[发明专利]基于并行多人工蜂群算法和支持向量机的入侵检测方法

说明书

本发明公开了一种基于并行多人工蜂群算法和支持向量机的入侵检测方法，首先对原始的人工蜂群算法进行了重新设计，包括：蜜源编码方案的设计、种群的初始化设计、适应度评价函数的构造、蜜源的邻域搜索方法和招募观察蜂概率的计算，克服了算法易早熟、解的多样性差、易陷入局部最优、后期收敛速度慢等问题。其次，设计了多蜂群间的信息交流与协作机制，利用并行执行技术，给出了双环形多蜂群并行协同优化模型，用于对特征和支持向量机模型参数进行同步优化。然后，基于该协同优化模型，给出了基于并行多人工蜂群算法和支持向量机的入侵检测方法和模型。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于并行多人工蜂群算法和支持向量机的入侵检测方法。

背景技术

网络入侵检测系统(network intrusion detection system，NIDS)是一种主动防御系统，能够弥补传统被动防火墙的不足，是网络安全的重要组成部分，它通过实时监视与分析网络数据包来检测与识别非法入侵计算机系统的行为，因此成为近年来的研究热点。

根据检测方法的不同，入侵检测技术可以分为两类：误用检测和异常检测。早期的检测技术研究主要集中在误用检测，经典的检测方法为模式匹配，它通过实时获取网络数据包，并将其与已知的入侵规则库进行匹配来探测入侵行为，具有较高的稳定性与较低的误报率。但是不能发现未知的攻击行为，并且需要不断更新入侵规则库，严重依赖规则库的完备性。异常检测则建立起系统的正常行为模型，对偏离正常行为的网络连接视为攻击行为，因此可以发现未知的入侵攻击。但是异常检测普遍存在检测率低、误报率高的现象。

为了改善检测系统的性能，许多智能算法、机器学习和数据挖掘算法被应用到了入侵检测中。张玲等借鉴生物免疫学原理，提出了一种基于人工免疫的检测模型，将误用检测和异常检测进行了结合。Qian等利用BP神经网络自学能力强，对未知数据集能够得到较优解的特点，提出了一种基于神经网络的入侵检测方法。入侵检测本质上是一种分类问题，汪波等针对支持向量机(Support Vector Machine，SVM)对高维非线性、小样本具有较高的分类能力，并且泛化能力强的特点，利用多目标数学规划模型和SVM构建了多分类入侵检测模型。以上几种方法一定程度上优化了检测系统的性能，但是有待进一步提升。

Hany等利用机器学习中的集成学习技术构建了检测模型，使得分类准确率可以提高到99％以上，但是这种方法依赖于分类器的个数，一般至少需要上百个分类器才能达到比较不错的效果，严重消耗计算机的计算资源，并且这种方法涉及到遗传算法和机器学习中的Adaboost技术，使得算法的整体复杂性增加。考虑到入侵检测中，实际的网络连接数据通常具有小样本、高维性、非线性，这些高维数据中含有许多冗余的特征，不仅增加了检测系统的计算复杂度，并且影响检测率的提高，因此对网络数据进行特征选择对于检测性能的提升至关重要。为此，众多学者将各种属性约减方法应用到了入侵检测系统中。Ahmad运用粒子群算法的寻优能力进行特征选择，提出了一种基于神经网络分类器的检测方法，虽然神经网络具有良好的非线性逼近能力，但是容易陷入局部最优和过拟合，泛化能力差。Gu和Li等利用粗糙集理论进行属性约减，消除冗余特征，降低了SVM分类器的计算开销。Aslahi-Shahri等利用遗传算法进行特征选择，提出了基于遗传算法和SVM分类器的检测模型。武小年等采用Fisher分和信息增益计算特征评测值，经过一次特征筛选后再对两者的交叉特征子集进行特征选择，提出了基于SVM的两级特征选择方法。Horng等通过评价每次移除一个特征前后的检测率的方式进行特征选择，提出了基于SVM的检测模型。但是，SVM的性能与模型参数的选择密切相关，在检测系统建模过程中，SVM参数和特征选择均需优化，并且两者的优化过程相互依赖，优化其中一个时就按照经验随机地确定另一个，无论哪个先优化都难以得到最优检测结果。以上几种方法忽略了两者的依赖性，限制了检测性能的进一步提高。