马磊娟， 王林生

(河南工业职业技术学院，南阳 473009)



改进最小二乘支持向量机的网络入侵检测

马磊娟， 王林生*

(河南工业职业技术学院，南阳 473009)

非法入侵直接危害到网络的安全，为了解决传统网络入侵检测模型存在的缺陷，提高网络入侵检测的准确性，提出了一种改进最小二乘支持向量机的网络入侵检测模型。收集网络入侵检测数据，并提取其中的特征，采用最小二乘支持向量机作为入侵检测的分类器，实现网络状态的检测，并引入布谷鸟搜索算法对最小二乘支持向量机的参数选择进行改进，选择KDDCup99数据集作为实验对象。结果表明，改进最小二乘支持向量机可以建立正确率的网络入侵检测模型，降低了网络入侵检测的错误率，可以保证网络安全。

网络系统； 非法入侵； 网络分类器； 布谷鸟搜索算法； 检测模型

0 引言

网络在人们生活的每一个角落都存在，网络安全问题引起了们的高度关注[1]。被动的网络安全防范技术主要为防火墙，但其无法识别一些新的入侵行为，网络入侵检测能够发现一些非法用户的行为，可以有效提高网络系统的安全性[2]。

近几十年来，出现大量的网络入侵检测模型，它们大致可以划分为2种类型，其中一种为网络入侵的误用检测模型，该类检测模型只能检测已经存在的入侵行为，无法发现变异或者新型的入侵行为，这样局限性十分明显，无法应用于实际的网络安全保证中[3]。另一种为异常入侵检测模型，该类模型可以发现能够到新型入侵行为，实际应用价值相对较高，在网络入侵检测得到了广泛的应用[4]。在异常检测模型，支持向量机作为一种最常的分类器构建算法，比其它模型具有更高的检测正确率。然而支持向量机学习过程十分费时，网络入侵建模的效率相当低，不能满足大规模网络安全分析的要求，同时也无法适应网络入侵检测的实时性[5,6]。为了解决支持向量机的学习速度慢缺陷，有学者提出了最小二乘支持向量机，并将其应用于网络入侵检测中，缩短了网络入侵检测建模的时间，提高了网络入侵检测的速度，而且网络入侵检测的正确率也没有降低[7,8]。在实际应用中，最小二乘支持向机的参数优化是一个待解决的难题，一旦参数确定不合理，无法建立高性能的网络入侵检测模型，为此有学者采用遗传算法、粒子群算法对最小二乘支持向量机参数优化问题进行求解，但是遗传算法、粒子群算法自身的参数也难以确定，从而影响网络入侵检测的性能[10-12]。

为了解决传统网络入侵检测模型存在的缺陷，提高网络入侵检测的准确性，提出了一种改进最小二乘支持向量机的网络入侵检测模型。首先收集网络入侵检测数据，并提取其中的特征，然后采用最小二乘支持向量机作为入侵检测的分类器，实现网络状态的检测，并引入布谷鸟搜索算法[13]对最小二乘支持向量机的参数选择进行改进，最后选择KDD Cup 99数据集作为实验对象。结果表明，改进最小二乘支持向量机可以建立正确率的网络入侵检测模型，降低了网络入侵检测的错误率，具有较高的实际应用价值。

1 LSSVM和MCS算法

1.1 LSSVM

设网络入侵训练集为{(xi,yi)}，最小二乘支持向量机(LSSVM)通过非线性映射Φ( )对它进行变换，然后进行线回归，可以描述为式(1)。

f(x)=wTφ(x)+b

(1)

式中，ω和b表示最小二乘支持向量朵的权和偏置向量。

要对式(1)进行求解，首先要找到最优变量的ω和b值，而对式(1)进行求解，引入松弛变量ξi，那式式(1)可以转为式(2)。

s.t.

yi-wTφ(x)+b=ei

(2)

式中，γ表示最小二乘支持向量机的正则化参数；ei为最小二乘支持向量的分类误差。

为了加快优变量的ω和b值的求解速度，采用拉格朗日函数得到对偶问题，即式(3)。

(3)

式中，αi为拉格朗日乘子。

根据Mercer条件，采用K(xi,xj)=φ(xi)Tφ(xj)，那么网络入侵分类的函数为式(4)。

(4)

采用径向基函数构建模LSSVM，则有式(5)。

(5)

式中，σ为宽度，参数。

参数γ和σ对网络入侵的结果有着直接影响，LSVM参数可以建立如下的目标函数：

s.t.

(6)

1.2 布谷鸟搜索算法

⊕L(λ),i=1,2,…,N

(7)

式中，α为步长控制量，⊕为点积，L(λ)为飞行步长路径，其满足如下条件为式(8)。

Lévy～u=t-λ, 1≤λ≤3

(8)

由于基本布谷鸟搜索算法的工作效率低，为此采用惯性权重w对鸟巢位置进行更新为式(9)。

⊕L(λ),i=1,2,…,N

(9)

惯性权重w的变化方式为：

(10)

式中，iter为当前迭代次数。

2 改进最小二乘支持向量机的入侵检测模型

2.1 参数对网络入侵检测结果的影响

为了分析最小二乘支持向量机参数对入侵结果的作用，选不同参数γ和σ下的网络入侵检测正确率，结果如表1所示。

表1 不同参数γ和σ值下的入侵检测率

对表1的入侵检测正确率进行分析可以发现，不同参数γ和σ值下，入侵检测正确率变化比较大，为此对参数γ和σ值进行优化，找到最优的参数γ和σ值是必要的，可以提高网络入侵检测精度。

2.2 网络入侵检测的步骤

(1) 收集网络入侵检测数据并提取网络入侵的特征。

(2) 通过专家估计参数γ和σ的取值区间。

(3) 设Pa=0.6，对鸟巢位置进行反编码，得到参数γ和σ的值，并对网入侵检测的训练集进行学习，得到适应度值。

最小乘支持向量机只能对2个类型的分类问题进行求解，而网络入侵检测是多分类问题，所以采用一定的方式建立入侵检测器，如如图1所示。

图1 入侵检测分类器的结构

3 网络入侵检测效果的测试与分析

3.1 实验样本分布

为了测试改进最小二乘支持向量机的网络入侵检测效果，选择KDD Cup 99作为测试对象，并选择标准最小二乘支持向量机(LSSVM)和遗传算法优化最小二乘支持向量机(GA-LSSVM)在相同实验环境下进行对比测试，比较它们的入侵检测率、入侵误检率以及平均检测时间。从KDD Cup 99中选择部分数据进行具体实验，它们分布具体如表2所示。

表2 不同网络入侵类型的样本数量

首先确定每一种模型的LSSVM参数，结果如表3所示。

表3 不同模型的参数

然后根据表3的LSSVM参数建立网络入侵检测模型。

3.2 结果与分析

为了保证实验结果的公平性，全部模型均执行10次，统计平均值作为网络入侵检测的最终实验结果，具体结果如图2～图4所示。

图2 检测正确率的比较

图3 误检率的比较

图4 平均检测时间比较

对网络入侵检测的实验结果进行对比和分析，可发现

(1) 相对于LSSVM，GA-LSSVM的入侵检测性能得到了大幅度提长，这是因为通过GA对LSSVM的参数γ和σ进行优化，克服经验方法确定参数γ和σ的缺陷，提高了网络入侵正确率，减少了网络入侵检测的误检率。

(2) 在所有模型，本文模型的网络入侵检测效果最佳，这说明采用布鸟搜索算法对LSSVM的参数γ和σ进行优化，解决了GA存在的不足，建立了更优的网络入侵检测模型。

(3) 本文模型的入侵检测时间最短，提高了网络入侵检测的速度，可以满足网络入侵的实时性。

5 总结

为了改善网络入侵效果，针对网络入侵分类器构建过程存在的问题，提出了改进最小二乘支持的网络入侵检测模型，采用改进布谷鸟搜索算法对最小二乘支持向量机的参数进行优化，建立更优的网络入侵检测分类器，采用经典数据集——KDD Cup 99对模型的有效性和优越性进行测试，结果表明，改进最小二乘支持向量机较好的克服了当前入侵检测模型存在的局限性，建立了入侵检测效果好的网络入侵检测模型，网络入侵检测的误检率明显减少，而且网络入侵检测速度可以满足网络安全实际应用的要求，可以应用于网络安全的保障中。

[1] 唐正军,李建华. 入侵检测技术[M]. 北京;清华大学出版社,2004.

[2] 金波, 林家骏, 王行愚. 入侵检测技术评述[J]. 华东理工大学学报, 2000,26(2):1910-1919.

[3] Denning D E. An Intrusion Detection Model [J]. IEEE Transaction on Software Engineering, 2010, 13(2): 222-232.

[4] 陈仕涛,陈国龙,郭文忠,等. 基于粒子群优化和邻域约简的入侵检测日志数据特征选择[J]. 计算机研究与发展,2010,47(7);1261-1267.

[5] 周荃, 王崇骏. 基于人工智能技术的网络入侵检测的若干方法[J]. 计算机应用研究, 2007, 24(5): 144-148.

[6] 胡明霞. 基于BP神经网络的入侵检测算法[J]. 计算机工程,2012,38(6 ):148-150.

[7] 段丹青,陈松乔,杨卫平,等. 使用粗糙集和支持向量机检测入侵[J]. 小型微型计算机系统,2008,29(4): 627-630.

[8] 闫新娟,谭敏生,严亚周,吕明娥. 基于隐马尔科夫模型和神经网络的入侵检测研究[J]. 计算机应用与软件,2012,29(2):294-297.

[9] 李洋,方滨兴,郭莉,等. 基于TCM-KNN和遗传算法的网络异常检测技术[J].通信学报, 2007, 28(12): 48-52.

[10] 姜春茂,张国印,李志聪. 基于遗传算法优化SVM的嵌入式网络系统异常网络流量异常检测[J]. 计算机应用与软件,2011,28(2):287-289.

[11] Yang Wu, Fang Bin-xing, Yun Xiao-chun, et al. Research and implementation of a high-performance distributed intrusion detection system [J]. Journal of Beijing University of Posts and Telecom mutilations, 2004, 27(3):83-86.

[12] 严岳松,倪桂强,缪志敏等. 基于SVDD的半监督入侵检测研究[J]. 微电子学与计算机, 2012, 26(10): 128-130.

[13] 张晶, 吴虎胜. 改进二进制布谷鸟搜索算法求解多维背包问题[J].计算机应用, 2015, 35(1): 183-188.

Networkintrusiondetectionbyusingimprovedleastsquaressupportvectormachine

MaLeijuan,WangLinsheng

(HenanPolytechnicInstitute,Nanyang473009,China)

The illegal intrusion directly endangers the security of the network. In order to solve the defects of the traditional network intrusion detection model, improve the accuracy of network intrusion detection, an improved least squares support vector machine model is proposed for network intrusion detection. The first is to collect network intrusion detection data and extract the feature. The least squares support vector machine is used as a classifier to detect intrusion detection, network status. Cuckoo search algorithm is introduced to improve the parameters of least squares support vector machine. Finally the KDD Cup 99 data set is chosen as the experimental object. The results show that the improved least squares support vector machine (SVM) can establish the correct network intrusion detection model, reduce the error rate of network intrusion detection, and ensure the network security.

Network system; Illegal intrusion; Network classifier; Cuckoo search algorithm; Detection model

马磊娟(1981-)，女，南阳人，硕士，讲师，研究方向：电子信息科学与技术。 *通信作者：王林生(1981-)，男，南阳人, 硕士, 副教授, 研究方向：智能控制技术。

1007-757X(2017)07-0076-04

TP

A

2017.04.05)