基于人工蜂群算法及多變量決策的網(wǎng)絡(luò)入侵檢測方法研究

黃海波

(崇左幼兒師范高等?？茖W(xué)校,廣西崇左 532200)

0 引言

網(wǎng)絡(luò)入侵行為對于終端計算機與終端操作用戶所帶來的損失是巨大的,且終端設(shè)備在運行穩(wěn)定運行過程中,一旦受到網(wǎng)絡(luò)的入侵,便極易出現(xiàn)主機癱瘓、文件損壞等問題,嚴重情況下,甚至?xí)W(wǎng)絡(luò)造成不可挽回的威脅[1]。綜合有關(guān)互聯(lián)網(wǎng)監(jiān)察單位對網(wǎng)絡(luò)入侵的研究,發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象存在覆蓋的影響范圍廣、危害性強等特征。而針對此種問題,有關(guān)單位已對此提出了針對性的解決措施,包括安裝計算機防火墻軟件、安裝計算機病毒查殺工具等。但由于網(wǎng)絡(luò)入侵的形式是多元化的,且隨著計算機技術(shù)的更新網(wǎng)絡(luò)入侵的方式也隨之更新。因此,傳統(tǒng)的IDS與網(wǎng)絡(luò)入侵檢測方法,已無法滿足對網(wǎng)絡(luò)入侵的精準化與實時檢測需求。為了降低網(wǎng)絡(luò)入侵對終端帶來的損害,提出一種人工蜂群算法,此種算法在應(yīng)用中又被稱為A B C算法。此算法的提出最早受到蜂群集聚的啟發(fā),也屬于模仿蜜蜂群居行為所提出的一種優(yōu)化類型算法[2]。在使用此算法的過程中,無須掌握或定位問題的細致化信息,只需要對問題解決方法進行優(yōu)劣對比,并在局部或個體優(yōu)化的過程中,尋找并定位全局最優(yōu)解即可。提出的算法具有對數(shù)據(jù)信息收斂效率高的優(yōu)勢,而本文也將在人工蜂群算法的應(yīng)用下,結(jié)合多變量決策,設(shè)計一種網(wǎng)絡(luò)入侵檢測方法,以此解決由于網(wǎng)絡(luò)入侵對終端造成的影響,提升終端運行的安全性與穩(wěn)定性。

1 基于人工蜂群算法及多變量決策的網(wǎng)絡(luò)入侵檢測方法

1.1 基于人工蜂群算法的網(wǎng)絡(luò)入侵特征識別

為了實現(xiàn)對網(wǎng)絡(luò)入侵的有效檢測,引進人工蜂群算法,對入侵特征進行識別[3]。在此過程中,即可認為蜂群中每個個體對象均具備其自身的性能。其中入侵源作為算法的“食物源”,也可將其作為網(wǎng)絡(luò)入侵特征識別的路徑;網(wǎng)絡(luò)入侵數(shù)量作為算法的“花蜜量”[4]。在此種理念下,進行網(wǎng)絡(luò)入侵特征的識別,可以先采用建立雇傭蜂群的方式,定義網(wǎng)絡(luò)入侵的個數(shù)為N,則每個入侵行為對應(yīng)的特征表示為p,此時網(wǎng)絡(luò)入侵的特征可以表示為Np。

假定在此過程中存在某個隨機生成的適度入侵解,則可以通過直接封裝或間接封裝的方式,對每個入侵的信息進行boost適度評價,以評價結(jié)果是否存在適度性的方式,得到一種具備特征的網(wǎng)絡(luò)入侵信息集合[5]。評價的過程可用如下計算公式表示。

1.2 融合多變量決策的網(wǎng)絡(luò)入侵特征分類與檢測

在完成對網(wǎng)絡(luò)入侵特征的識別后,采用構(gòu)建決策樹的方式,融合多變量決策,對網(wǎng)絡(luò)入侵特征進行分類,綜合分類結(jié)果實現(xiàn)對其的檢測[6]。在此過程中,考慮到特征集合中可能涵蓋多種分類方式,因此本章的研究以XG決策分類算法作為核心,針對入侵信息進行二元分類[7]。此時,可將具備5種決策特征的信息作為一種基礎(chǔ)分類方式,假定5種決策特征的樣本權(quán)重相同,那么可采用設(shè)定一個弱分類T的方式,對入侵的樣本進行步驟分類[8],此過程如圖1。

圖1 網(wǎng)絡(luò)入侵特征分類流程Fig.1 Network intrusion signature classification process

按照圖1所示流程,在完成對網(wǎng)絡(luò)入侵特征的分類后,在前端輸入m個具有標簽的樣本檢測序列,對樣本數(shù)據(jù)進行T次數(shù)迭代。輸出具備網(wǎng)絡(luò)入侵行為的初步數(shù)據(jù)集合,在此基礎(chǔ)上,使用XG函數(shù),對終端網(wǎng)絡(luò)操作行為進行識別,導(dǎo)入對行為的預(yù)測值(包括網(wǎng)絡(luò)正常攻擊值與非正常攻擊值),按照對行為的最高迭代次數(shù)再次對數(shù)值進行檢索,預(yù)測可能出現(xiàn)問題的網(wǎng)絡(luò)流入信息[9]。定義網(wǎng)絡(luò)入侵集合表示為IDS,選擇擇優(yōu)決策空間,并初始化處理入侵數(shù)據(jù)種群,按照C FS生成入侵檢測準則,生成對應(yīng)的規(guī)則集合。并按照“預(yù)處理生成集合→處理數(shù)據(jù)種群→刪除冗余值→定位檢測區(qū)域→生成檢測規(guī)則→改進決策行為→在檢測行為中執(zhí)行決策行為→加載入侵集合→輸出網(wǎng)絡(luò)入侵信息”的流程,檢測并輸出混合式異常IDS網(wǎng)絡(luò)入侵集合,完成對本文網(wǎng)絡(luò)入侵檢測方法的設(shè)計。

2 對比實驗

在完成上述對網(wǎng)絡(luò)入侵檢測方法理論設(shè)計的基礎(chǔ)上,本章將采用實驗操作的方式,對設(shè)計方法進行實證檢驗。實驗過程中,需要準備至少2.0臺終端設(shè)備,作為待入侵設(shè)備。由此布設(shè)此次對比實驗的環(huán)境與終端設(shè)備相關(guān)參數(shù),如表1所示。

表1 實驗環(huán)境與終端設(shè)備相關(guān)參數(shù)Tab.l Experimental environment and related parameters of terminal equipment

在完成對此次對比實驗環(huán)境布設(shè)的基礎(chǔ)上,選擇NSD-L85.5與SCH-KMY-536.0數(shù)據(jù)作為入侵數(shù)據(jù),NSD-L85.5集合中共包含30.0個風(fēng)險數(shù)據(jù),SCH-KMY-536.0集合中共包含48.0個風(fēng)險數(shù)據(jù)。實驗過程中,先使用NSD-L85.5風(fēng)險數(shù)據(jù)入侵對終端,再使用兩組風(fēng)險數(shù)據(jù)對終端進行同時攻擊。分別使用本文設(shè)計的基于人工蜂群算法及多變量決策的網(wǎng)絡(luò)入侵檢測方法,與傳統(tǒng)的網(wǎng)絡(luò)入侵檢測方法,對兩組入侵數(shù)據(jù)進行檢測。定義入侵檢出率表示為DR(DR=(正確檢測個數(shù)/錯誤檢出個數(shù)+剩余入侵個數(shù))×100.0%)。執(zhí)行此次對比實驗,獲取實驗結(jié)果,如表2所示。

表2 網(wǎng)絡(luò)入侵檢測結(jié)果Tab.2 Network intrusion detection results

根據(jù)表2中數(shù)據(jù),可顯著地看出,無論是單組入侵數(shù)據(jù),或是多組入侵數(shù)據(jù),本文方法均可以對其進行準確檢測。而在傳統(tǒng)的網(wǎng)絡(luò)入侵檢測方法,只能準確檢測到單組網(wǎng)絡(luò)入侵信息,無法準確地識別兩組及以上網(wǎng)絡(luò)入侵信息。對此,得出此次對比實驗的結(jié)論:相比傳統(tǒng)的網(wǎng)絡(luò)入侵檢測方法,本文設(shè)計的基于人工蜂群算法及多變量決策的網(wǎng)絡(luò)入侵檢測方法,在實際應(yīng)用中,可以準確地識別多組入侵網(wǎng)絡(luò)的風(fēng)險數(shù)據(jù),為終端設(shè)備的穩(wěn)定運行提供真實的保障。

3 結(jié)語

本文提出一種基于人工蜂群算法及多變量決策的網(wǎng)絡(luò)入侵檢測方法,并在完成對方法的設(shè)計后,采用設(shè)計對比實驗的方式,對方法進行了檢驗,證明本文設(shè)計方法具備更高的實用性。因此,可在后期的相關(guān)研究中,將本文研究成果作為基礎(chǔ),在此基礎(chǔ)上,持續(xù)對此方面工作進行深入的研究,以此解決終端網(wǎng)絡(luò)運行存在的不穩(wěn)定或受入侵干擾的問題。