CN110727943A

CN110727943A - 一种入侵检测方法及装置

Info

Publication number: CN110727943A
Application number: CN201910965013.5A
Authority: CN
Inventors: 梁本来
Original assignee: Zhongshan Polytechnic
Current assignee: Jiangmen Lingzhi Technology Co ltd
Priority date: 2019-10-11
Filing date: 2019-10-11
Publication date: 2020-01-24
Anticipated expiration: 2039-10-11
Also published as: CN110727943B

Abstract

本申请适用于计算机应用技术领域，提供了入侵检测方法及装置，包括：通过信息熵理论对各入侵类型的数据子集进行初步降维处理，得到入侵类型对应的特征点，并构造得到各入侵类型对应的特征拓扑；基于调和函数对预设的入侵检测模型进行训练，调整入侵检测模型中优化蚁群算法的参数和基于支持向量机的分类器的参数；根据入侵检测模型的参数和蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过目标特征子集检测待检测对象中存在的入侵类型。通过根据十折交叉验证法训练及优化改进蚁群和支持向量机的参数，去掉了数据集中的冗余特征，提高了入侵检测方法的检测性能。

Description

一种入侵检测方法及装置

技术领域

本申请属于计算机应用技术领域，涉及一种入侵检测方法及装置。

背景技术

伴随着网络流量的激增，对入侵检测系统(Intrusion Detection Systems，IDS)的性能提出了更高的要求。网络流量包含大量的特征信息，其中包含有与检测目标关联度较低的特征，以及与其他特征相关性较高的特征，这两类特征可以统称为冗余特征。冗余特征过多，会导致IDS检测算法的时空复杂度增加，降低IDS的检测性能。现有技术中基于传统蚁群算法或粒子群算法求解特征子集，容易陷入局部最优，且求解时间较长、效率低，而降低了入侵检测性能。

发明内容

本申请实施例提供了入侵检测方法及装置，可以解决现有技术中入侵检测性能较低的问题。

第一方面，本申请实施例提供了一种入侵检测方法，包括：

对构造的各入侵类型的数据子集进行初步降维处理，得到至少一个入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑；

基于所述特征拓扑，确定改进蚁群算法中每次蚂蚁移动得到特征子集；

基于预设的调和函数对预设的入侵检测模型进行训练，优化所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数；

根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型。

在第一方面的一种可能的实现方式中，所述对构造的各入侵类型的数据子集进行初步降维处理，得到至少一个入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑，包括：

基于已有的数据集构造所述各入侵类型的数据子集；

对所述数据子集进行初步降维处理，得到所述至少一个入侵类型对应的特征点；

基于所述至少一个入侵类型对应的特征点构造特征拓扑。

在第一方面的一种可能的实现方式中，所述对所述数据子集进行降维处理，得到所述至少一个入侵类型对应的特征点，包括：

根据所述数据子集的特征属性中第x个特征取第y个值的样本个数、所述第x个特征的全部取值个数，计算所述第x个特征属性取第y个值的概率；

根据所述第x个特征属性取第y个值的概率、所述第x个特征的不同取值个数，计算所述第x个特征的信息熵；

根据所述第x个特征的信息熵，计算所述第x个特征的差异系数；

根据所述差异系数计算所述第x个特征属性的权重系数；

根据所述权重系数的大小，选取预设数量的权重系数对应的特征点作为所述至少一个入侵类型对应的特征点。

在第一方面的一种可能的实现方式中，所述基于所述特征拓扑，确定改进蚁群算法中每次蚂蚁移动得到特征子集之前，还包括：

将预设数量的蚂蚁平均分配至所述特征拓扑中预设数量的特征点上，并进行迭代移动；

根据每次迭代移动时每只蚂蚁选取的特征子集中的特征点数量，计算蚂蚁的分配比例，并根据所述分配比例确定所述改进蚁群算法中每只蚂蚁的初始位置；

计算第一特征点的特征属性和第二特征点的特征属性之间相似性，并根据所述相似性确定蚂蚁的选择期望，作为所述改进蚁群算法的启发函数；

根据蚂蚁从所述第一特征点转移到所述第二特征点的信息素残量、信息素增量，确定所述改进蚁群算法的信息素更新策略；

根据所述启发函数和所述信息素更新策略，确定所述改进蚁群算法中蚂蚁从所述第一特征点转移到所述第二特征点的状态转移概率函数公式，以此构成所述改进蚁群算法。

在第一方面的一种可能的实现方式中，所述基于预设的调和函数对预设的入侵检测模型进行训练，优化所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数，包括：

根据预设的模型参数，通过训练循环十折交叉验证求取平均值的方法，对所述入侵检测模型进行训练，确定所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数。

在第一方面的一种可能的实现方式中，所述根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，包括：

确定预设训练次数过程中，所述蚂蚁移动得到特征子集中每个所述特征点出现的频次和；

根据所述频次和、所述入侵检测模型的参数从所述特征点中选出目标特征点组成所述目标特征子集。

在第一方面的一种可能的实现方式中，所述根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型之后，还包括：

在得到最大的调和函数值时，计算并输出训练评估指标；所述训练评估指标用于评价所述入侵检测方法的性能，所述训练评估指标包括召回率指标、查准率指标、调和函数值、训练时间以及测试时间。

第二方面，本申请实施例提供了一种入侵检测装置，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

基于已有的数据集构造所述各入侵类型的数据子集；

对所述数据子集进行降维处理，得到所述至少一个入侵类型对应的特征点；

基于所述至少一个入侵类型对应的特征点构造特征拓扑。

根据所述差异系数计算所述第x个特征属性的权重系数；

第三方面，本申请实施例提供了一种入侵检测装置，包括：

降维模块，用于对构造的各入侵类型的数据子集进行初步降维处理，得到至少一个入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑；

蚁群模块，用于基于所述特征拓扑，确定改进蚁群算法中每次蚂蚁移动得到特征子集；

调参模块，用于基于预设的调和函数对预设的入侵检测模型进行训练，优化所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数；

确定模块，用于根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型。

第四方面，本申请实施例提供了一种计算机可读存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。

第五方面，本申请实施例提供了一种计算机程序产品，当计算机程序产品在终端设备上运行时，使得终端设备执行上述第一方面中任一项所述的入侵检测方法。

可以理解的是，上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。

本申请实施例与现有技术相比存在的有益效果是：通过对构造的各入侵类型的数据子集进行初步降维处理，得到至少一个入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑；基于所述特征拓扑，确定改进蚁群算法中每次蚂蚁移动得到特征子集；基于预设的调和函数对预设的入侵检测模型进行训练，优化所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数；根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型。通过信息熵理论求得初步降维的特征点，基于改进的蚁群算法求解特征子集，根据十折交叉验证法训练及优化改进蚁群和支持向量机的参数，去掉数据集中的冗余特征，提高了入侵检测方法的检测性能。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1示出了可应用本申请实施例的技术方案的示例性系统架构的示意图；

图2是本申请实施例一提供的入侵检测方法的流程图；

图3是本申请实施例一提供的入侵检测方法的流程图；

图4是本申请实施例一提供的特征初步降维的流程图；

图5是本申请实施例一提供的特征邻接拓扑的实例示意图；

图6是本申请实施例一提供的蚁群优化的流程图；

图7是本申请实施例一提供的确定目标特征子集的流程图；

图8是本申请实施例一提供的不同方法的F-Measure平均值的示意图；

图9是本申请实施例一提供的不同方法的测试时间平均值的示意图；

图10是本申请实施例一提供的入侵检测装置的示意图；

图11示出了用于实现本发明实施例的电子设备的计算机系统的结构示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

应当理解，当在本申请说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本申请说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

另外，在本申请说明书和所附权利要求书的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

以下为本实施例中专有技术名词的解释：

TP(True Positive)：真正类，实际为入侵样本并且被成功检测为入侵的样本数量；

FN(False Negative)：假负类，实际为入侵样本但没有被成功检测出，即漏报的样本数量；

FP(False Positive)：假正类，实际为正常样本但被检测为入侵，即误报的样本数量；

TN(True Positive)：真负类，实际为正常样本并且没有被误报的样本数量。

图1示出了可以应用本申请实施例的技术方案的示例性系统架构的示意图。

如图1所示，系统架构可以包括终端设备(如图1中所示智能手机101、平板电脑102和便携式计算机103中的一种或多种，当然也可以是台式计算机等等)、网络104和服务器105。网络104用以在终端设备和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线通信链路、无线通信链路等等。

应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。比如服务器105可以是多个服务器组成的服务器集群等。

用户可以使用终端设备通过网络104与服务器105交互，以接收或发送消息等。服务器105可以是提供各种服务的服务器。例如用户利用终端设备103(也可以是终端设备101或102)向服务器105上传了已有的数据集。

请一并参阅图2所示，服务器105可以由KDD CUP99构造数据子集，对构造的各入侵类型的数据子集进行预处理，对特征点进行初步降维处理，得到至少一个入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑，即特征邻接拓扑；基于所述特征拓扑，确定改进蚁群算法(Ant Colony Optimization，ACO)中每次蚂蚁移动得到特征子集；基于预设的调和函数对预设的入侵检测模型进行训练，通过计算最佳F-Measure值，调整入侵检测模型中所述改进蚁群算法的参数和基于支持向量机(Support Vector Machine，SVM)的分类器的参数；根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型，最后输出Recall、Precision、F-Measure、训练时间和测试时间等，以对入侵检测方法进行评估。

需要说明的是，本申请实施例所提供的入侵检测方法一般由服务器105执行，相应地，入侵检测装置一般设置于服务器105中。但是，在本申请的其它实施例中，终端设备也可以与服务器具有相似的功能，从而执行本申请实施例所提供的入侵检测的方案。

参见图3，图3是本申请实施例一提供的一种入侵检测方法的流程图。本实施例中入侵检测方法的执行主体为具有入侵检测功能的装置，包括但不限于计算机、服务器、平板电脑或者终端等装置，其中，服务器可以是图1中所示的服务器。如图所示的入侵检测方法至少包括步骤S310至步骤S340，详细介绍如下：

在步骤S301中，对构造的各入侵类型的数据子集进行初步降维处理，得到至少一个入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑。

随着网络流量的激增，对入侵检测系统的性能提出了更高的要求。网络流量包含大量的特征信息，其中包含有与检测目标关联度较低的特征，以及与其他特征相关性较高的特征，这两类特征可以统称为冗余特征。冗余特征过多，会导致IDS检测算法的时空复杂度增加，降低IDS的检测性能。因此，在原始的特征点中筛选出最优特征子集，保留数据中贡献度较大特征，去掉一些冗余特征甚至噪声特征，以提高IDS分类器性能，是当今IDS领域的一个研究热点和难点。

现有的基于蚁群算法及粒子群算法的入侵检测方法，存在如下缺点：

1、有用改进蚁群算法或粒子群算法优化算法参数，但并未求解特征子集，不能显著地提高IDS的检测性能。

2、基于传统蚁群算法或粒子群算法求解特征子集，容易陷入局部最优，且求解时间较长；

3、用改进的蚁群算法或粒子群算法求解特征子集，求解的特征子集不够精简，对智能算法的参数也没有明确的优化分析，导致检测性能有待进一步提升。

在本发明的一个实施例中，总结分析以上现有技术缺点，提出一种基于改进蚁群求解特征子集的入侵检测方法(IDM-FS-IACO)，该方法可以在对数据特征初步降维的基础上，由改进ACO进一步求解特征子集，从而减少冗余特征，并在训练阶段优化改进ACO及SVM的参数。

在本发明的一个实施例中，对KDD CUP 99数据集特征属性做预处理，通过信息熵理论求得初步降维的特征点，并构造特征拓扑。

在本发明的一个实施例中，如图3所示，步骤S310中对构造的各入侵类型的数据子集进行降维处理，得到至少一个入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑的过程，可以包括如下步骤：

在步骤S401中，基于已有的数据集构造所述各入侵类型的数据子集。

在本发明的一个实施例中，可以采用KDD CUP 99数据集构造所述各入侵类型的数据子集，KDD CUP是由计算机械协会特别兴趣小组组织的年度竞赛，KDD CUP 99数据集就是KDD竞赛在1999年举行时采用的数据集。其中，一个网络连接定义为在某个时间内从开始到结束的传输控制协议数据包序列，并且在这段时间内，数据在预定义的协议下从源IP地址到目的IP地址的传递。每个网络连接被标记为正常或异常，异常类型被细分为4大类共39种攻击类型，其中22种攻击类型出现在训练集中，另有17种未知攻击类型出现在测试集中。

示例性的，本实施例中通过针对四种入侵类型进行入侵检测，这四种入侵类型分别是：拒绝服务攻击(Denial Of Service，DoS)、来自远程主机的未授权访问R2L、未授权的本地超级用户特权访问U2R以及端口监视或扫描Probe。

需要说明的是，本实施例中对入侵类型的种类不做限定，其种类数量可以为至少两种，比如四种，也可以为四种以上，此处不做限定。

在步骤S402中，对所述数据子集进行初步降维处理，得到所述至少一个入侵类型对应的特征点。

在本发明的一个实施例中，步骤S402中对所述数据子集进行降维处理，得到所述至少一个入侵类型对应的特征点的过程，具体包括：

根据所述差异系数计算所述第x个特征属性的权重系数；

具体的，在本发明的一个实施例中，根据信息熵理论对特征属性进行降维分析，方法如下：

p_xy表示第x个特征属性取第y个值的概率，n_xy表示第x个特征取第y个值的样本个数，n_x表示第x个特征的全部取值个数(相同取值个数也累加)，m_x表示第x个特征的不同取值个数，E_x表示第x个特征的信息熵，CV_x表示第x个特征的差异系数，则有如下公式：

CV_x＝1-E_x (3)

得出第x个特征属性的权重系数W_x如下，其中N表示数据对应的全部特征个数：

将所有特征属性按其权重系数按降序排列，按以下公式选取权重较大的特征属性，其中δ＝0.80。

其中m取最小值，将前m个特征属性筛选出，其余特征属性删除。

示例性的，本实施例中基于四种入侵类型，按照此方法对实验所用的表1中的数据样本特征进行降维分析，得出四种入侵类型对应的主要特征个数、权重及对应的特征属性见表1：

表1初步降维后的特征属性及权重比例

在步骤S403中，基于所述至少一个入侵类型对应的特征点构造特征拓扑。

在本发明的一个实施例中，以m个特征属性对应构造m个特征点，其中m的取值见表3。m个特征点之间两两相连，构造邻接拓扑。四种不同的入侵类型，对应四个不同的特征邻接拓扑。特征点m较多时，特征拓扑相对复杂，图5为以5个特征点为例构造的特征邻接拓扑。

在步骤S302中，基于所述特征拓扑，确定改进蚁群算法中每次蚂蚁移动得到特征子集。

在本发明的一个实施例中，由改进ACO进一步求解特征子集。在改进ACO中，蚂蚁的初始位置、启发函数、信息素更新策略及状态转移概率函数均作了优化。

在本发明的一个实施例中，如图6所示，在步骤S302中基于所述特征拓扑，确定改进蚁群算法中每次蚂蚁移动得到特征子集的过程之前，还包括步骤S601～步骤S604：

在步骤S601中，将预设数量的蚂蚁平均分配至所述特征拓扑中预设数量的特征点上，并进行迭代移动。

在本发明的一个实施例中，在改进ACO求解特征子集的过程中，第1次迭代时，n只蚂蚁(n为m的整数倍)，被平均分配到m个特征点上。在第i(i＝2,…,t*)次迭代时，初始分配蚂蚁，并进行迭代移动。

在步骤S602中，根据每次迭代移动时每只蚂蚁选取的特征子集中的特征点数量，计算蚂蚁的分配比例，并根据所述分配比例确定所述改进蚁群算法中每只蚂蚁的初始位置。

在本发明的一个实施例中，假设每只蚂蚁选取的特征子集中特征点数量为u，第i次迭代时，假设n只蚂蚁第i-1次迭代后求解的特征子集中特征点v_j(j＝1,2,...,m)的出现次数和为C_i(v_j)，计算分配比例如下：

按照公式(6)，将n只蚂蚁分配到特征点v_j上，直到n只蚂蚁分配完毕。

在步骤S603中，计算第一特征点的特征属性和第二特征点的特征属性之间相似性，并根据所述相似性确定蚂蚁的选择期望，作为所述改进蚁群算法的启发函数。

在本发明的一个实施例中，启发函数η_ij(t)用来描述t时刻，蚂蚁从特征点v_i到v_j的选择期望。η_ij(t)计算公式如下：

η_ij(t)＝1-pr_ij (7)

其中pr_ij表示特征点v_i和v_j的相似性，由Pearson相关系数来描述。sm表示样本数量，v_i和v_j分别对应特征F_i和F_j，F_ik表示特征F_i的第k个取值，

表示特征F_i的平均取值。根据统计学理论可知，pr_ij的取值范围是[-1,1]，因此η_ij(t)的取值范围是[0,2]，数字越大，蚂蚁从特征点v_i到v_j的选择期望也就越大。

在步骤S604中，根据蚂蚁从所述第一特征点转移到所述第二特征点的信息素残量、信息素增量，确定所述改进蚁群算法的信息素更新策略。

在本发明的一个实施例中，第t+1次时刻，特征点v_i到特征点v_j的信息素更新函数如下：

τ_ij(t+1)＝(1-ρ)·τ_ij(t)+ρ·Δτ_ij(t) (9)

其中t≥0，τ_ij(t)表示t时刻，特征点v_i到下一跳特征点v_j的信息素残量，初始时刻信息素τ_ij(0)是大于0的常数。ρ∈(0,1)，表示信息素的挥发系数。Δτ_ij ^k(t)表示t时刻，蚂蚁k从特征点v_i跳到特征点v_j的信息素增量，a代表符合以上条件的蚂蚁个数，Δτ_ij ^k(t)的计算公式如下：

初始时刻Δτ_ij ^k(0)＝0，η_ij(t)的取值参见公式(7)，S^k(t)表示蚂蚁k在t时刻求得到的特征子集。

在步骤S605中，根据所述启发函数和所述信息素更新策略，确定所述改进蚁群算法中蚂蚁从所述第一特征点转移到所述第二特征点的状态转移概率函数公式，以此构成所述改进蚁群算法。

在本发明的一个实施例中，在传统蚁群算法中，t时刻，第k只蚂蚁从特征点v_i转移到v_j的状态转移概率函数公式如下：

其中α和β表示两个权重参数，A_ki表示允许蚂蚁k从节点i跳到的下一特征点的集合。公式(12)容易导致蚂蚁过早收敛至局部最优解，为解决此问题，将状态转移概率函数改进如下：

改进的状态转移概率函数

不仅有

的概率按照P_k(ij)(t)搜索下一跳，同时还有γ的概率随机进行搜索，目的是防止过早收敛至局部最优。特别是在早期迭代时，t数值较小，P_k(ij)(t)相对不够科学，因此γ取值不可忽略，可以凸显出随机搜索的相对重要性。但随着蚂蚁迭代次数累加，t数值逐渐增大时，P_k(ij)(t)相对更具科学指导意义，因此γ取值逐渐趋近于0，蚂蚁搜索下一跳更依赖于P_k(ij)(t)，以便可以最终收敛至最优解。

在步骤S303中，基于预设的调和函数对预设的入侵检测模型进行训练，优化所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数。

在本发明的一个实施例中，根据预设的模型参数，通过训练循环十折交叉验证求取平均值的方法，对所述入侵检测模型进行训练，确定所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数。

在本发明的一个实施例中，设定召回率指标Recall和查准率指标Precision分别为：

在本发明的一个实施例中，仅考虑召回率及查准率，并不能准确评估入侵检测方法性能，因此采用调和函数F-Measure进行评价，公式如下：

在本实施例中，θ＝1，均衡考虑召回率及精确率。

本实施例采用径向基RBF函数作为SVM核函数，将IDM-FS-IACO的参数优化数学模型描述如下：

其中，(S,P)是一个混合向量，其中S表示改进ACO求解特征子集的参数，包括初始时刻信息素τ_ij(0)，信息素挥发系数ρ，信息素更新权重参数α，启发函数权重参数β，蚂蚁数量n，最大迭代次数t*，特征子集中特征的个数m*；P表示SVM参数，包括误差惩罚参数C和RBF核参数σ，F表示IDS模型的F-Measure值。各参数的取值或取值范围见表2：

表2 IDM-FS-IACO的参数取值或取值范围

参数	取值或取值范围
		τ<sub>ij</sub>(0)	5
α	1
		β	2
ρ	0.5
		n	2m
t<sup>*</sup>	10m
		m<sup>*</sup>	{6,7,8,9,10}
C	2<sup>i</sup>,(i＝7,8,9,10)
		σ	2<sup>j</sup>,(j＝1,2,3,4)

在本发明的一个实施例中，服务器采用HP ProLiant ML10，内存16GB，Xeon四核3.1GHZ主频CPU，Windows 10 64bit操作系统，采用林智仁教授的Libsvm-3.23实现仿真实验。采用表2中十等分后混合的数据子集，通过循环十折交叉验证求取平均值的方法进行训练并优化参数。具体参数取值计算公式如下：

其中，χ∈{m^*,c,σ}，

表示第i次训练实验时，实验结果取得最佳F-Measure值时该参数χ的取值，z表示总共进行训练实验的次数。将四个数据子集训练及测试获得最佳F-Measure值时，对应的参数列入表3：

表3 IDM-FS-IACO的参数优化结果

入侵类型	m<sup>*</sup>	C	σ
				DoS	6	486.40	2.96
Probe	5	705.42	8.04
				U2R	4	887.47	9.56
R2L	5	283.02	3.84

在步骤S304中，根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型。

在本发明的一个实施例中，如图7所示，步骤S304中根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集的过程，包括步骤S701～步骤S702：

在步骤S701中，确定预设训练次数过程中，所述蚂蚁移动得到特征子集中每个所述特征点出现的频次和。

在本发明的一个实施例中，在第i(i＝1,2,…,z)次训练实验后，假设有特征点v_x出现在蚁群求解的特征子集中，

表示第i次训练实验后蚁群求解的特征子集，C_z(v_x)表示z次训练实验后，特征点v_x出现的频次和

在步骤S702中，根据所述频次和、所述入侵检测模型的参数从所述特征点中选出目标特征点组成所述目标特征子集。

在本发明的一个实施例中，按照频次和对特征点进行降序排列，选出前m*个特征点作为z次实验后蚁群最终求解的特征子集，列入表3。

表3改进ACO求解的特征子集

在本发明的一个实施例中，步骤S304中根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型的过程之后，还包括：

在本发明的一个实施例中，采用与步骤S303中参数优化相同的实验环境及数据集，通过十折交叉验证求取平均值的方法进行测试实验，综合对比蚁群-支持向量机方法ACO-SVM，改进蚁群方法ADM-ACCRMA，改进蚁群与遗传算法组合的方法IACO-GA、基于遗传算子的粒子群特征选择方法CMPSO，改进粒子群联合禁忌搜索的特征选择方法IPSO-TS，以及本实施例方法IDM-FS-IACO，将测试实验的Recall平均值及Precision平均值结果列入表4。

表4不同方法的Recall和Precision平均值

在本发明的一个实施例中，对于DoS、Probe入侵类型数据，以上6种方法的实验结果表现都较好，Recall平均值及Precision平均值均达到90％以上，其中IDM-FS-IACO的Recall平均值相比IPSO-TS分别提升1.87％、2.19％。

在本发明的一个实施例中，对于R2L入侵类型样本，IDM-FS-IACO的实验结果表现更好，相比IPSO-TS，Recall平均值及Precision平均值分别提升4.43％和2.09％。

在本发明的一个实施例中，对于U2R入侵类型样本，因实验所用数据集中该入侵类型的样本很少，实验结果表现均不好，但IDM-FS-IACO的Recall平均值仍达到了80％，Precision平均值相比IPSO-TS提升10％。

在本发明的一个实施例中，在对F-Measure结果进行比较时，仅考虑Recall平均值及Precision平均值并不能科学地评价以上方法的性能，根据公式(18)计算F-Measure平均值，该结果对召回率及查准率进行了调和平均，可以全面科学地反映算法模型的性能，对比结果见图8。对于DoS、Probe、U2R及R2L四种不同入侵类型数据，本实施例方法IDM-FS-IACO的F-Measure平均值相比其他5种方法均有一定程度的提升，特别是对于U2R及R2L入侵类型，性能提升明显。

在本发明的一个实施例中，对测试时间进行对比分析。分析图9，因未对特征属性精简，ACO-SVM方法的测试时间最长；IDM-FS-IACO方法的测试时间相比其他方法均有所减少。

上述方案，通过对构造的各入侵类型的数据子集进行初步降维处理，得到四种入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑；基于所述特征拓扑，确定改进蚁群算法中每次蚂蚁移动得到特征子集；基于预设的调和函数对预设的入侵检测模型进行训练，优化所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数；根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型。通过信息熵理论求得初步降维的特征点，基于改进的蚁群算法求解特征子集，根据十折交叉验证法训练及优化改进蚁群和支持向量机的参数，去掉数据集中的冗余特征，提高了入侵检测方法的检测性能。

参见图10，图10是本申请实施例三提供的一种入侵检测装置的示意图。入侵检测装置1000可以为智能手机、平板电脑等移动终端。本实施例的入侵检测装置1000包括的各单元用于执行图1对应的实施例中的各步骤，具体请参阅图1及图1对应的实施例中的相关描述，此处不赘述。本实施例的入侵检测装置1000包括：

降维模块1001，用于对构造的各入侵类型的数据子集进行初步降维处理，得到至少一个入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑；

蚁群模块1002，用于基于所述特征拓扑，确定改进蚁群算法中每次蚂蚁移动得到特征子集；

调参模块1003，用于基于预设的调和函数对预设的入侵检测模型进行训练，优化所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数；

确定模块1004，用于根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型。

进一步的，所述降维模块1001包括：

构造单元，用于基于已有的数据集构造所述各入侵类型的数据子集；

特征降维单元，用于对所述数据子集进行初步降维处理，得到所述至少一个入侵类型对应的特征点；

拓扑单元，用于基于所述至少一个入侵类型对应的特征点构造特征拓扑。

进一步的，所述特征降维单元包括：

第一计算单元，用于根据所述数据子集的特征属性中第x个特征取第y个值的样本个数、所述第x个特征的全部取值个数，计算所述第x个特征属性取第y个值的概率；

第二计算单元，用于根据所述第x个特征属性取第y个值的概率、所述第x个特征的不同取值个数，计算所述第x个特征的信息熵；

第三计算单元，用于根据所述第x个特征的信息熵，计算所述第x个特征的差异系数；

第四计算单元，用于根据所述差异系数计算所述第x个特征属性的权重系数；

选取单元，用于根据所述权重系数的大小，选取预设数量的权重系数对应的特征点作为所述至少一个入侵类型对应的特征点。

进一步的，所述入侵检测装置1000还包括：

移动单元，用于将预设数量的蚂蚁平均分配至所述特征拓扑中预设数量的特征点上，并进行迭代移动；

初始位置单元，用于根据每次迭代移动时每只蚂蚁选取的特征子集中的特征点数量，计算蚂蚁的分配比例，并根据所述分配比例确定所述改进蚁群算法中每只蚂蚁的初始位置；

第五计算单元，用于计算第一特征点的特征属性和第二特征点的特征属性之间相似性，并根据所述相似性确定蚂蚁的选择期望，作为所述改进蚁群算法的启发函数；

信息素更新单元，用于根据蚂蚁从所述第一特征点转移到所述第二特征点的信息素残量、信息素增量，确定所述改进蚁群算法的信息素更新策略；

转移概率单元，用于根据所述启发函数和所述信息素更新策略，确定所述改进蚁群算法中蚂蚁从所述第一特征点转移到所述第二特征点的状态转移概率函数公式，以此构成所述改进蚁群算法。

进一步的，所述调参模块1003包括：

参数确定单元，用于根据预设的模型参数，通过训练循环十折交叉验证求取平均值的方法，对所述入侵检测模型进行训练，确定所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数。

进一步的，所述确定模块1004包括：

频次单元，用于确定预设训练次数过程中，所述蚂蚁移动得到特征子集中每个所述特征点出现的频次和；

目标子集单元，用于根据所述频次和、所述入侵检测模型的参数从所述特征点中选出目标特征点组成所述目标特征子集。

进一步的，所述入侵检测装置1000还包括：

评估单元，用于在得到最大的调和函数值时，计算并输出训练评估指标；所述训练评估指标用于评价所述入侵检测方法的性能，所述训练评估指标包括召回率指标、查准率指标、调和函数值、训练时间以及测试时间。

上述方案，通过对构造的各入侵类型的数据子集进行初步降维处理，得到至少一个入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑；基于所述特征拓扑，确定改进蚁群算法中每次蚂蚁移动得到特征子集；基于预设的调和函数对预设的入侵检测模型进行训练，优化所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数；根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型。通过信息熵理论求得初步降维的特征点，基于改进的蚁群算法求解特征子集，根据十折交叉验证法训练及优化改进蚁群和支持向量机的参数，去掉数据集中的冗余特征，提高了入侵检测方法的检测性能。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

图11示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图。

需要说明的是，图11示出的电子设备的计算机系统1100仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图11所示，计算机系统1100包括中央处理单元(Central Processing Unit，CPU)1101，其可以根据存储在只读存储器(Read-Only Memory，ROM)1102中的程序或者从存储部分1108加载到随机访问存储器(Random Access Memory，RAM)1103中的程序而执行各种适当的动作和处理。在RAM 1103中，还存储有系统操作所需的各种程序和数据。CPU1101、ROM 1102以及RAM1103通过总线1104彼此相连。输入/输出(Input/Output，I/O)接口1105也连接至总线1104。

以下部件连接至I/O接口1105：包括键盘、鼠标等的输入部分1106；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分1107；包括硬盘等的存储部分1108；以及包括诸如LAN(Local AreaNetwork，局域网)卡、调制解调器等的网络接口卡的通信部分1109。通信部分1109经由诸如因特网的网络执行通信处理。驱动器1110也根据需要连接至I/O接口1105。可拆卸介质1111，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1110上，以便于从其上读出的计算机程序根据需要被安装入存储部分1108。

特别地，根据本发明的实施例，下文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分1109从网络上被下载和安装，和/或从可拆卸介质1111被安装。在该计算机程序被中央处理单元(CPU)1101执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本发明实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现上述实施例中所述的方法。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本发明实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本发明实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

1.一种入侵检测方法，其特征在于，包括：

2.如权利要求1所述的入侵检测方法，其特征在于，所述对构造的各入侵类型的数据子集进行初步降维处理，得到至少一个入侵类型对应的特征点，以及基于所述特征点构造得到的特征拓扑，包括：

基于已有的数据集构造所述各入侵类型的数据子集；

基于所述至少一个入侵类型对应的特征点构造特征拓扑。

3.如权利要求2所述的入侵检测方法，其特征在于，所述对所述数据子集进行降维处理，得到所述至少一个入侵类型对应的特征点，包括：

根据所述差异系数计算所述第x个特征属性的权重系数；

4.如权利要求1所述的入侵检测方法，其特征在于，所述基于所述特征拓扑，确定改进蚁群算法中每次蚂蚁移动得到特征子集之前，还包括：

5.如权利要求1所述的入侵检测方法，其特征在于，所述基于预设的调和函数对预设的入侵检测模型进行训练，优化所述入侵检测模型中所述改进蚁群算法的参数和基于支持向量机的分类器的参数，包括：

6.如权利要求1所述的入侵检测方法，其特征在于，所述根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，包括：

7.如权利要求1所述的入侵检测方法，其特征在于，所述根据所述入侵检测模型的参数和所述蚂蚁移动得到特征子集，确定预设训练次数之后蚁群求解的目标特征子集，以通过所述目标特征子集检测待检测对象中存在的入侵类型之后，还包括：

8.一种入侵检测装置，其特征在于，包括：

9.一种入侵检测装置，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。