技術(shù)報告基于PSO-BP神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)優(yōu)化算法

1、計劃類別 項目編號 項目技術(shù)報告課題名稱 項目主持人 承擔單位 題目：基于PSOBP神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)優(yōu)化算法的研究針對基于BP神經(jīng)網(wǎng)絡(luò)的IDS技術(shù)收斂速度較慢，易陷入局部最優(yōu)值、網(wǎng)絡(luò)癱瘓，系統(tǒng)穩(wěn)定性差等問題，本文提出了基于PSO-BP神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)優(yōu)化算法。利用粒子群優(yōu)化算法優(yōu)化BP網(wǎng)絡(luò)的權(quán)重，首先利用PSO算法優(yōu)化得到一個最優(yōu)初始值，然后通過BP網(wǎng)絡(luò)算法修正誤差值，從而獲得最優(yōu)值。關(guān)鍵詞：粒子群優(yōu)化算法；神經(jīng)網(wǎng)絡(luò)；入侵檢測Abstract：Many problems are found in the IDS technology based on the traditional

2、 BP neural network，including low convergence speed，easily falling into the local optimal value，network paralysis，poor system stability，etc.This paper presents an intrusion detection technology optimization algorithm based on the PSO-BP neural network which optimizes the BP network weight with the Pa

3、rticle Swarm Optimization（PSO）algorithm.Firstly，an optimal initial value is obtained by using the PSO algorithm，and then the error value is corrected with the BP network algorithm to obtain the optimal value.Keywords：Particle Swarm Optimization（PSO）algorithm；neural network；intrusion detection1 引言（In

4、troduction）網(wǎng)絡(luò)安全是網(wǎng)絡(luò)通信技術(shù)中的關(guān)鍵技術(shù)之一，也是近年來的研究熱點。傳統(tǒng)的入侵檢測技術(shù)主要有誤用檢測（Misuse Detection）和異常檢測（Anomaly Detection）技術(shù)1，本文針對現(xiàn)有入侵檢測技術(shù)算法的收斂速度較慢的問題，提出基于PSO-BP神經(jīng)網(wǎng)絡(luò)入侵檢測技術(shù)優(yōu)化算法，利用粒子群優(yōu)化算法優(yōu)化BP網(wǎng)絡(luò)的權(quán)重，首先利用PSO算法優(yōu)化得到一個最優(yōu)初始值，然后通過BP網(wǎng)絡(luò)算法修正誤差值，從而獲得最優(yōu)值。2 基于PSO-BP神經(jīng)網(wǎng)絡(luò)入侵檢測技術(shù)優(yōu)化算法2.1 BP神經(jīng)網(wǎng)絡(luò)算法BP神經(jīng)網(wǎng)絡(luò)算法2本質(zhì)上采用梯度下降搜索方法，由于該算法的不足，如收斂速度慢，容易陷入誤差函

5、數(shù)的局部最優(yōu)值的問題，且對于較大搜索空間多峰值和不可微函數(shù)等搜索全局最優(yōu)值也無能為力，而粒子群算法3能有效地解決這些問題，因為它是一種基于群體協(xié)作的隨機搜索算法，它可以被納入多主體優(yōu)化系統(tǒng)，是群集智能的一種，能避開局部極小值，且在進化過程中無須提供所要解決問題的梯度信息。粒子群算法和遺傳算法一樣，都隨機初始化種群，并使用適用值來評價系統(tǒng)，依據(jù)適應(yīng)值進行一定的隨機搜索。粒子群算法依據(jù)自身速度來決定搜索。大部分的情況下，所有的粒子可能更快的收斂于最優(yōu)解，且沒有遺傳算法遇到的問題。因此，本文提出一種基于PSO-BP神經(jīng)網(wǎng)絡(luò)入侵檢測算法。2.2 改進PSO算法描述本文要解決的是當全局最優(yōu)粒子陷入局部最

6、優(yōu)解后，變動粒子的移動方向，跳出局部最優(yōu)解，對gbest參數(shù)重新更新。所以，應(yīng)當粒子群中先選擇參考粒子群，比如一部分最優(yōu)粒子子群，每次迭代時，若全局最優(yōu)粒子gbest有一定次數(shù)沒有更新，則隨機生成新的位置及速度的值，并更新最優(yōu)粒子子群，將更新后的最優(yōu)粒子子群的適應(yīng)度值與當前全局最優(yōu)粒子的適應(yīng)度值進行比較，來決定當前全局最優(yōu)粒子是否被新的粒子所取代，在后續(xù)的迭代中，粒子群將向新的全局最優(yōu)粒子靠近。其中，m為子群粒子個數(shù)， fave為子群粒子的平均適應(yīng)度值，改進后算法步驟如下：（1）根據(jù)神經(jīng)網(wǎng)絡(luò)的輸入輸出數(shù)量和結(jié)構(gòu)確定粒子的維度。（2）對粒子的速度和位置進行隨機初始化。（3）根據(jù)適應(yīng)度函數(shù)計算得到

7、每個粒子的適應(yīng)值。（4）將每個粒子的適應(yīng)值與pbest值（當前最優(yōu)粒子）作比較，如果優(yōu)于pbest值，則更新pbest值及其位置，同時記錄粒子群中10%的最優(yōu)粒子子群。（5）將pbest值和gbest值作比較，如果優(yōu)于gbest值，則更新gbest值及其位置，同時記錄gbest粒子在迭代過程中未被更新的次數(shù)Num。（6）粒子的速度和位置改變參照公式（3）和公式（4）：（7）若gbest粒子經(jīng)過N次未更新的值達到預(yù)定數(shù)值，則取最優(yōu)粒子gbest和最優(yōu)粒子子群的位置進行更新，重新隨機生成速度Vr和隨機向量控制粒子移動方向，根據(jù)新生成的Vr和移動方向生成新的一批粒子，得到新的全局最優(yōu)粒子gbest，

8、更新完成后，gbest的未被更新次數(shù)設(shè)置為0。如果沒有出現(xiàn)這種情況則繼續(xù)進行步驟（8）。（8）轉(zhuǎn)到步驟（3），重復(fù)執(zhí)行這些步驟，直到停止。一般情況下，停止條件設(shè)定為最大所期望的適應(yīng)值或者迭代次數(shù)大于設(shè)定的最大迭代數(shù)。最終得到的最優(yōu)粒子的值用來初始化BP神經(jīng)網(wǎng)絡(luò)的權(quán)值，值是否優(yōu)于B。2.3 改進后PSO算法流程設(shè)計3 入侵檢測系統(tǒng)的實現(xiàn)（Implementation ofintrusion detection system）endprint基于PSO-BP神經(jīng)網(wǎng)絡(luò)優(yōu)化算法的入侵檢測系統(tǒng)模型如圖2所示，其中，捕獲數(shù)據(jù)引擎模塊的任務(wù)就是接收網(wǎng)絡(luò)數(shù)據(jù)包，接到的網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)特征提取模塊，轉(zhuǎn)換成對應(yīng)數(shù)據(jù)包

9、特征值的網(wǎng)絡(luò)連接記錄，這些特征值的網(wǎng)絡(luò)連接記錄經(jīng)數(shù)據(jù)預(yù)處理模塊歸一化到一個較小的區(qū)間范圍，從而減少由于記錄間因字段數(shù)值差異過大而引發(fā)的網(wǎng)絡(luò)訓練不良表現(xiàn)。經(jīng)數(shù)據(jù)庫存放預(yù)處理模塊處理的數(shù)據(jù)通過PSO-BP分類器分析檢測；PSO-BP訓練模塊將從數(shù)據(jù)庫模塊中提取標準的數(shù)據(jù)，包括給定的樣本記錄向量和網(wǎng)絡(luò)訓練要達到的目標，PSO-BP分類器模塊對輸入中的未知的網(wǎng)絡(luò)連接記錄判別為正常或入侵，并做出相應(yīng)處理，響應(yīng)模塊主要用以接收從分類器檢測出的結(jié)果，并對入侵行為發(fā)出警報4。本文的重點是PSO-BP分類器的設(shè)計，其原理是利用數(shù)據(jù)及劃分后的訓練樣本集來訓練PSO-BP神經(jīng)網(wǎng)絡(luò)分類器，在PSO-BP神經(jīng)網(wǎng)絡(luò)內(nèi)部建

10、立起對訓練樣本的識別模型并存儲攻擊行為的特征模式，然后分析處理捕獲到網(wǎng)絡(luò)數(shù)據(jù)包，判斷其為正?；虍惓＞W(wǎng)絡(luò)行為，如果檢測到攻擊行為是未知類型時，則將其反饋到學習樣本庫以讓PSO-BP神經(jīng)網(wǎng)絡(luò)再學習，所以可以看出算法分類引擎具有通過學習不斷來擴展檢測范圍的能力5。4 實驗及其結(jié)果分析（Experiment and resultanalysis）4.1 實驗樣本的選擇基于BP網(wǎng)絡(luò)的入侵檢測算法對樣本的依賴性很大，并且只有公認完備、性能優(yōu)異的測評數(shù)據(jù)集才能為各種入侵檢測算法和技術(shù)提供比較的平臺，因此，本文實驗采用目前公認最優(yōu)秀影響最廣的基于MITLL采集整理形成的KDDCUP99入侵測試數(shù)據(jù)集，包含了目

11、前最常見的四類攻擊手段：User to Root（U2R）獲取根權(quán)限攻擊、Denial-Of-Service（DOS）拒絕服務(wù)攻擊、R2L遠程攻擊、Probe探測攻擊。本文選取corrected.gz數(shù)據(jù)集和10%數(shù)據(jù)集中提取相應(yīng)的攻擊記錄，其中DOS約占78.89%、Probe約占4.13%、R2L約占6.35%、U2R約占1.54%，在此基礎(chǔ)上，選擇部分正常連接記錄數(shù)據(jù)及部分DOS攻擊記錄，以13概率加入到正常數(shù)據(jù)流量集，從而形成不均衡的數(shù)據(jù)集，從中選取150000個有效數(shù)據(jù)為訓練集，并選取181500個數(shù)據(jù)為測試集，實驗樣本分布情況如表1所示。4.2 樣本特征的選取KDDCUP99數(shù)據(jù)集

12、存儲格式是文本格式，每條記錄格式都由字符數(shù)據(jù)與數(shù)值構(gòu)成。其中有的還會附加一個表示攻擊類型的特征。這些特征分成四類：一是網(wǎng)絡(luò)連接的基本特征，包括連接時間、服務(wù)、基于什么樣的協(xié)議、連接時間等；二是網(wǎng)絡(luò)連接的內(nèi)容特征，如ROOT用戶登錄次數(shù)、訪問敏感數(shù)據(jù)的頻率等；三是基于時間的網(wǎng)絡(luò)流量特征，如相同主機的連接和相同服務(wù)的連接等；四是基于主機的網(wǎng)絡(luò)流量特征。但由于每條記錄都包含41種特征，使得系統(tǒng)的計算量過大，所以，需要對記錄進行特征選擇，本文選擇了14個能夠體現(xiàn)用戶行為的特征來作為研究對象，分別是：duration連接持續(xù)時間（秒）、protocol_type協(xié)議類型：TCP、UDP、flag連接狀態(tài)

13、、service服務(wù)類型、src_bytes源到目的站的數(shù)據(jù)字節(jié)數(shù)等。最后將樣本特征按類型以數(shù)值形式進行統(tǒng)一的編碼處理后，進行歸一化，即將輸入或輸出映射到0，1區(qū)間。4.3 實驗測試與結(jié)果本文在基于Matlab 7.0對本文提出的改進PSO算法和標準BP算法進行了檢測驗證仿真實驗。計算出各網(wǎng)絡(luò)訓練所用時間、檢測率、漏報率及誤報率。通過對結(jié)果的分析來證明該改進算法是否具有較高的入侵檢測效率、較低的誤報率和漏報率。（1）確定網(wǎng)絡(luò)結(jié)構(gòu)及參數(shù)，本文采用三層的BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，輸入層采用14個節(jié)點（因為所采用14個特征值的樣本），輸出層對應(yīng)5種分類結(jié)果，設(shè)置三個節(jié)點。根據(jù)一些學者提出的公式，本文分別采用

14、6、7、8、9作為隱含層節(jié)點數(shù)。網(wǎng)絡(luò)的權(quán)、閾值初始化-1，1的隨機數(shù)，各學習率賦初值為0.1，誤差精度為.001，最大迭代次數(shù)為3000次。PSO的參數(shù)設(shè)置為：粒子總數(shù)500個，全局最優(yōu)粒子gbest的最多未更新次數(shù)設(shè)置為10，超過此次數(shù)則對gbest和最優(yōu)粒子子群進行更新；PSO的迭代次數(shù)設(shè)置為3000次。（2）分別用訓練樣本對標準BP，改進PSO-BP算法進行了訓練網(wǎng)絡(luò)，選用不同的參數(shù)進行多次訓練，結(jié)果發(fā)現(xiàn)，本文改進后的BP算法在誤差進行平坦區(qū)后能較快跳出，檢測精度也提高了，收斂更快。（3）測試網(wǎng)絡(luò)的性能，對測試結(jié)果進行了歸類，并與期望值進行了比較，得出已知行為檢測率、未知行為檢測率、誤報

15、率等。入侵檢測效果比較如表2所示。從表2可以算出，基于改進PSO-BP的入侵檢測算法，對未知行為也有較好的檢測率，與傳統(tǒng)的入侵檢測方法相比，在入侵檢測性能上取得比較好的檢測效果。而且使用改進PSO優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)，在這四個入侵類型的檢測準確率上都有提高。而隨著檢測準確率的提高，自然而然就降低誤報率和漏報率。5 結(jié)論（Conclusion）為提高IDS的檢測效率，本文使用改進的PSO-BP算法設(shè)計了一種新的入侵檢測模型，通過與傳統(tǒng)的BP神經(jīng)網(wǎng)絡(luò)入侵檢測算法的檢測性能對比實驗，表明基于改進的PSO-BP神經(jīng)網(wǎng)絡(luò)的入侵檢測算法對入侵檢測系統(tǒng)的檢測性能有較大的提升，并實驗驗證該模型在入侵檢測方面的性能，準確率較高，收斂較快，達到了本文的預(yù)期要求。參考文獻（References）1 華輝有，等.一種融合Kmeans和K