CN108462711A - 一种余弦时变pso-svm的入侵检测方法 - Google Patents

Abstract

本发明公开了一种余弦时变PSO‑SVM的入侵检测方法，属于网络信息安全技术领域。本发明方法先将包括正常样本和攻击样本的NSL‑KDD数据集和ADFA入侵检测数据集中的所有数据进行数值化处理，然后进行余弦时变PSO优化，再应用余弦时变PSO‑SVM进行误用检测。本发明与现有部分时变粒子群优化SVM模型相比，根据余弦函数非线性，改进时变粒子群算法在检测过程中的学习能力，精简余弦时变加速系数表达式，改进惯性权重的取值策略，提高对当前最优目标区域搜索的精细程度和搜索效率，从而加快时变PSO‑SVM入侵检测模型的收敛速度，有效地提高时变PSO‑SVM入侵检测模型的检测率。

Description

一种余弦时变PSO-SVM的入侵检测方法

技术领域

本发明涉及一种余弦时变PSO-SVM的入侵检测方法，属于网络信息安全技术领域。

背景技术

如今，计算机系统几乎存在于人类生活的各个方面。然而，现有的互联网受到网络安全 和数据隐私问题的困扰，这也将成为工业物联网的重大挑战和障碍，入侵检测系统(IDS)监 视网络环境的行为，并确定入侵和合法的活动。特别是，SCADA系统用于化工厂、输配电系 统、配水网络和污水处理设施等关键基建设施，网络环境数据量大增，内容容易受到各种攻 击。在上述系统中部署入侵检测系统是一项重要的防御措施。

现有的入侵检测系统，从检测方法上看主要有误用检测、异常检测以及综合检测的方法。 误用检测是对异常攻击行为进行分析总结，提取相应行为操作的特征，建立异常行为的数据 知识库，通过将新的行为数据特征与已知攻击行为特征进行匹配，检测出新的异常攻击行为 操作。该方法的优点是对已知类型攻击行为检测率较高，但对新型未知攻击则检测能力较弱。 异常检测是利用系统通信行为数据，建立正常行为通信模式的入侵检测系统，实现异常攻击 操作的有效检测。该方法优点是能够对新型未知攻击进行检测，不足之处在于误报率高，需 要进一步研究检测特征及算法设计。

基于人工智能(AI)的误用检测系统近几十年来引起了研究人员的广泛关注。以PSO-SVM 为基础的入侵检测模型，虽然已经是入侵检测中的经典模型，且得到了广泛的应用，但时变 PSO算法在参数寻优时，惯性权重和加速系数只能是以常数或线形时变的速度进行搜索，这 种情况可能使得粒子在局部和全局寻优方向上失去平衡，导致PSO算法陷入局部最优的境地 或搜索能力缓慢。

所以，更需要一种更好地平衡时变加速系数在全局和局部的搜索能力，同时也提高对当 前最优目标区域搜索的精细程度和搜索效率，从而提高时变PSO-SVM入侵检测模型的检测 精度，为网络入侵检测提供较为精确地检测结果。

发明内容

本发明的目的是在于改进一种余弦时变PSO算法结合SVM的误用入侵检测方法。

为了达到上述目的，本发明所述的基于余弦时变PSO-SVM的入侵检测方法，按照如下 步骤实施：

步骤一：数据预处理：将包括正常样本和攻击样本的NSL-KDD数据集和ADFA入侵检测数据集中的所有数据进行数值化处理。为了减少不同特征之间的相互影响，使得每一个特 征的重要性不受数值的影响，还可以将数值归一化处理，采用Min-Max标准化法，得到一个 N维的向量组。

步骤二：余弦时变PSO优化：将步骤一中数值化和归一化处理后1的数据传递给SVM异常检测模型作为SVM惩罚参数C和高斯径向基参数γ，将SVM异常检测模型返回的交叉 验证意义下的分类准确率作为PSO优化模型中的适应度值，并据此进行粒子群迭代更新，得到最优的SVM惩罚参数C和高斯径向基参数γ；

PSO算法基础模型如下：

V_id(t+1)＝wV_id(t)+c₁r₁(P_id,best(t)-X_id(t))+c₂r₂(P_gd,best(t)-X_id(t)) (1)

X_id(t+1)＝X_id(t+1)+V_id(t+1) (2)

式(1)、(2)中i＝1,2,...,N,N表示粒子群数量，P_i(t)和V_i(t)分别表示第t次迭代时的位 置和速度适量，w表示惯性权重，r₁和r₂表示[0,1]区间内的随机数；关于c₁和c₂表示加速因子， 为了更好地平衡时变加速系数在全局和局部的搜索能力，有效控制粒子全局搜索和快速收敛 到全局最优解，提出一种余弦时变加速因子：

式(3)、(4)中，t表示当前迭代次数，T表示总迭代次数，b和A是设定值；

关于惯性权重w，为使粒子的惯性权重根据粒子的早熟收敛程度，进行非线性自适应地 调整，加快其寻优能力，所述余弦时变惯性权重w是一种基于适应度值变化的自适应余弦时 变惯性权重，其取值方式：

首先定义三个平均适应度变量

式(5)、(6)、(7)、(8)中是第t次迭代粒子的适应度值，表示最小适应度值，表示最大适应度值。

使用上述改进的PSO算法优化SVM模型参数寻优。选取数据训练集，训练SVM入侵检测模型，继而对SVM入侵检测模型进行测试分类。计算粒子适应度值根据K折交叉 验证意义下的检测精度作为适应度值进行评估各个粒子，搜寻最优粒子。根据粒子适应度值更新粒子的相关参数。根据粒子适应度值及上文中所提方法确定惯性权重w的值、更新加速系数、位置X_id(t+1)和速度V_id(t+1)，判断是否满足要求，若是，则停止运行并输出最优参数；

步骤三：余弦时变PSO-SVM误用检测：利用最优的SVM惩罚参数C和高斯径向基参数γ，建立PSO-SVM流程模型进行异常检测，并且返回交叉验证意义下的分类正确率。

具体的，SVM通过使用核函数将NSL-KDD数据和ADFA数据集中的特征向量映射到高维空间中，寻找最优超平面划分训练种类。

Subjectto y_i(ω^Tφ(x_i)+b)≥1-ξ_i，ξ_i≥0 (10)

式(9)、(10)中w表示分类器得到的最优超平面的权值向量，x_i是训练样本，b表示偏 置向量，ξ_i表示松弛变量，惩罚参数C用于提高SVM的泛化能力，使用原始对偶关系，最优决策函数如下：

式中α_i是拉格朗日乘子，y_i表示训练样本标签，K(x,x_sv)＝φ(x_i)^Tφ(x_j)是核函数，sv表 示支持向量的个数，本发明选用RBF核函数利用决策函数对 数据集进行分类，步骤三中X_i＝(X_iC,X_iγ)表示该粒子位置有惩罚参数C和核函数参数γ两个分 量组成，并设置两个参数的取值区间，C取值范围[2^-5，2⁵]，γ取值范围[2^-4,2⁴]，通过使用10折交叉验证，从所选数据构建了训练数据集和测试数据集。

6、优点和积极效果

本发明与现有的技术相比具有以下优点：

1.与现有部分时变粒子群优化SVM模型相比，根据余弦函数非线性，改进时变粒子群 算法在检测过程中的学习能力，更好地平衡时变加速系数在全局和局部的搜索能力，有效地 提高时变PSO-SVM入侵检测模型的检测率。

2.与时变加速系数相对而言，所提余弦时变加速系数表达式更加简洁，并没有多个参数 设置。

3.改进惯性权重的取值策略，提高对当前最优目标区域搜索的精细程度和搜索效率，从 而加快时变PSO-SVM入侵检测模型的收敛速度。

附图说明

图1是时变加速系数和余弦时变加速系数关系图。

图2是余弦时变惯性权重函数。

图3是余弦时变PSO-SVM实现流程。

图4是NSL-KDD数据集适应度值。

图5是ADFA-LD数据集适应度值。

具体实施方式

实施例1

步骤一数据预处理中的数值化和归一化处理。

在NSL-KDD数据集中包含TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征。其中，异常攻击有DOS、R2L、U2R、PROBING四大类39种攻击类型。Normal标注为0、PROBING标注为1、DOS标注为2、 U2R标注为3；对于其中的协议类型，1为icmp、2为tcp、3为udp、4为others。对于ADFA 数据集中分为Normal(Training和Validation)和Attack，将Normal标注为1，Attack标注为2。 同时，为了减少不同特征之间的相互影响，使得每一个特征的重要性不受数值的影响，将数 值归一化处理，采用Min-Max标准化法，使其属于[0,1]之间，公式如下：

式中x'是归一化后的值，x_min是特征中的最小值，x_max是特征中的最大值，x为特征的初 始值，并定义训练和测试样本数据集。

安装SVM入侵检测模型。

将得到的libsvm压缩包解压放在matlab安装目录下的toolbox文件下，运行matlab，将 currentfolder中路径设置到libsvm\matlab的文件目录下在matlab命令窗口输入

>>mex–setup

这时matlab会提示你选择编译mex文件的c/c++编译器。

选择一个安装的c/c++编译器，例如MicrosoftVisualC++2010。

输入命令>>make

看到当前目录生成了二进制文件：libsvmread.mexw32、libsvmwrite.mexw32、svmpredict.mexw32、svmtrain.mexw32。将当前目录添加到matlab路径中即可。

步骤二：余弦时变PSO优化。

将初始化的粒子传递给SVM异常检测模型作为SVM惩罚参数C和高斯径向基参数γ， 将SVM异常检测模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值， 并据此进行粒子群迭代更新，得到最优的SVM惩罚参数C和高斯径向基参数γ。

PSO算法基础模型如下：

V_id(t+1)＝wV_id(t)+c₁r₁(P_id,best(t)-X_id(t))+c₂r₂(P_gd,best(t)-X_id(t)) (1)

X_id(t+1)＝X_id(t+1)+V_id(t+1) (2)

式中i＝1,2,...,N,N表示粒子群数量，P_i(t)和V_i(t)分别表示第t次迭代时的位置和速度适 量，c₁和c₂表示加速因子，w表示惯性权重，r₁和r₂表示[0,1]区间内的随机数。式(1)中， 时变PSO在参数寻优过程中，为了能够在搜索早期阶段避免过早的收敛，期望能让所有粒子 在整个D维搜索空间中寻优，而不是在局部最优值周围聚集，为了更好地平衡时变加速系数 在全局和局部的搜索能力，有效控制粒子全局搜索和快速收敛到全局最优解，提出一种余弦 时变加速系数(CTVAC)，如下式：

式(3)、(4)中t表示当前迭代次数，T表示总迭代次数，b和A是设定值，根据余弦函数的性质，通过计算可以得到b＝1.5、A＝1。根据CTVAC函数在始末位置时的斜率变化， 可以有效地增加在始末位置的取值次数，图1所示。

式(1)中，余弦时变惯性权重w如式(13)、式(14)、式(8)所示。为使粒子的惯性 权重根据粒子的早熟收敛程度，进行非线性自适应地调整，加快其寻优能力，本实施例采用了一种基于适应度值变化的自适应余弦时变惯性权重的取值方式，图2所示。

具体地，首先定义三个平均适应度变量

式(5)中是第t次迭代粒子的适应度值，式(6)中表示最小适应度值，式(7)中表示最大适应度值。

根据适应度值所在区间不同选择不同的惯性权重取值，取值方式如下：

使用上述改进的PSO算法优化SVM模型参数寻优，选取数据训练集，训练SVM入侵检测模型，继而对SVM入侵检测模型进行测试分类，模型算法步骤为：

Step1：初始化设置最大迭代次数T，随机生成N个粒子种群Pop＝(P₁,P₂,...,P_N)及b、A、 w₁和w₂的数值，[C_min,C_max]和[γ_min,γ_max]等参数。随机产生初始速度V_i＝(V_iC,V_iγ)和位置， 式中X_i＝(X_iC,X_iγ)表示该粒子位置有惩罚参数C和核函数参数γ两个分量组成，并设置两 个参数的取值区间。

Step2：计算粒子适应度值根据K折交叉验证意义下的检测精度作为适应度值进行 评估各个粒子，搜寻最优粒子。

Step3：根据粒子适应度值更新粒子的个人最佳位置P_i,best(t)和全局最佳位置P_gd,best(t)。 如果粒子适应度那么更新P_i,best(t)＝X_i(t+1)。否则保留原来位置。如果粒子比 全局最佳位置P_g,best(t)处好，那么更新P_gd,best(t)＝X_i(t)，否则保留原来位置，粒子速度和 位置调整公式。

Step4：根据粒子适应度值及上文中所提方法确定惯性权重w的取值。更新加速系数c₁和 c₂。更新粒子的位置X_id(t+1)和速度V_id(t+1)。

Step5：判断是否满足最大迭代次数，若是，则停止运行并输出最优参数。

步骤三时变PSO-SVM误用检测

流程图如图3所示，按照数据出现的先后排列得到特征向量，为了解决非线性问题，SVM 通过使用核函数将NSL-KDD数据和ADFA数据集中的特征向量映射到高维空间中，寻找最 优超平面划分训练种类。

Subject to y_i(ω^Tφ(x_i)+b)≥1-ξ_i，ξ_i≥0 (10)

式中w表示分类器得到的最优超平面的权值向量，x_i是训练样本，b表示偏置向量，ξ_i表 示松弛变量，惩罚参数C用于提高SVM的泛化能力，使用原始对偶关系，最优决策函数如 下：

式(11)中K(x,x_sv)＝φ(x_i)^Tφ(x_j)是核函数，sv表示支持向量的个数，本发明选用RBF 核函数利用决策函数对数据集进行分类，步骤三中 X_i＝(X_iC,X_iγ)表示该粒子位置有惩罚参数C和核函数参数γ两个分量组成，并设置两个参数的 取值区间，C取值范围[2^-5，2⁵]，γ取值范围[2^-4,2⁴]，通过使用10倍交叉验证，从所选数据 构建了训练数据集和测试数据集。

基于上述阐述，使用Matlab2014b软件对改进后的算法进行验证，通过图4可以看出本 发明在NSL-KDD数据集上进行实验的最佳适应度起始值可以达到97.3％左右，同时迭代10 次左右时很趋近于最优值，在50次左右时达到最优稳定值。由图5可知本发明在ADFA-LD 数据集上进行试验的最佳适应度值起始值高达91％左右，经过两三次迭代之后达到稳定值， 而平均适应度值方面经过100次左右的迭代达到稳定值，本发明的最佳适应度值可以得到很 快的收敛，说明在ADFA-LD数据集上本发明所提模型算法有较高的寻优效率。

表1 NSL-KDD数据集试验结果对比

表2 ADFA-LD数据集测试结果对比

通过表1和表2中对比可以看出，将本发明在两种数据集上分别与其他几种方法进行对 比，结果显示本发明的检测精度都优于其他几种方法。表中FS表示特征选择，“√”表示进行 特征选择，“×”表示未进行特征选择。

虽然本发明已以较佳实施例公开如上，但其并非用以限定本发明，任何熟悉此技术的人， 在不脱离本发明的精神和范围内，都可做各种的改动与修饰，因此本发明的保护范围应该以 权利要求书所界定的为准。

Claims (5)

1.一种误用入侵检测方法，其特征在于，是基于余弦时变PSO算法结合SVM的误用入侵检测方法，所述方法包括以下步骤：

步骤一：数据预处理：将包括正常样本和攻击样本的NSL-KDD数据集和ADFA入侵检测数据集中的所有数据进行数值化处理；

步骤二：余弦时变PSO优化：将初始化的粒子传递给SVM异常检测模型作为SVM惩罚参数C和高斯径向基参数γ，将SVM异常检测模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值，并据此进行粒子群迭代更新，得到最优的SVM惩罚参数C和高斯径向基参数γ；

步骤三：余弦时变PSO-SVM误用检测：利用最优的SVM惩罚参数C和高斯径向基参数γ，建立PSO-SVM流程模型进行异常检测，并且返回交叉验证意义下的分类正确率。

2.根据权利要求1所述的一种误用入侵检测方法，其特征在于，步骤一，采用Min-Max标准化法进行数值归一化处理。

3.根据权利要求1或2所述的一种误用入侵检测方法，其特征在于，步骤二：

PSO算法基础模型如下：

V_id(t+1)＝wV_id(t)+c₁r₁(P_id,best(t)-X_id(t))+c₂r₂(P_gd,best(t)-X_id(t)) (1)

X_id(t+1)＝X_id(t+1)+V_id(t+1) (2)；

式(1)、式(2)中，i＝1,2,...,N,N表示粒子群数量，P_i(t)和V_i(t)分别表示第t次迭代时的位置和速度适量，c₁和c₂表示加速因子，w表示惯性权重，r₁和r₂表示[0,1]区间内的随机数；加速因子c₁、c₂如式(3)、式(4)：

式(3)、式(4)中，t表示当前迭代次数，T表示总迭代次数，b和A是设定值；

式(1)中，余弦时变惯性权重w的获得过程如下：

首先定义三个平均适应度变量

式(5)、式(6)、式(7)中是第t次迭代粒子的适应度值，表示最小适应度值，表示最大适应度值；根据适应度值所在区间不同选择不同的惯性权重取值，取值方式如下：

4.根据权利要求3所述的一种误用入侵检测方法，其特征在于，选取数据训练集，训练SVM入侵检测模型，继而对SVM入侵检测模型进行测试分类；计算粒子适应度值根据K折交叉验证意义下的检测精度作为适应度值进行评估各个粒子，搜寻最优粒子；根据粒子适应度值及惯性权重w的值、更新加速系数、位置X_id(t+1)和速度V_id(t+1)，判断是否满足要求，若是，则停止运行并输出最优参数。

5.根据权利要求1所述的一种误用入侵检测方法，其特征在于，步骤三，

SVM通过使用核函数将NSL-KDD数据和ADFA数据集中的特征向量映射到高维空间中，寻找最优超平面划分训练种类，

Subject to y_i(ω^Tφ(x_i)+b)≥1-ξ_i，ξ_i≥0 (10)

式(9)、(10)中w表示分类器得到的最优超平面的权值向量，x_i是训练样本，b表示偏置向量，ξ_i表示松弛变量，惩罚参数C用于提高SVM的泛化能力，使用原始对偶关系，最优决策函数如下：

式(11)中，α_i是拉格朗日乘子，y_i表示训练样本标签，sv表示支持向量的个数，K(x,x_sv)＝φ(x_i)^Tφ(x_j)是核函数，选用RBF核函数利用决策函数对数据集进行分类，式(10)中X_i＝(X_iC,X_iγ)表示该粒子位置有惩罚参数C和核函数参数γ两个分量组成，并设置两个参数的取值区间，C取值范围[2^-5，2⁵]，γ取值范围[2^-4,2⁴]，通过使用10折交叉验证，从所选数据构建了训练数据集和测试数据集。