基于CQPSO-LSSVM的网络入侵检测模型

一种基于SVM的新型混合网络入侵检测模型
朱丽叶
【期刊名称】《电脑知识与技术》
【年(卷),期】2009(005)017
【摘要】由于误警率较低等原因,传统的入侵检测系统通常采用基于规则的滥用检测模型,但是这种模型无法检测新型的攻击行为,甚至对已有攻击的变种也无能为力.而基于模式识别的异常检测虽可以时新型攻击做出反应,但效率不高.该文提出了一种基于SVM的新型混合入侵检测模型,综合了滥用检测和异常检测的优点.将该模型应用于KDDCUP99数据源,实验结果表明该模型在对已存在和新型攻击行为的检测中,都有很好的表现.
【总页数】3页(P4415-4417)
【作者】朱丽叶
【作者单位】宝鸡文理学院,陕西,宝鸡,721007
【正文语种】中文
【中图分类】TP393
【相关文献】
1.一种基于环形结构的新型分布式入侵检测模型 [J], 姜华斌;江文;谢冬青
2.一种基于人工免疫理论的新型入侵检测模型 [J], 梁可心;李涛;刘勇;陈桓
3.一种基于PSO/GSVM的入侵检测模型研究 [J], 肖丰佳;李立新
4.一种基于SVM的网络入侵检测模型 [J], 张琨;曹宏鑫;刘凤玉;李千目
5.一种基于烟花算法优化SVM的入侵检测模型 [J], 陈文迪; 刘桂华; 刘慕娴
因版权原因，仅展示原文概要，查看原文内容请购买。

基于SVM的网络入侵检测系统模型分析高晶辉【摘要】利用支持向量机(Support Vector Machine SVM)进行建模,可以解决在建立检测模型时因无法收集所有样本而导致的模型推广性能差的问题,并且可以提高入侵检测率,降低漏报和误报率,提高系统的实用性.本文尝试在入侵检测领域利用支持向量机,构建基于支持向量机的入侵检测系统模型.【期刊名称】《牡丹江师范学院学报（自然科学版）》【年(卷),期】2010(000)004【总页数】3页(P8-10)【关键词】支持向量机;入侵检测;系统模型;网络安全【作者】高晶辉【作者单位】牡丹江师范学院,继续教育学院,黑龙江,牡丹江,157011【正文语种】中文【中图分类】TP392入侵检测(Intrusion Detection)是对入侵行为的发觉.它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)[1].入侵检测系统就是自动执行这种监视和分析过程的软件或硬件产品,入侵检测是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术.它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为.目前,对付破坏系统企图的理想方法是建立一个完全安全的系统.这就要求所有的用户能识别和认证自己,还要采取各种各样的加密技术和强访问控制策略来保护数据,而从实际上看,这根本是不可能的.首先,在实践当中,建立完全安全系统根本是不可能的.M iller给出一份相关操作系统和应用程序研究报告,其中指出软件中不可能没有缺陷,此外,设计和实现一个整体安全系统相当困难.其次,要将所有已安装的带全缺陷的系统转换成安全系统需要相当长的时间.第三,加密技术方法本身存在一定的问题.第四,安全系统易受内部用户滥用特权的攻击.第五,安全访问控制等级和用户的使用效率成反比.第六,访问控制和保护模型本身存在一定的问题.第七,在软件工程中存在软件测试不足、软件生命周期短、大型软件复杂性等难解问题.要解决上述问题,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,IDS就是这样一类系统.现在安全软件的开发方式基本上就是按照这个思路进行的.就目前系统安全状况而言,系统存在被攻击的可能性.如果系统遭到攻击,应尽可能地检测到,最好是实时地检测到,然后采取适当的处理措施.IDS一般不是采取预防的措施防止入侵事件发生,入侵检测作为安全技术其作用在于:识别入侵者;识别入侵行为;检测和监视已成功的安全突破;为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大.因此,入侵检测非常必要.支持向量机(SVM)是一种建立在统计学习理论基础之上的机器学习方法.其最大的特点是根据Vapnik的结构风险最小化原则,尽量提高学习机的泛化能力,即由有限的训练样本集得到小的误差能够保证对独立的测试集保持小的误差.另外,由于支持向量算法是一个凸优化问题,局部最优解也是全局最优解,这是其他学习算法所不及的.将支持向量机应用到入侵检测中,在先验知识不足的情况下,支持向量机分类器仍有较好的分类正确率,从而使得整个入侵检测系统具有较好的检测性能.[2]在通用的入侵检测框架(Common Intrusion Detection Framework,CIDF)中,把一个入侵检测系统分为四个组件:事件产生器、事件分析器、响应单元和事件数据库.C1DF将IDS需要分析的数据统称为事件,它既可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息.四个组件只是逻辑实体,一个组件可能是某台计算机上的一个进程甚至线程,也可能是多个计算机上的多个进程,它们以统一入侵检测对象(Common Intrusion Detection Object,GIDO)格式进行数据交换.事件产生器从计算环境收集事件并传送给其他组件;事件分析器分析所得数据,并产生分析结果;响应单元对分析结果采取相应措施,如杀死进程、切断连接等,也可以只是简单的报警;事件数据库是存放中间和最终数据的地方,可以是复杂的数据库,也可以是简单的文本文件[3].一个基于SVM的入侵检测系统的模型一般包括数据采集、数据预处理、数据库、SVM训练、SVM决策和实时响应等模块.总体的设计思路是通过对网络中数据流量的采集和处理,把网络中的数据流变换格式,成为支持向量机软件可以识别、使用的数据结构,然后通过对这些数据的处理,得出一套已知其合法性的数据集,我们将这套数据集称为支持向量库,或叫做训练集.然后通过对支持向量库的处理训练出一套准确度较高、训练时间较短、可以不断自我更新、信息反馈、具有重复训练功能的分类器.通过这个分类器的有效分类结果,实现对网络中数据的判断,以区分处理合法和非法的网络访问,达到抵御网络非法入侵,增强网络安全访问的作用.SVM的网络入侵入检测系统框架见图1.数据采集过程是从网络上截取网络数据包(或者从主机上采集数据);数据预处理过程主要包括特征的选择和利用数据挖掘方法进行处理,然后将预处理后的标准数据(为了方便起见,将经过预处理后得到的向量形式的数据为标准数据)导入数据库(文本文件);数据库中保存了经过预处理后的训练数据、实时数据以及检测结果;SVM训练过程包括根据数据库中的标准数据训练SVM分类器,包括SVM模型的确定,SVM中核函数的参数的确定等等;通过训练,得到用于决策的SVM分类器;最后,在利用SVM分类器的决策过程中,可以对一个新的连接进行识别,把结果保存在数据库中并传送给响应模块.[4]数据采集模块该模块的主要工作是从网络中采集当前网络中的数据包信息,通常可由一个网络嗅探器(sniffer)来实现.并在捕获的网络数据包中提取出网络连接的特征数据信息,即将网络数据信息转化成网络连接一记录的每条记录包含了从原始数据中得到的各种特征值.这个模块可以使用一个实时数据挖掘(Data M ining)系统来实现.数据预处理模块该模块对网络连接信息提取模块得到的网络连接记录进行处理.由网络连接信息提取模块得到的网络连接记录包括了网络连接记录的特征信息,这些信息格式复杂,既有文字描述信息,如协议名称等,也有数值信息,且这些数值有的变化范围较大,如连接时间信息理论上可能的取值范围为一切非负整数,而另一些仅有0和1两个值.该模块必须将所有的特征信息预处理成0～1之间的实数,然后进行加权处理或直接作为SVM的输入向量.SVM训练模块该模块对预先选定的训练数据集进行训练,训练数据集中的数据是从数据预处理模块中得到的.训练有两种方式:一种是监督学习,就是对训练数据集中的每条数据都给出其类别信息,即训练样本是由(x,y)成对给出;另一种是非监督学习,就是训练数据集中的每条数据不给出其类别信息.经训练之后将得到一组支持向量并存入SVM支持向量库,这组支持向量也就是训练后得到的模型.SVM预测模块该模块也是整个系统最重要的部分,是入侵检测的核心部分.它利用SVM训练模块得到的SVM支持向量组对实际需要检测的网络连接记录(这些记录也是从数据预处理模块中得到的)进行预测,预测的结果即输出值为1或-1(1表示正常,即未发生入侵行为;-1表示异常,即发生了入侵行为).SVM支持向量库该模块用于存放SVM训练模块训练后得到的支持向量组,为了存取方便,使用数据库形式.事件数据库事件数据库用于存放已经检测过的历史事件,在网络入侵检测系统(Network Intrusion Detection System,N IDS)中这些历史事件个个网络连接一记录,这个数据库主要用于系统管理员日后审查历史记录,便于解网络状况以更好地维护网络环境.输出及响应模块该模块也是整个系统的一个重要组成部分,它利用SVM预测模块预测得到的信息,当有入侵行为发生时,进行报警、断开网络等各种必要的相应措施. 数据采集模块利用网络数据包监听原理进行工作.网络适配器常用的两种接收模式是普通模式和混杂模式.通常网络适配器工作在普通模式,只接收数据包中目的MAC地址与该适配器MAC地址相同的数据包,并将接收到的数据包交给高层协议来处理,而对于除广播数据包以外的其他包一律丢弃.在混杂模式下,所有接收到的数据包都会交给高层协议,而不判断数据包中的MAC地址与主机适配器的MAC地址是否一致.这样,就可以通过将网络适配器设置为混杂模式,来达到监听并采集网段上传输的所有数据包的目的.一个网络会话的描述特征有很多,如连接长度、协议类型、数据包大小等,有的是数字,如网络会话长度与大小,有的是字符,如协议类型.利用支持向量机进行入侵检测,就是正确的分类网络会话,支持向量机的输入向量均为数字形式,因此,须把字符属性转化为相应的数字属性,关键词表就是字符属性与转化后的数字属性之间的对应表.数据预处理模块就是根据关键词表的对应关系,将网络会话矢量转化为输入特征矢量,并进行归一化处理.归一化处理的目的就是使得各个取值范围不同的属性在分类机中起到相同的作用,从而避免分类机倾向于看重取值较大的属性.本文尝试在入侵检测领域利用支持向量机,构建基于支持向量机的入侵检测系统模型.并对入侵检测系统模型的分析,以及目前国内外研究表明,与传统的异常检测系统相比,基于SVM的入侵检测系统具有较少的检测时间,在先验知识不足的情况下,仍有较好的分类正确率,在异常检测领域SVM是一种有效的入侵检测方法,在网络入侵检测系统中和L INUX主机入侵检测系统中均有研究和应用.【相关文献】[1]张义荣,肖顺平,鲜明,等.基于机器学习的入侵检测技术概述[J].计算机工程与应用,2006(2):7-9.[2]刘胜利.基于SVM的网络入侵检测研究[D].大连:大连海事大学,2004.[3]许劲松,覃俊.一种基于支持向量机的入侵检测模型[J].计算机仿真,2004(5):43-45.[4]柏海滨,李俊.基于支持向量机的入侵检测系统的研究[J].计算机技术与发展,2008(4):137-139.。

基于SVM的网络入侵检测算法优化研究一、引言随着互联网技术的发展，网络攻击对网络安全的威胁不断增加，因此网络入侵检测成为网络安全的重要组成部分。

SVM（Support Vector Machine）作为一种分类模型，在网络入侵检测中发挥着重要作用。

本文通过对SVM算法优化的研究，提高基于SVM的网络入侵检测的准确性和效率。

二、SVM分类算法概述A. SVM的优点SVM算法作为一种分类模型，具有以下优点：1. 可以选择不同的核函数进行分类；2. 实现简单，与样本数量无关，具有良好的泛化性能；3. 准确率高，在处理小样本时也具有优势。

B. SVM分类算法的步骤该算法主要包括以下步骤：1. 收集训练数据，并对数据进行预处理；2. 根据训练数据确定SVM分类器的参数，包括核函数、正则化参数和阈值等；3. 对测试数据进行分类，给出分类结果。

C. SVM算法优化的研究现状目前，SVM算法的优化主要是针对以下问题进行研究：1. 参数选择问题，即如何选择最优的核函数、正则化参数和阈值；2. 算法效率问题，即如何提高算法的运行速度和处理大数据量的能力。

三、SVM算法优化方法探究A. 参数优化方法1. 核函数的选择SVM的核函数选择对分类结果有很大影响，目前常用的核函数包括线性核函数、多项式核函数和径向基核函数等。

要根据实际数据的特征进行选择，以保证分类器的准确性和泛化性能。

2. 正则化参数的选择正则化参数是控制分类器复杂度的一个参数，其选择会影响分类器的泛化性能。

一般采用交叉验证的方法来选择最优的正则化参数。

3. 阈值的选择阈值是控制分类结果输出的一个参数，其选择会影响分类器的准确率和误报率。

通常采用ROC曲线的方法来选择最优的阈值。

B. 算法效率优化方法1. 基于GPU的并行计算由于SVM算法涉及大量的线性代数运算，因此可采用GPU并行计算来提高算法效率。

GPU并行计算能够极大地加速SVM算法的训练过程，提高算法的运行速度。

基于SVM算法的网络安全入侵检测系统设计随着互联网时代的到来，网络安全已成为每一个网络用户越来越重视的一个问题，尤其是在数据泄露和网络入侵的潜在风险日益增加的今天。

为此,越来越多的人开始尝试使用SVM算法设计网络安全入侵检测系统，以有效防止外部黑客对公司或个人计算机网络的非法入侵。

SVM算法是一种监督学习机器学习算法，被广泛应用于许多领域，包括图像识别、生物医学研究和金融市场分析等。

在网络安全领域，SVM算法的主要用途是对网络攻击进行分类，以便快速识别网络入侵。

因此，本文将对基于SVM算法的网络安全入侵检测系统进行简要论述。

1. SVM算法简介SVM算法是一种二元分类算法，通过找到一个划分超平面，将输入数据分为两部分。

划分超平面的选择是通过算法中最小化错误分类的目标函数实现的。

SVM算法在分类的过程中，使用一组线性不等式约束公式来定义一个线性超平面。

而在高维情况下，超平面将被一个空间中的一个线性子空间所代替。

通过选择超平面，SVM分类器可以大大提高分类的精确度。

2. 网络安全入侵检测系统的设计网络安全入侵检测系统主要通过收集网络传输的数据，并根据各种传输数据的特征来识别网络入侵。

系统分类器可以通过SVM算法进行训练，以确定入侵检测的阈值。

一旦系统确定有入侵发生，系统就会立即采取相应的措施，以尽快解决问题。

3. 数据样本的收集与处理网络安全入侵检测系统主要通过收集来自网络流量的数据训练分类器。

基于SVM算法的网络安全入侵检测系统需要大量的数据样本作为训练数据集，以便分类器可以更准确地识别出网络入侵。

也就是说，从网络流量中收集必要的数据可以帮助系统识别网络入侵。

通常情况下，网络流量数据的收集可以使用网络监控设备、数据包捕获软件或人工操作等方法实现。

收集到的数据样本需要经过数据预处理步骤，包括去除噪声、特征选取和归一化等，以便后续分类器训练可以更加准确。

4. 特征提取与选择在SVM算法中，数据的特征提取和选择对分类器的准确性起着很大的作用。

基于互信息特征选择和LSSVM的网络入侵检测系统
庄夏
【期刊名称】《中国测试》
【年(卷),期】2017(043)011
【摘要】为提高网络入侵检测系统(IDS)的性能,提出一种基于互信息特征选择和LSSVM的入侵检测方案(BMIFS-LSSVM).将采集到的网络连接数据进行规范化处理,并提出一种权衡考虑特征相关性和冗余性的新型互信息特征选择(BMIFS)方法,以此从网络连接数据中选择出有效特征集.根据提取的训练样本特征集,利用最小二乘支持向量机(LSSVM)构建分类器和简化粒子群优化(SPSO)算法来优化LSSVM 的核函数宽度系数和正则化参数,最后利用训练好的分类器进行入侵检测.仿真结果表明:提出的BMIFS能够选择出最优特征集,使BMIFS-LSSVM提高入侵检测准确率且降低误报率.
【总页数】6页(P134-139)
【作者】庄夏
【作者单位】中国民航飞行学院科研处,四川广汉 618307
【正文语种】中文
【相关文献】
1.基于神经网络和CFS特征选择的网络入侵检测系统 [J], 孙宁青
2.基于互信息和PSO-LSSVM的脱硝反应器入口NOx浓度预测 [J], 刘延泉;杨堃;王如蓓
3.基于特征选择算法的网络入侵检测系统设计 [J], 杨开林
4.基于特征选择算法的网络入侵检测系统设计 [J], 杨开林
5.基于互信息PSO-LSSVM的SO2浓度预测 [J], 金秀章;李京
因版权原因，仅展示原文概要，查看原文内容请购买。

基于CPSO-LSSVM的网络入侵检测刘明珍【摘要】In order to improve the network intrusion detection effect, this paper puts forward a network intrusion detection model based on Chaotic Particle Swarm Optimization(CPSO) algorithm and Least Squares Support Vector Machine(LSSVM). The network features and parameters of LSSVM are encoded into binary particles. The objective function of particle swarm optimization algorithm is built based on network intrusion detection accuracy and the dimensions of the feature subset. The particle swarm is used to find the optimal feature subset and LSSVM parameters, while the chaotic mechanism is introduced to guarantee the diversity of particle swarm and to prevent producing precocious phenomenon, the optimal model of the network intrusion detection is established. The performanceof proposed model is test by KDD99 data and the simulation results show that proposed model can select the optimal feature subset and LSSVM parameters, the detecting speed and network intrusion detection accuracy are improved, and thereby network intrusion detection false negative rate and false positive rate are reduced.%为提高网络入侵检测效果，提出一种结合混沌粒子群优化(CPSO)算法和最小二乘支持向量机(LSSVM)的网络入侵检测模型。

基于CQPSO-LSSVM的网络入侵检测模型张拓;王建平【期刊名称】《计算机工程与应用》【年(卷),期】2015(000)002【摘要】In order to improve the detection rate of network intrusion, a novel network intrusion detection model is pro-posed in this paper based on cooperative quantum-behaved particle swarm optimization algorithm and least square sup-port vector machine. The feature subset is coded as the position of particle, and the detection rate is taken as evaluation cri-teria of the feature subset, and the cooperative quantum-behaved particle swarm optimization algorithm is used to find the optimal feature subset, the intrusion detection model is built based on the optimal feature subset by least square support vector machine, the simulation experiment is carried out on the KDD CUP 99 data. The results show that, compared with other models, the proposed algorithm has improved detection efficiency and the detection rate of the network intrusion.%为了提高网络入侵检测率，提出一种协同量子粒子群算法和最小二乘支持向量机的网络入侵检测模型（CQPSO-LSSVM）。

基于混合核函数的LSSVM网络入侵检测方法赵夫群【摘要】针对常规网络入侵检测算法检测率低、误报率高以及检测效率低下等问题,在此使用基于混合核函数的最小二乘支持向量机作为网络入侵检测模型的核心算法,使用粒子群优化算法对最小二乘支持向量机的各个参数进行优化.使用著名的KDD CUP99数据库中的部分数据样本对网络入侵检测模型进行训练和测试,以验证所提出网络入侵检测方法的性能.测试实验结果表明,提出的基于混合核函数的PSO-LSSVM算法具有更好的检测性能,提高了检测系统的检测率.%Since the conventional detection algorithm of network intrusion has low detection rate,high false positive rate and low detection efficiency,the least squares support vector machine (LSSVM) algorithm based on hybrid kernel function is taken as the core algorithm of the network intrusion detection model,and each parameter of the LSSVM is optimized by using particle swarm optimization(PSO)algorithm. The network intrusion detection model was trained and tested by partial data sam-ples in famous KDD CUP99 database to verify the performance of the proposed network intrusion detection method. The test re-sults show that the PSO-LSSVM algorithm based on hybrid kernel function has better detection performance,and can improve the detection rate of the detection system.【期刊名称】《现代电子技术》【年(卷),期】2015(038)021【总页数】4页(P96-99)【关键词】最小二乘支持向量机;粒子群优化;网络入侵检测;混合核函数【作者】赵夫群【作者单位】陕西咸阳师范学院,陕西咸阳 712000【正文语种】中文【中图分类】TN711-34;TP393随着互联网技术与计算机技术的不断发展，互联网得到了广泛的普及，为人们的生活、学习、工作带来了无限的便利，可以说人们已经无法离开互联网。

基于CS-CPSO与SVM融合的WSNs入侵检测算法刘宏立;李璐;胡久松【摘要】In order to improve the detection precision and convergence rate of the intrusion detection algorithm for wireless sensor networks(WSNs) based on fusion of particle swarm optimization (PSO) algorithm and support vector machine(SVM),a WSNs intrusion detection algorithm based on complete sine-mapping chaotic CS-CPSO-SVM based on fusion of CS-CPSO and SVM is proposed.Chaotic PSO algorithm based on CS-CPSO is used to optimize the parameter of SVM,and the sine-mapping chaotic search is applied to not only the generation of initial population and chaotic perturbation of local optimal for PSO algorithm,but also the optimization of the inertia weight and the generation of the random constant and the learning factor,moreover,multiple initial values are used to generate a number of chaotic orbits.With the KDDCUP99 data set as experimental data,the oretical analysis and simulation results show that the proposed method can effectively detect the intrusion behavior,and has a good detection precision and convergence speed.%为了提高基本粒子群优化(PSO)算法与支持向量机(SVM)融合的无线传感网络(WSNs)入侵检测算法的检测精度与收敛速度,提出了一种基于完全正弦映射混沌粒子群优化(cS-cPSO)算法与SVM融合的WSNs入侵检测算法(CS-CPSO-SVM).采用CS-CPSO算法优化SVM参数,不仅将正弦映射混沌搜索应用于粒子群算法中初始种群与局部最优解混沌扰动的产生,且将其用于惯性权重的优化以及随机常数和学习因子的产生,并用多个初始值分别迭代生成多条混沌轨道.以KDDCUP99数据集作为实验数据,经理论分析与仿真实验表明:该方法可以有效地检测入侵行为,并具有良好的检测精度与收敛速度.【期刊名称】《传感器与微系统》【年(卷),期】2017(036)009【总页数】3页(P110-112)【关键词】无线传感器网络入侵检测;正弦映射;多混沌轨道;完全正弦映射混沌粒子群优化【作者】刘宏立;李璐;胡久松【作者单位】湖南大学电气与信息工程学院,湖南长沙410082;湖南大学电气与信息工程学院,湖南长沙410082;湖南大学电气与信息工程学院,湖南长沙410082【正文语种】中文【中图分类】TN911.7目前为止，已经确定了许多不同类型的无线传感器网络 (wireless sensor networks,WSNs)[1～3]中的攻击[4]，如黑洞、女巫、拒绝服务攻击等。

基于IQPSO的SVM参数优化入侵检测研究潘晓君【期刊名称】《《宁夏师范学院学报》》【年(卷),期】2019(040)010【总页数】5页(P80-84)【关键词】量子粒子群优化; 支持向量机; 入侵检测【作者】潘晓君【作者单位】安徽工商职业学院信息工程学院安徽合肥 231100【正文语种】中文【中图分类】TP393.081 量子粒子群优化及支持向量机概述1.1 量子粒子群优化量子粒子群优化 ( Quantum Particle Swarm Optimization，QPSO) 算法是一种比较新的基于粒子群优化的改进算法，它的总体性能要比传统的粒子群算法更好,具有良好的鲁棒性与并行计算等优点，现已被广泛应用于算法优化处理与函数极值等问题的求解上.然而,该算法还是有一些缺陷，在循环迭代运算过程中极易出现早熟停滞与收敛速度慢等一系列问题[1].针对此问题，本文在研究该算法的基本理论基础上，提出了一种对粒子最优位置增加高斯扰动的改进QPSO算法，使其作用到支持向量机模型参数的寻优中，构建了基于IQPSO的优化SVM参数的入侵检测模型(SVM-IQPSO).1.2 支持向量机支持向量机(Support Vector Machine，SVM)是一种分类算法，通过寻求结构化风险最小来提高学习机泛化能力，实现经验风险和置信范围的最小化，从而达到在统计样本量较少的情况下，亦能获得良好统计规律的目的[2-3].通俗来讲，它是一种二类分类模型，其基本模型定义为特征空间上的间隔最大的线性分类器，即支持向量机的学习策略便是间隔最大化，最终可转化为一个凸二次规划问题的求解[4].2 SVM-IQPSO模型算法的设计2.1 早熟收敛的判定在向量粒子群算法中，粒子所处的位置决定了它的目标适应度值大小，若粒子种群在循环迭代的过程中陷入局部最优，则该算法就不能搜寻出全局最优解.这里设定粒子种群的目标适应度方差为d2，如式子(1)所示：(1)(2)在式子(2)中，n是粒子种群的大小，t为归一化因子，tn为第n个粒子的目标适应度值，tavg为当前种群的平均适应度值.d2表示粒子种群的汇聚程度，d2值越小则表示种群中的粒子越集中.本文首先设置了一个阈值F，当算法在循环迭代操作过程中，假若d2的值小于给定的阈值F，就利用高斯扰动等干预方法来避免算法陷入局部最优的情况，以此达到寻找到全局最优解的目的.2.2 高斯扰动操作向量粒子群算法会随着粒子种群汇聚度的逐步提升，粒子种群呈现出来的多样性就会快速减少，迭代操作结束后种群的粒子会收敛于同一个汇聚点，这就使得粒子不能保持很好的活动性，极易陷入局部最优.为了尽可能地搜寻到全局最优，本文在粒子种群的平均最优位置中增加高斯扰动，具体操作如式子(3)、(4)、(5)所示 .Ai(t)=Ai(t)+ε*Gn,i=1,2,…，n.(3)(4)piE=ε*piE+(1-ε)*pjE，(5)式子(3)中在每个粒子最优位置Ai(t)上加入高斯扰动，ε是预先设置的参数，Gn是均值为0及标准方差为1的满足高斯扰动操作的随机数.式子(4)中Nbest则是种群所有粒子的最优位置的平均值，E为种群粒子的维数.式子(5)中，piE为piE和pjE之间的随机点.2.3 IQPSO对SVM参数的优化本文使用SVM算法搭建网络数据入侵检测分类器，运用改进的向量粒子群(IQPSO)算法对SVM中的参数进行优化，避免出现粒子种群的早熟停滞陷入局部最优的情况.该模型算法的流程如下:Step1:对模型算法进行参数设置，如粒子种群规模大小、循环迭代次数及入侵样本维数等，初始化粒子种群.Step2:通过初始适应度来评定粒子种群中每个粒子的优劣情况.假若粒子当前所处的位置优于以前的最优位置，则用当前目标对其进行替换；若当前粒子种群的全局位置优于先前的最优位置，则用当前该位置进行替换.Step3:对当前种群粒子所处的位置和速度进行更新，对种群中粒子的平均最优位置、个体最优位置及种群的全局最优位置进行记录.Step4:判定模型算法是否已经满足迭代操作结束条件，若满足，则转向Step6，否则执行Step 5.Step5:依据式子(1)计算出种群的适应度方差，判断d2是否小于给定的阈值F ,假若成立，则依据式子(3)、(4)、(5)对粒子种群进行高斯扰动，然后再转向Step2. Step6:将粒子个体适应度值和其最优位置输出.Step7:在循环迭代操作结束后，把获取的SVM最优参数提取出来,搭建基于IQPSO的SVM 入侵检测模型(SVM-IQPSO)，对需要进行实验操作的入侵样本数据进行检测.3 SVM-IQPSO入侵检测模型的搭建SVM-IQPSO入侵检测模型主要是利用SVM算法对选取的入侵样本数据进行归一化预处理、训练及测试等操作.Step1:在数据样本的早期预处理过程中，运用 SVM 的相关函数对选取的样本进行归一化操作，将其转换成[0，1]之间的实数.Step2:训练就是将SVM 算法对开始选取的训练数据样本集进行入侵行为的操作判定，以便搭建SVM-IQPSO的入侵网络检测模型.Step3:测试就是利用训练建立起来的优化模型对网络中的入侵样本数据进行统计分析，输出网络数据入侵检测的结果.SVM-IQPSO入侵检测模型如图1所示：图1 SVM-IQPSO入侵检测模型4 实验环境与结果分析4.1 实验环境的搭建及参数的设置本文的实验是基于Windows 10系统，visual c++开发平台，选取的实验数据来源于权威的KDD CUP 99样本集，其中主要的数据是测试集和训练集[5].这些数据集中除了正常的无攻击的数据样本Normal，还主要包括了目前网络流行的4种入侵数据样本，它们分别为：Probe、R2L、DOS及U2R[6].样本集的数据量由于非常庞大，本文随机选取一部分数据进行测试验证，各种类型数据的样本分布情况如表1所示.表1 测试样本数据分类入侵类别样本数训练集测试集Probe20001200R2L500300DOS40002500U2R600400本文实验的参数分别设置为：粒子种群数量n= 60，入侵数据的特征维数E=30，迭代操作次数D=200，支持向量机SVM的参数搜索区间定义为:H∈(0，200]，增加高斯扰动的向量粒子群算法阈值设为6×10-6 .为了能够更加有效的显示SVM-IQPSO总体的检测性能，本文将SVM和SVM-QPSO(基于SVM的QPSO)与其进行比较.性能评价参数主要有：建模时间、检测率、漏报率及误报率，后三个参数的公式定义如下所示：检测率(6)漏报率(7)误报率(8)4.2 实验结果与分析为了更加全面有效的得出SVM、SVM-QPSO及SVM-IQPSO这三种算法的入侵检测效率，分别对它们进行了50次实验操作.首先对量子粒子种群进行参数设置和初始化操作，然后对SVM进行数学建模，对其参数进行优化，更新粒子群状态，避免早熟收敛陷入局部最优，最终得到全局最优解.本文通过建模时间、检测率、漏报率及误报率等参数来分析各种算法的检测性能，测试具体数据如表2所示. 表2 三种算法检测性能比较评价参数入侵类别Probe R2LDOSU2R算法类型5.195.275.145.43SVM建模时间(s)4.975.164.925.31SVM-QPSO4.254.384.194.57SVM-IQPSO85.7486.1388.9187.64SVM检测率(%)87.1387.9588.7489.27SVM-QPSO91.8292.3792.8993.04SVM-IQPSO2.732.524.933.57SVM漏报率(%)2.492.283.472.42SVM-QPSO2.011.732.541.59SVM-IQPSO13.895.118.924.95SVM误报率(%)9.873.967.942.02SVM-QPSO7.962.646.891.86SVM-IQPSO从表2可知，相对于SVM及SVM-QPSO两种算法，SVM-IQPSO算法的平均建模时间有了一定程度的减少，粒子更新收敛的速度更快；该算法通过对SVM 的参数优化，使得入侵检测模型的泛化能力得到整体的提升，增强了支持向量机的分类性能，提高了对入侵数据的检测精准率；入侵漏报有了一定程度的降低，特别当入侵类别是DOS时，漏报的性能差别显得尤为突出；误报率则有较大幅度的减少，特别当入侵类别是U2R时，误报的情况有了较大程度的降低，总体的入侵检测性能有了明显的提高.5 结束语随着网络技术不断的发展，伴随而来的网络安全问题也日益成为人们关注的焦点.对数据入侵检测的研究是维护网络安全的一个重要方法.为了更加有效地提高入侵检测的效率，本文提出了一种对SVM参数进行优化的IQPSO模型(SVM-IQPSO).实验结果表明：SVM-IQPSO模型算法通过对SVM参数优化，大大减少了入侵数据的维数，检测的效率得到明显的提升，使入侵检测的整体性能有了较大的提高，在高维度、大规模的实时检测环境中具有较好的借鉴参考价值.参考文献:【相关文献】[1] 李策,王保云,高浩.基于自适应粒子群算法的特征选择[J].计算机技术与发展，2017，27(4): 89-93.[2] 胡章芳,孙林,张毅,等.一种基于改进QPSO的机器人路径规划算法[J].计算机工程，2019，45(4):281-287.[3] Ambusaidi M A，He X，Nanda P，et al.Building an Intrusion Detection System Using a Filter-Based Feature Selection Algorithm[J].IEEE Transactions on Computers,2016,65(10) : 2986-2998.[4] Xue T，Li R，Tokgo M，et al.Trajectory planning for autonomous mobile robot using a hybrid improved QPSO algorithm[J].Soft Computing,2017,21(9):2421-2437.[5] Chatterjee A,Mahanti G K,Mahanti A.Synthesis of thinned concentric ring array antenna in predefined phi-planes using binary firefly and binary particle swarm optimization algorithm[J],International Journal of Numerical Modelling Electronic Networks Devices & Fields，2015，28(2):164-174.[6] 袁开银,费岚.混合粒子群优化算法选择特征的网络入侵检测[J].吉林大学学报(理学版)，2016,54(2):309-313.。

基于QPSO训练支持向量机的网络入侵检测
李旭芳;王士同
【期刊名称】《计算机工程与设计》
【年(卷),期】2008(29)1
【摘要】对于大规模入侵检测问题,分解算法是训练支持向量机的主要方法之一.在结构风险最小化的情况下,利用改进后的蚁群算法(QPSO)解决二次规划问题(QP),寻找最优解,并对 ArraySVM 算法进行了改进,同时对KDD入侵检测数据进行了检测.结果表明,算法精确度高于改进前的 ArraySVM 算法,并且减少了支持向量点数量.
【总页数】3页(P34-36)
【作者】李旭芳;王士同
【作者单位】江南大学信息工程学院,江苏,无锡,214122;江南大学信息工程学院,江苏,无锡,214122
【正文语种】中文
【中图分类】TP393.08;TP181
【相关文献】
1.基于QPSO算法的支持向量机参数优化研究 [J], 史岩;李小民;齐晓慧
2.基于QPSO训练支持向量机的人脸识别 [J], 山艳;须文波;孔丽丹
3.基于QPSO优化投影寻踪的网络入侵检测方法 [J], 朱丽华;刘以安;魏敏
4.基于支持向量机方法的网络入侵检测实验研究 [J], 周飞菲
5.基于空间降维和多核支持向量机的网络入侵检测 [J], 田桂丰;单志龙;廖祝华;王煜林
因版权原因，仅展示原文概要，查看原文内容请购买。

基于SOA-SVM的网络入侵检测方法研究
赵伟
【期刊名称】《自动化与仪器仪表》
【年(卷),期】2015(0)1
【摘要】针对网络入侵检测模型的正确率和有效性问题,将人群搜索算法收敛精度高的特点与支持向量机结构风险小、小样本下分类准确率高的优点相结合,提出一种基于人群搜索算法(SOA)和支持向量机(SVM)的网络入侵检测方法(SOA-SVM),该方法将SVM惩罚因子和核函数参数作为人群搜索算法适应度,采用随机搜索和模糊推理方式进行全局寻优,从而找到SVM最优参数并构建入侵检测模型。

采用KDD CUP 99数据集进行性能测试,结果表明,SOA-SVM入侵检测模型准确率高,漏报率和虚警率低,在小训练样本情况下依旧具有优良的效果,从而验证了该方法的有效性与稳定性。

【总页数】4页(P39-42)
【关键词】网络入侵;支持向量机;人群搜索算法
【作者】赵伟
【作者单位】陕西省行政学院电子设备与信息管理处
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于混合入侵检测技术的网络入侵检测方法 [J], 尹才荣;叶震;单国华;赵晓峰
2.基于神经网络的舰载网络入侵检测方法研究 [J], 马曦;李瑞;姚晋
3.基于人工蜂群算法和XGBoost的网络入侵检测方法研究 [J], 徐伟;冷静
4.基于机器学习的网络入侵检测方法研究 [J], 魏嘉昕
5.基于人工蜂群算法及多变量决策的网络入侵检测方法研究 [J], 黄海波
因版权原因，仅展示原文概要，查看原文内容请购买。