基于特征选择的网络入侵检测模型

姜滨

关键词： 网络入侵; 检测模型; 特征选择; 分类器设计; 主成分分析; 网络安全

中图分类号： TN915.08?34                        文献标识码： A                        文章编号： 1004?373X（2019）01?0087?04

Abstract： The intrusion detection acts as one of the most important ways to ensure the network security. Since the current network intrusion detection model can′t get the desired effect of network intrusion detection， a network intrusion detection model based on feature selection was designed. The research status of the network intrusion detection is analyzed， and then the deficiency of current network intrusion detection model is pointed out. The network state information is acquired. The original network characteristics are extracted， and then the principal component analysis is used to select the important characteristics. The extreme learning machine is introduced to establish the classifier of network intrusion detection. The KDD CUP99 dataset is adopted to analyze the model. The analysis results show that the method can improve the network intrusion detection rate greatly， and has low false detection rate and misdetection rate for network intrusion detection， and the overall detection effect of the network intrusion detection model is superior to other network intrusion detection models.

Keywords： network intrusion; detection model; feature selection; classifier design; principal component analysis; network security

0  引  言

隨着通信技术的不断发展，网络进入了千家万户，网络给人们的生活带来了便利，但是由于网络自身安全漏洞出现了网络安全问题[1?2]。最常用的网络安全保护措施为防火墙、数据加密、身份认证，它们是一种被动防御技术，无法抵御外来的非法入侵，这样难以保障网络安全。入侵检测系统是一种主动防御技术，属于网络安全的第二道防线，可以对网络入侵行为进行有效识别，因此网络入侵检测的研究成为一个热点[3]。

许多研究人员投入了大量的时间和精力对网络入侵问题进行探索和分析，提出了大量的网络入侵检测模型。当前网络入侵检测模型划分为定性模型和定量模型两类，定性模型主要通过专家系统进行网络入侵检测，专家根据一些规则建立相应的网络入侵特征数据库，待检测的网络访问行为特征与网络入侵特征数据库进行模式区配，如果匹配成功，那么就将其划分到相应的类别中[4]。该类模型的网络入侵检测优劣直接与专家建立的规则相关，网络入侵检测不科学。定量模型主要根据一些机器学习算法建立网络入侵检测模型，网络入侵检测科学，而且网络入侵检测结果可靠。基于定量分析的网络入侵检测模型分为误用入侵检测模型和异常入侵检测模型。其中，误用入侵检测模型能够检测已知的网络入侵行为，对新的、变异的网络入侵行为无能为力，实际应用价值低[5?6]。异常入侵检测模型能够识别到新的、变异的网络入侵行为，成为学者们关注的焦点[7?8]。异常入侵检测实际是一种模式识别问题，网络访问行为特征提取十分关键，通常情况下人们尽可能多的提取网络访问行为特征，但是太多的网络访问行为特征导致入侵检测的分类器输入向量过多，分类器过于复杂，因此影响网络入侵检测的效率，无法满足大规模异常入侵检测的实时性[9?11]。同时，每一种网络访问行为特征对网络入侵检测结果的影响不一样，当前假设它们的作用相同，因此建立的网络入侵检测模型并非最优[12]。

针对传统网络入侵检测模型难以准确识别异常入侵行为，以提高网络入侵检测效果为目标，设计了基于特征选择的网络入侵检测模型。首先提取网络入侵的原始特征，并采用主成分分析选择主要的特征，然后极限学习机建立网络入侵检测的分类器，并采用粒子群优化算法模型的参数，最后采用KDD CUP99数据集进行仿真实验以分析本文模型的性能。

1  网络入侵检测原理

入侵通常是指在未授权情况下，一些非法用户盗取网络中的一些隐私信息、重要资料，或者对这些信息修改和破坏，而网络入侵检测是指采用一定理论和算法对网络入侵行为学习，建立一个能够对入侵行为进行识别的检测模型，并可以对网络访问行为进行有效检测，根据检测可以进行拦截或放行，网络入侵检测模型的工作原理如图1所示。

3.2  结果与分析

本文模型和对比模型均运行10次，统计的检测率、误检率、漏检率、训练时间的平均值结果如图4～图7所示，从图4～图7的实验结果可知：

1） 相对于对比模型，本文模型的网络入侵检测率得到一定的改善，有效降低了误检率、漏检率，网络入侵检测率远远高于网络实际应用要求，这主要是因为采用主成分分析减少了一些无用、冗余特征网络入侵检测过程和检测结果的干扰，可以更加准确地描述网络入侵行为与特征间的映射关系，使网络入侵检测结果更优。

2） 本文网络入侵检测模型的时间短于对比模型，入侵检测速度快，入侵检测的分类器更加简单，实时性更好。

4  结  论

入侵检测是网络管理过程中的一项关键技术，设计基于特征选择的入侵检测模型，采用KDD CUP99数据集进行仿真实验。由实验结果可知：

1） 特征直接影响网络入侵检测的结果，特征数量过大会导致网络入侵检测分类的输入维数高，易出现“维数灾”等难题，严重影响网络入侵的建模效率。

2） 采用主成分分析对网络入侵检测特征进行选择，减少了网络入侵特征数量，消除了特征之间的信息冗余，减少了无用网络入侵检测的干扰，提高了网络入侵检测的效率。

3） 采用极限学习机建立的网络入侵检测分类可以描述网络访问的各种行为，可获得较高正确率的网络入侵检测结果。

4） 引入粒子群算法对网络入侵检测的分类器参数进行优化，解决人为设置参数的盲目性问题，进一步改善了网络入侵检测的效果，保障网络系统安全。

参考文献

[1] 毛勇，周晓波，夏铮，等.特征选择算法研究综述[J].模式识别与人工智能，2007，20（2）：211?218.

MAO Yong， ZHOU Xiaobo， XIA Zheng， et al. A survey for study of feature selection algorithms [J]. Pattern recognition and artificial intelligence， 2007， 20（2）： 211?218.

[2] MOHAMMAD M N， SULEIMAN N， MUSHI O A. A novel intrusion detection system by using intelligent data mining in weak environment [J]. Procedia computer science， 2011， 3（1）： 1237?1242.

[3] SHEN Furao， YU Hui， SAKURAI K， et al. An incremental online semi?supervised active learning algorithm based on a self?organizing incremental neural network [J]. Neural computing and applications， 2011， 20（1）： 1061?1074.

[4] 李响.基于经验模态分解的局域网络入侵检测算法[J].西南师范大学学报（自然科学版），2016，41（8）：132?137.

LI Xiang. Local network intrusion detection algorithm based on empirical mode decomposition [J]. Journal of Southwest China Normal University （natural science foundation）， 2016， 41（8）： 132?137.

[5] 牟琦，毕孝儒，厍向阳.基于GQPSO算法的网络入侵特征选择方法[J].计算机工程，2011，37（14）：103?105.

MOU Qi， BI Xiaoru， SHE Xiangyang. Feature selection me?thod for network intrusion based on GQPSO algorithm [J]. Computer engineering， 2011， 37（14）： 103?105.

[6] 龚俭，王卓然，苏琪，等.面向网络安全事件的入侵检测与取证分析[J].华中科技大学学报（自然科学版），2016，44（11）：30?33.

GONG Jian， WANG Zhuoran， SU Qi， et al. Intrusion detection and forensic analysis for network security incidents [J]. Journal of Huazhong University of Science and Technology （natural science edition）， 2016， 44（11）： 30?33.

[7] 魏吴，王一帆，李玉，等.基于WIA?PA网络的周界入侵检测系统设计与实现[J].重庆邮电大学学报（自然科学版），2013，25（2）：148?153.

WEI Wu， WANG Yifan， LI Yu， et al. Design and implementation of perimeter intrusion detection system based on WIA?PA industrial wireless network [J]. Journal of Chongqing University of Posts and Telecommunications （natural science edition）， 2013， 25（2）： 148?153.

[8] 沈夏炯，王龙，韩道军.人工蜂群优化的BP神经网络在入侵检测中的应用[J].计算机工程，2016，42（2）：190?194.

SHEN Xiajiong， WANG Long， HAN Daojun. Application of BP neural network optimized by artificial bee colony in intrusion detection [J]. Computer engineering， 2016， 42（2）： 190?194.

[9] 江峰，王春平，晋惠芬.基于相对决策熵的决策树算法及其在入侵检测中的应用[J].计算机科学，2012，39（4）：223?226.

JIANG Feng， WANG Chunping， JIN Huifen. Relative decision entropy based decision tree algorithm and its application in intrusion detection [J]. Computer science， 2012， 39（4）： 223?226.

[10] 杨宏宇，赵明瑞，谢丽霞.基于自适应进化神经网络算法的入侵检测[J].计算机工程与科学，2014，36（8）：1469?1475.

YANG Hongyu， ZHAO Mingrui， XIE Lixia. Intrusion detection based on the adaptive evolutionary neural network algorithm [J]. Computer engineering & science， 2014， 36（8）： 1469?1475.

[11] 赵悦，程子傲，陈雷，等.移动Ad?Hoc网络叶节点簇降低能源节约入侵检测[J].控制工程，2016，23（7）：1137?1141.

ZHAO Yue， CHENG Ziao， CHEN Lei， et al. Leaf node cluster reduce algorithm of mobile Ad?Hoc network based energy saving for intrusion detection [J]. Control engineering of China， 2016， 23（7）： 1137?1141.

[12] 袁開银，费岚.混合粒子群优化算法选择特征的网络入侵检测[J].吉林大学学报（理学版），2016，54（2）：309?313.

YUAN Kaiyin， FEI Lan. Detection of network intrusion based on hybrid particle swarm optimization algorithm selection features [J]. Journal of Jilin University （science edition）， 2016， 54（2）： 309?313.