基于并行特征选择和分类的网络入侵检测方法

/引 言
网 络 人 侵 检 测 （intrusiondetection system， IDS) 系 统1 是提高网络安全访问的一种有效手段。人侵检测可分 为 误 用 检 测 和 异 常 检 测 。误 用 检 测 是 根 据 已 知 攻 击 类 型 ， 将访问数据与其进行匹配来检测人侵。异常检测是用来检 测非传统人侵类型的用户行为[2]。
2019年 3 月 第 40卷 第 3 期
计算机工程与设计
C O M P U T E R ENGINEERING A N D DESIGN
M a r . 2019 Vol.40 N o .3
基于并行特征选择和分类的网络人侵检测方法
戴敏
" 中 国 民 用 航 空 飞 行 学 院 计 算 机 学 院 ，四 川 广 汉 618307) 摘 要 ：针对存在大量访问时的网络入侵检测问题，提 出 一 种 在 Ma p R e d u c e框架下实现的并行网络入侵检测方法。构建一 种 并 行 化 的 量 子 粒 子 群 优 化 （Q P S O ) 算法 ，对原始数据集中的大量特征进行选择，降 低 特征维度；实现一种并行化的朴 素 贝 叶 斯 （N B ) 分 类器，以网络访问特征作为输入来检测入侵。在 K D D C u p 9 9 数 据 集 上 的 实 验 结 果 表 明 ，该特征选择方 法 能 够 选 择 出 最 优 特 征 子 集 ，有 效 提 高 了 入 侵 检 测 的 准 确 性 ，特 征 选 择 和 分 类 器 的 并 行 化 缩 短 了 检 测 时 间 。 关 键 词 ：网络入侵检测& Map R e d u c e框 架 & Q P S O 算法；特 征选 择 & N B 分类器 中图法分类号：T P 393 文献标识号：A 文 章编号：1000-7024 (2019) 03-0654-08 doi：10. 16208/.. issnl000-7024. 2019. 03. 011
对于误用检测，学者提出了多种基于数据挖掘和机器 学习的 IDS。综合来看，机 器 学 习方法的效果较好3 。这 种方法通常采用例如神经网络、支 持 向 量 机 （S M ) 、朴素 贝 叶 斯 （N B ) 分 类 器 等 对 人 侵 数 据 进 行 智 能 学 习[4]。 然 而 ，由于网络访问时的连接数据具有大量的特征，这大大 增加了机器学习 的 时 间 ，并 影 响 了 分 类 器 的 准 确 性 。 为了 克服 这 些 问 题 ，学 者 提 出 了 特 征 选 择 技 术 。特征选择是用
Network intrusion detection based on parallel feature selection and classification
DAI Min (School of Computer, Civil Aviation Flight University of China, Guanghan 618307，China)
was constructed to reducethe feature dimension by selecting feature subset from the original data set. A paralld naive Bayesian
( N B ) classifier was
implemented
来 从 整 个 数 据 集 特 征 中 选 择 出 最 优 子 集 。常 用 的 方 法 有 主 成 分 分 析 （P C A )、特 征 统 计 方 法 和 一 些 智 能 优 化 算 法 等[5]。例 如 ，文 献 [ 6 , 提出了基于一致性过滤特征选择和 S V M 分类器的人侵检测方法，然而其特征选择只依赖于训 练数据的统计结果，不能很好地选择特征。文 献 [ 7 , 提出 了 基 于 互 信 息 特 征 提 取 和 最 小 二 乘 S V M (L S S V M ) 分类 器 的 人 侵 检 测 方 法 ，虽 然 L S S V M 比 S V M 的运算速度更 快 ，但 其 性 能 依 赖 于 两 个 参 数 因 子 ，且 较 难 合 理 选 择 。文 献 [ 8 ] 提出了一种结合P C A 特征降维和N B 分类器的网络 人侵检测方法，但 是 P C A 不能有效捕捉人侵数据各种因素 之 间 的 非 线 性 关 系 ，这 影 响 了 最 优 特 征 集 的 选 择 。文献 [ 9 ] 结 合 了 粒 子 群 优 化 （P S O ) 特 征 降 维 和 S V M 分类器构 建了一种人侵检测系统，但基于 智 能 算 法 的 特 征 选 择 计 算 量 较 大 ，收敛时间较长。
feature
curacy of intrusion detection effectively.The parallelization of feature selection and classifier greatly reduces the detection time.
Key words：network intrusion detection；MapReduce framework；Q P S O algorithm；feature selection；N B classifier
Abstract：T o solve the problem of network intrusion detection when there is a large number of accesses, a parallel network intru­
sion detection method based on MapReducewas proposed. A parallel quantum particle swarm optimization ( Q P S O ) algorithm
in
which network access features were
taken as input to detect
on K D D C u p 99 dataset
show that the
proposed feature selection method can select the optimd