测

2.1 模型算法评测

为了验证算法建构的合理性，分别选用2个单峰值函数和2个多峰值函数对改进前后的适应度进行测试，测试结果如图3所示。 其中，a、b图分别为改进前后象群算法在单峰值Schwefel 2.22和SumSquare测试函数下的实验结果，c、d图分别为改进前后象群算法在多峰值Griewank和Schaffer测试函数下的实验结果。

图3 单峰值与多峰值函数适应度收敛曲线

从其曲线变化可以看出，无论在单峰值还是多峰值条件下，改进后的象群算法都表现出较为稳定的迭代能力，且平均值和平均最优值比之前的基础函数更佳。这表明改进后象群算法的收敛速度和全局最优性能均较高，在入侵求解最优问题上具有更好的适应能力。

2.2 模型Spark-EHO特征选择评测

为了验证特征选择向量模型建构的合理性，以30个种群数为标准，进行50次迭代，对PSO、MFO及改进前后的EHO模型进行给定训练集验证。各算法在不同数据集中的适应度收敛对比结果如图4所示。

图4 不同数据集的适应度收敛曲线

在各数据集中，改进后的象群算法均具有较稳定的适应度，而且可以较好地规避局部最优困境，避免由于过早局部最优导致的算法缺陷。这表明改进后的象群算法在入侵检测数据集中的训练情况良好。

2.3 模型EHO-SVM入侵技术评测

为了验证分类模型建构的合理性，选用大小不同的数据集对4种算法进行分类效果对比检测，结果如图5所示。 用于不同大小的数据集时，改进后的象群算法适应度均较高，在保证分类性能的同时避免了陷入过早最优化困境，且在分类结果的后期阶段还表现出自我学习的优化更新现象。这表明分类模型的建立能够在有效范围内完成无线传感网络入侵检测。

图5 各算法对不同大小入侵检测数据集的分类效果

3 算法应用效果评测

3.1 模型精准率及误报率评测

在无线传感网络入侵检测分别完成算法优化、特征选择、参数优化、入侵检测模型建构之后，对无线传感网络的检测精准度和误报率进行效果评测，结果如图6所示。

图6 4种算法平均入侵检测的精准度和误报率

可以看出，改进后的象群算法在Normal、Dos、Probe、R2L、U2R等5种攻击下的检测值都高于PSO、MFO及改进前的EHO算法。相较于改进之前的象群算法，其精准度分别提高了4.25%、5.66%、7.54%、6.75%和3.54%，平均精准度提高了5.548%左右。这表明在相同条件下，改进之后的象群算法能够更加有效地提高无线传感网络入侵检测的精准度，实现入侵拦截。

改进之后的象群算法误报率显著低于其他几种算法。相较于改进前的象群算法，平均误报率分别降低了3.74%、3.72%、3.78%、1.91%、2.22%，平均误报率降低了3.047%左右。这表明改进后的象群算法在准确实现拦截的同时，还可保证拦截信息的准确性，并降低误报率。

3.2 模型稳定性及运行效率评测

改进前的象群算法参数简单、女族长随机性较高、个体搜索范围较窄，导致其算法偶然性较高。入侵模型的稳定性与检测效率将直接关系到网络运行系统的安全性。因此，在相同条件下，将算法独立运行5次，对比其在Dos、Probe、R2L、U2R 这4种攻击形式下的精准度，以检测改进后象群算法的稳定性及运行效率。评测结果如图7所示。

图7 不同算法独立运行5次的精准度对比

在4种攻击形式下，改进后象群算法的精准度高于其他算法，且精准度预测曲线在迭代次数增加的同时仍然保持了较高的稳定性。这表明，改进后的象群算法不仅能够很好地进行入侵检测，而且还能够保持监测的稳定性及收敛效率。

4 结 语

无线传感网络入侵检测在保护内部用户信息、防止外部入侵、维护网络安全方面具有重要意义。本次研究是在传统象群算法的基础上，实现了算法、特征选择及入侵技术参数的优化设计，建立了新型象群算法模型。算法性能评测结果显示，改进后的象群算法在Normal、Dos、Probe、R2L、U2R5攻击形式下，其入侵检测精准度分别提高了4.25%、5.66%、7.54%、6.75%和3.54%，误差率分别降低3.74%、3.72%、3.78%、191%、2.22%。经过5次迭代测评，其入侵检测稳定性和检测效率都远高于基础象群算法，模型评测结果较优。不足之处是建构参数选用较少，在SVM函数的参数选择方面有待进一步优化设计，以提高模型的稳定性。