人工蜂群算法优化支持向量机的网络入侵检测

谢伟增

(河南司法警官职业学院信息技术系， 郑州 450046)

人工蜂群算法优化支持向量机的网络入侵检测

谢伟增

(河南司法警官职业学院信息技术系， 郑州 450046)

支持向量机参数直接影响网络入侵检测效果，为了提高入侵检测的正确率，提出了基于人工蜂群算法优化支持向量机的网络入侵检测模型。将支持向量机参数组合在一起，编码成为人工蜂群算法的蜜源，并将最高网络入侵检测率作为蜂群的搜索方向，不断模拟蜂群寻找最优蜜源的过程实现参数优化，并根据最优参数设计网络入侵检测的分类器，选择KDD CUP 99数据集作为实验对象，结果表明，模型可以提高网络入侵检测的正确率，降低误报率，获得较优的网络入侵检测效果。

网络安全； 入侵行为； 支持向量机参数； 人工蜂群算法； 分类器

0 引言

随着信息技术的不断发展，网络已经进了人们生活和工作的各个领域，由于网络攻击手段的增多和恶意软件的增加，传统网络防范技术如防火墙，数据加密等已经不能满足现代网络安全的要求[1]。网络入侵检测作为一种主动网络安全防范技术，引起了人们的高度重视[2]。

当前网络入侵检测技术分为：签名检测和异常检测两种，签名检测只能检测已知的网络入侵行为，不能发现新型、变异的入侵行为，实际应用价值低，而异常检测可以发现新型的入侵行为，实际应用范围更广[3]。网络入侵检测本质是一种分类问题，当前主要基于统计学，机器学习算法设计网络入侵检测模型，其中统计学方法如模式匹配算法等[3]，误报率高，难以适应动态环境下的网络入侵检测；机器学习算法如神经网络、支持向量机(support vector machine，SVM)具有较强的鲁棒性及容错性[4-6]，尤其是SVM可以在有限样本条件下得到问题最优解，在网络入侵检测得到了成功的应用。然而SVM的入侵检测效果受惩罚参数以及核函数的参数影响，如何选择最优参数以获取最优入侵检测结果，成为基于SVM的入侵检测研究领域必须解决的难题，当前参数优算法主要有遗传算法(GA)、蚁群优化 (ACO)算法、粒子群优化(PSO)算法等[7-9]。相关研究表明，SVM的分类效果与惩罚因子以及核函数参数间存在多峰值函数关系，这些算法寻优过程中会不同程度陷入局部最优解，难以得到最优分类效果[10]。

人工蜂群优化(artificial bee colony algorithm，ABC)算法[11]是一种模拟蜂群采蜜的智能优化算法，控制参数少、收敛速度快，很大程度上避免了陷人局部最优解难题，为了进一步提高网络入侵检测正确率，提出ABC算法优化SVM的网络入侵检测模型(ABC-SVM)，并采用KDD CUP 99数据集对其性能进行测试和分析。

1 相关理论

1.1 支持向量机

对于训练集{(xi,yi)}，SVM通过非线性函数φ(x)将其映射到高维特征空间进行分类，即有式(1)。

(1)

式中，ω和b为权值和偏置向量。

s.t.

(2)

式中，C表示惩罚参数。

引入拉格朗日乘子(αi)将式(2)变成为对偶优化问题，得到式(3)。

(3)

(4)

采用K(xi,xj)=φ(xi)Tφ(xj)得到SVM的非线性分类函数为式(5)。

(5)

本文选择径向基函数，定义如式(6)。

(6)

式中，σ为径向基核的宽度。1.2 人工蜂群算法

设第i个蜜源为：xi=(xi1,xi2,…,xiD)，i=1,2,…N，N表示蜜源数，蜜蜂工作方式如下。

(1) 雇佣蜂根据局部信息找到新蜜源位置，并估计蜜量，若蜜量更多，雇佣蜂记忆新蜜源的位置。

(2) 雇佣蜂将蜜源信息传递给观察蜂，观察蜜源搜索邻域内的蜜源，并估计新蜜源的蜜量，若蜜量更多，记忆新蜜源的位置，观察蜂选择蜜源的概率为式(7)。

(7)

式中，fiti为第i个解的适应度值；SN为蜜蜂的个数。

设vij是候选蜜源，雇佣蜂和观察蜂搜索新蜜源的方式为式(8)。

(8)

式中，xij为位置向量；j为随机数；φij是[-1,1]间的随机数。

(3) 若经过多N次循环后，蜜源没有发生改变，则该雇佣蜂成为侦察蜂，并寻找新的蜜源，具体为公式(9)：

(9)

2 ABC优化SVM的网络入侵检测模型

2.1 ABC优化SVM参数的过程

参数C和σ影响SVM的网络入侵检测效果，采用网络入侵检测正确率作为C、σ寻优的目标，那么SVM参数优化数学模型为式(10)。

maxP(C,σ)

(10)

ABC算法的优化SVM参数如下：

(1) 随机产生SN人工蜂和食物源，每一个解为：Xi=[xi1,xi2,…,xiD]T，i=1, 2, …,n，其中D表示参数的个数。

(2) 将每个解Xi的反编码得到SVM的参数C、σ值，并计算其适应度值。

(3) 雇佣蜂以一定概率对记忆中的食物源位置进行改变，找到一个新的食物源，并估计新食物源的蜜量，即计算新解的适应度，若新解更优，则雇佣蜂将记忆新解。

(4) 当雇佣蜂回到蜂巢后，将食物源信息与观察蜂共享，观察蜂根据概率选择一个食物源位置，并改变记忆位置和估计新食物源的花蜜量，若新食物源的适应度高于记忆值，则用新解替代原始解。

(5) 连续N次循环后，解仍然没有得到改善，此时雇佣蜂变为侦察蜂。

(6) 达到终止条件后，得到参数C和σ的最优解。

(7) SVM根据最优C和σ值对训练集重新学习，建立最优的网络入侵检测模型。

2.2 ABC-SVM的网络入侵检测

网络入侵检测实质上一个多分类问题，但SVM只能求解两分类问题，必须通过组合策略构建网络入侵检测器，本文采用构造网络入侵检测器，如图1所示。

图1 网络入侵检测的多分类器

基于ABC-SVM的网络入侵检测步骤为：

Step1：选择实验数据集，对网络状态特征进行归一化处理，即式(11)。

(11)

式中，xi为原始值特征，min()和max()为取最大值和最小值。

Step2：采用ABC算法对SVM参数{C,σ}进行优化和选择。

Step3：根据最优参数{C,σ}建立网络入侵检测模型，并对模型的性能进行分析。

3 仿真实验

3.1 源数据

采用KDD CUP 99的数据集作为实验对象，将网络状态分为4种入侵行为：Probe，DOS，U2R，R2L，每一个数据集包含41个特征属性。选择遗传算法优化SVM(GA-SVM)和粒子群算法优化SVM(PSO-SVM)作为对比模型，对网络入侵的检测正确率、误报率和执行速度进行分析。

3.2 结果与分析

3.2.1 检测结果对比

采用GA、PSO、ABC算法对SVM参数C和σ进行优化，结果，如表1所示。

表1 SVM的参数

根据表1参数建立的网络入侵检测模型，GA-SVM、PSO-SVM和ABC-SVM的网络入侵检测正确率和误报率，如图2和图3所示。

图2 检测率对比

图3 误报率对比

从表3可知，与GA-SVM、PSO-SVM的入侵检测结果相比，ABC-SVM的网络入侵检测率更高，有效降低了网络入侵检测的误报率，这是由于ABC找到了比GA、PSO更优参数C，σ，建立了更加理想的网络入侵检测模型。

3.2.2 执行速度对比

采用平均检测时间(秒,s)对网络入侵检测模型的速度进行衡量，结果，如图4所示。

图4 检测时间对比

从图4可知，ABC-SVM的网络入侵检测速度要快于对比模型，这主要是因为ABC-SVM找到的支持向量更少，减少了计算的复杂度，加快了算法执行速度，更加适合于网络入侵的实时性要求。

4 总结

为了解决SVM在网络入侵检测中的参数优化难题，提出了基于ABC-SVM的网络入侵检测模型，首先将SVM参数编码成为一个蜜源，将网络入侵检测率作为参数优化目标，然后模拟蜂群搜索最优蜜源过程找SVM的最优参数，并根据最优参数建立网络入侵检测模型，最后采用KDD CUP 99数据集进行仿真测试，结果表明，ABC-SVM加快网络入侵检测速度，提高了网络入侵的检测正确率，大幅度降低了入侵检测的误报率，具有一定的实际应用价值。

[1] Denning D.E. An Intrusion Detection Model [J]. IEEE Transaction on Software Engineering, 2010,13(2): 222-232

[2] 田志宏,王佰玲,张伟哲,等. 基于上下文验证的网络入侵检测模型[J]. 计算机研究与发展,2013, 50(3): 498-508.

[3] 李晶皎,许哲万,王爱侠,等. 基于移动模糊推理的DoS攻击检测方法[J]. 东北大学学报(自然科学版),2012, 33(10):1394-1398.

[4] 马勇.遗传模糊系统结合迭代规则学习的网络入侵检测方案[J]. 微型电脑应用, 2016, 32(6): 25-28.

[5] 陶琳, 郭春璐. 改进粒子群算法和支持向量机的网络入侵检测[J]. 计算机系统应用, 2016, 25(6): 269-273.

[6] 姜春茂,张国印,李志聪. 基于遗传算法优化SVM的嵌入式网络系统异常入侵检测[J]. 计算机应用与软件, 2011, 28(2): 287-289.

[7] 李振刚,甘泉. 改进蚁群算法优化 SVM 参数的网络入侵检测模型研究[J]. 重庆邮电大学学报(自然科学版), 2014, 26(6): 785-789.

[8] 张拓,王建平. 基于CQPSO-SVM 的网络入侵检测模型[J]. 计算机工程与应用, 2015,51(2): 113-116.

[9] 刘春波,王鲜芳,潘丰. 基于蚁群优化算法的支持向量机参数选择及仿真[J]. 中南大学学报(自然科学版),2008, 39(6):1309-1313.

[10] 刘霞, 张姗姗, 胡铭鉴, 庞永贵. 基于混沌机制的人工蜂群算法优化的支持向量机分类器[J]. 计算技术与自动化, 2015, 34(2): 11-14.

[11] 张新有,曾华燊,贾磊. 入侵检测数据集KDD CUP99研究[J]. 计算机工程与设计, 2010,31(22): 4809-4816.

Network Intrusion Detection Based on Support Vector Machine Optimized by Artificial Bee Colony Algorithm

Xie Weizeng

(Department of Information Technology,Henan Judicial Police Vocational College,Zhengzhou 450046,China)

Parameters of support vector machine directly affect the effect of network intrusion detection. In order to improve correct rate of network intrusion detection, a network intrusion detection model based on support vector machine optimized by artificial bee colony algorithm is proposed. Firstly, the parameters of support vector machine are combined together and encoded to be a source of artificial bee colony algorithm. Secondly the highest network intrusion detection rate is taken as search direction of bee colony, and optimum parameters are obtained by simulating bee colony searching nectar source. Network intrusion detection classifier is designed according to the optimal parameters. Finally, KDD CUP 99 data set is used as research object and the simulation experiment is carried out. The results show that the proposed model can improve the correct rate of network intrusion detection and reduce false detection rate, so it can obtain better network intrusion detection effect.

Network security; Intrusion behavior; Support vector machine parameters; Artificial bee colony algorithm; Classifier

谢伟增(1975-)，男，河南鄢陵人，学士，讲师，研究方向：信息安全，网络技术。郑州 450046

1007-757X(2017)01-0071-03

TP391

A

2016.05.10)