基于IPSO-SVM算法的网络入侵检测方案研究
(江苏省徐州财经高等职业技术学校,江苏 徐州 221008)
作者简介:杨力(1990—),女,汉族,江苏徐州人,助理实验师,硕士研究生学历。研究方向:计算机技术、计算机网络技术。
摘要:为了提高网络入侵检测水平,本文在SVM算法基础上进行优化,形成IPSO-SVM算法。将该算法应用至网络入侵检测中,构建新的网络入侵检测架构。该架构通过样本分类,简化入侵检测体系,采取迭代处理选取最优参数,将其作为入侵检测判断依据。实验测试结果显示,本文提出的入侵检测方案能够全面识别入侵攻击行为,正确率较高,可以作为网络入侵检测工具。
关键词:IPSO-SVM算法;入侵检测;网络
Research on network intrusion detection scheme based on ipso-svm algorithm
Yang Li
(Jiangsu Xuzhou higher vocational and technical school of Finance and economics, Xuzhou, Jiangsu 221008)
Abstract: in order to improve the level of network intrusion detection, this paper optimizes the SVM algorithm to form ipso-svm algorithm. The algorithm is applied to network intrusion detection to build a new network intrusion detection architecture. The architecture simplifies the intrusion detection system through sample classification, and adopts iterative processing to select the optimal parameters as the basis for intrusion detection judgment. The experimental results show that the intrusion detection scheme proposed in this paper can comprehensively identify the intrusion attack behavior with high accuracy, and can be used as a network intrusion detection tool.
Keywords: ipso-svm algorithm; Intrusion detection; network
近年来,互联网技术应用覆盖领域越来越大,为我国社会经济发展创造有利条件的同时,也埋下了网络安全隐患[1]。从当前网络使用情况来看,各行各业都存在网络遭受攻击问题,如何采取有效的防御手段,成为了当前重点研究内容[2]。传统的防御方法包括防火墙、身份识别等,然而这些防止入侵的方法对入侵行为识别能力薄弱,并且入侵检测效率较低[3]。为了弥补传统入侵检测方法存在的不足,本文尝试在SVM算法基础上,优化算法生成IPSO-SVM算法,将该算法应用至网络入侵检测当中,提出新的入侵检测方案研究。
一、IPSO-SVM算法设计
1、SVM算法
SVM算法建立在统计学理论基础上,通过创建函数来描述入侵行为识别信息[4]。假设以下方程成立:
公式(1)中, 代表输入向量; ,该参数取值不同时,代表不同的类别; 取值范围 ;b代表偏移量;参数i取值 。
通过简化函数结构,对网络空间的二次规划问题展开探究,通过设定约束条件,得到决策分类函数,计算公式如下:
公式(2)中,sgn()代表符号函数; 代表样本的Lagrange乘子; 代表核心函数。
2、IPSO-SVM算法
IPSO-SVM算法是在SVM算法基础上,引入了改进粒子群算法,打造的一套新的入侵检测算法。该算法以入侵检测精度提升作为算法优化目的,算法开发流程如下:
第一步:采用初始化处理方法,对粒子初始数值采取处理;
第二步:根据实际情况,对粒子当前的适应度加以评价;
第三步:以个体和全局作为处理环境,分别从中选取最优粒子适应度值,并加以更新;
第四步:以粒子所处当前位置和当前运行速度作为入侵检测对象,更新粒子检测对象;
第五步:将当前各项参数与结束条件进行对比,判断当前是否满足,如果满足,则停止粒子更新操作,同时将最优参数输出。如果未能达到结束条件要求,则返回第二步,直至满足条件;
第六步:采取迭代处理,从支持向量机当中提取最优参数,作为IPSO-SVM算法模型参数,形成IPSO-SVM算法模型。
二、基于IPSO-SVM算法的网络入侵检测模型的构建
1、网络入侵检测模型架构
二类问题的研究已经满足不了高精度网络入侵检测需求,本研究尝试引入多分类器,提出多分类入侵检测研究[5]。该检测方案中使用二类分类器若干,通过组合形成新的架构,打造 个样本分类装置。假设,a类和b类作为检测对象,在此当中寻找最优超平面,得以构建以下样本训练集:
利用上述训练集,完成 个样本分类,而后判别各个样本的类别。其中,判别方法使用的是投票法MWV(Max-Wins Voting)。从训练样本中随意抽取两个样本,通过 比较分析,从中选取符合当前类别的样本。将本轮结果作为下一轮对比的样本,与训练集中的其他样本进行对比,再次选取符合当前类别的样本。按照此方法迭代处理,直至训练集中所有样本均被遍历。按照此方法,完成样本类别的划分。
接下来,对不同类别的样本入侵行为加以判断,以此降低入侵检测判断难度,同时也可以更加精准地做出判断[6]。如图1所示为检测模型的框架结构。
图1 检测模型的框架结构
该架构中,被检测对象为某数据包中的数据,对数据包收集到的数据采取预处理,作为IPSO-SVM检测对象。获取预处理数据后,分别构建训练数据集、数据测试集。其中,选取训练数据集作为训练模型构建基础,测试数据集作为测试模型性能分析依据,将模型及性能测试结果作为入侵检测依据,构建IPSO-SVM入侵检测模型[7]。利用该模型设置多个检测代理,分别对经过处理后的数据加以检测,生成响应单元。关于网络入侵检测功能的实现,离不开数据包,此部分信息来自网络访问行为数据库[8]。所有网络访问行为将被存储至数据库中,由本框架结构调用系统数据库,收集相关数据信息,并对这些数据加以整理,而后生成待检测对象,以便满足IPSO-SVM检测条件。另外,需要强调的是,训练数据集和测试数据集均来自数据预处理模块,并非网络访问行为数据信息,而是经过一番处理后的数据,以此提高网络入侵检测效率[9]。
2、网络入侵检测流程
利用本文设计的IPSO-SVM入侵检测模型对网络中的入侵样本进行检测,具体流程如下:
第一步:采集原始数据,从网络端口收集访问行为数据信息;
第二步:采用归一化处理方式,对当前收集到的原始数据加以处理,令大小不一的样本矢量统一,从而提高样本数据收敛速度;
第三步:选定SVM中的学习样本。采用归一化处理生成新的数据样本作为学习样本,引入IPSO算法,对SVM架构中的参数加以优化,生成模型最优参数;
第四步:利用上一步生成的参数,对网络入侵检测样本加以训练,生成IPSO-SVM入侵检测模型。该模型中的样本数据类型的识别,采用组合判断的方式加以分类,形成不同类别的样本体系。
第五步:对网络中的数据信息加以检测。其中,检测标准为数据库设定的网络入侵行为特征,如果当前数据信息与网络入侵行为特征相符,则认为当前信息对应的访问行为是入侵行为,立即发出警报[10]。
第六步:按照上述步骤,依次对各个网络访问端口的样本数据检测,从中找出具备入侵行为的样本数据,并输出检测结果。
三、实验测试分析
1、实验环境与数据源
本实验在Windows10操作系统环境中展开,系统运行平台为MATLAB R2011a,将该环境与某网络接口建立通信连接,模拟网络入侵访问环境。在此环境中,运用本文设计的入侵检测系统,识别网络端口的入侵行为。其中,数据源来自某网络端口数据集。该集合中含有3种入侵类型,分别是扫描攻击、远程网络攻击、本地超级权限访问攻击。
为了检验本文提出的IPSO-SVM入侵检测方案可靠性,本文以SVM模型作为对照组,选取5个样本包作为检测对象展开检测,统计检测结果。
2、入侵检测结果分析
(1)入侵类别识别检测
模拟网络端口中3个数据包存在网络入侵攻击,实际结果和检测结果如表1所示。
表1 入侵类别识别检测结果统计
模型 评价指标 样本包1 样本包2 样本包3 样本包4 样本包5
SVM 检测结果 无入侵攻击 无入侵攻击 无入侵攻击 无入侵攻击 本地超级权限访问攻击
实际结果 扫描攻击 无入侵攻击 远程网络攻击 无入侵攻击 本地超级权限访问攻击
IPSO-SVM 检测结果 扫描攻击 无入侵攻击 远程网络攻击 无入侵攻击 本地超级权限访问攻击
实际结果 扫描攻击 无入侵攻击 远程网络攻击 无入侵攻击 本地超级权限访问攻击
观察表1中的检测结果可知,SVM检测结果中两个样本包检测出现错误,未能检测出样本包1的扫描攻击、样本包3的远程网络攻击。相比之下,IPSO-SVM模型检测结果更为精准,5个样本包的入侵情况均得以正确检测。除了样本包2和样本包4以外,其他3个样本包均遭受网络入侵,检测结果与实际结果相符。因此,本文设计的IPSO-SVM模型在网络入侵检测中应用的优势更大。
(2)不同模型入侵检测
本实验统计两种模型在5个样本包中入侵检测结果,分别统计5个样本包中的数据检测结果,包括正确率、漏报率、误报率,结果如表2所示。
表2 不同模型入侵检测结果统计
模型 评价指标 样本包1 样本包2 样本包3 样本包4 样本包5
SVM 正确率 82.01% 82.36% 83.14% 83.09% 82.54%
漏报率 17.99% 17.64% 16.86% 16.91% 17.46%
误报率 6.22% 5.98% 6.11% 6.28% 6.35%
IPSO-SVM 正确率 94.25% 93.68% 95.22% 94.78% 95.03%
漏报率 5.75% 6.32% 4.78% 5.22% 4.97%
误报率 1.03% 1.21% 0.93% 1.01% 0.88%
表1中,SVM模型应用下,5个样本包入侵检测最高正确率为83.14%,最低正确率为82.01%;5个样本包入侵检测最高漏报率为17.99%,最低漏报率为16.86%;5个样本包入侵检测最高误报率为6.35%,最低误报率为5.98%。IPSO-SVM模型应用下,5个样本包入侵检测最高正确率为95.22%,最低正确率为94.25%;5个样本包入侵检测最高漏报率为6.32%,最低漏报率为4.78%;5个样本包入侵检测最高误报率为1.21%,最低误报率为0.88%。与SVM模型相比,IPSO-SVM模型的入侵检测正确率更高,漏报率和误报率更低。所以,IPSO-SVM模型性能更佳,可以作为网络入侵行为检测工具。
总结
本文围绕网络入侵检测方法展开探究,在SVM模型基础上,提出IPSO-SVM模型的构建研究。利用该模型设计一套网络入侵检测方案,该检测方案是对样本数据类型进行分类,按照不同类别样本入侵行为特点,分别设置检测对比标准。对数据采取预处理后,检测样本包中具备入侵特点的数据。实验结果表明,本文提出的IPSO-SVM模型能够准确识别入侵行为,检测正确率在82%以上。
参考文献
[1]陈卓,单欣欣.一种基于ALO-SVM算法的入侵检测方法[J].现代电子技术,2020, 43(10):79-82.
[2]马占飞,杨晋,金溢,等.基于IQPSO-IDE算法的网络入侵检测方法[J].计算机工程与应用,2019,55(10):115-120,204.
[3]付子爔,徐洋,吴招娣,等.基于增量学习的SVM-KNN网络入侵检测方法[J].计算机工程,2020,46(4):115-122.
[4]陈冬阳,彭道刚,张浩,等. KPCA-IPSO-OCSVM方法在工业控制系统入侵检测中的应用[J].中国科技论文,2019,14(3):8.
[5]汪生,金志刚.基于模糊SVM模型的入侵检测分类算法[J].计算机应用研究,2020, 340(2):187-190.
[6]代建建,陶洋,章思青.基于自步学习的无线传感网入侵检测集成算法[J].计算机工程与设计,2019,40(5):57-61,78.
[7]芶继军,李均华,陈晨,等.基于随机森林的网络入侵检测方法[J].计算机工程与应用,2020,56(2):82-88.
[8]朱军,吴鹏.基于深度学习的船舶工业网络入侵检测研究[J].舰船科学技术,2020, 42(9):186-188.
[9]任家东,刘新倩,王倩,等.基于KNN离群点检测和随机森林的多层入侵检测方法[J].计算机研究与发展,2019,56(3):10.
[10]陈红松,陈京九.基于循环神经网络的无线网络入侵检测分类模型构建与优化研究[J].电子与信息学报,2019,41(6):162-168.
