【導(dǎo)讀】[摘要]入侵檢測技術(shù)是當(dāng)今一種非常重要也非常有效的動態(tài)網(wǎng)絡(luò)安全技術(shù)，它可與靜態(tài)安全技術(shù)如防火墻等協(xié)同使。用，可以使系統(tǒng)的安全防護(hù)能力得到極大的改善。本設(shè)計(jì)系統(tǒng)的介紹了入侵檢測的基本概念、發(fā)展歷史、與其他安。全技術(shù)如防火墻等的緊密聯(lián)系、基本工作原理、工作模式、分類以及發(fā)展趨勢。當(dāng)前入侵檢測系統(tǒng)使用常規(guī)算法檢。測，不僅其檢測效率低下，而且遠(yuǎn)遠(yuǎn)未能滿足不了大規(guī)模和高帶寬網(wǎng)絡(luò)的安全防護(hù)要求，漏報(bào)率和誤警率較高，很。難檢測分布式協(xié)同攻擊等復(fù)雜的攻擊手段；另外，預(yù)警水平過分依賴于攻擊特征庫導(dǎo)致其缺乏對未知入侵的預(yù)警能。統(tǒng)計(jì)學(xué)習(xí)理論最近興起的最實(shí)用的部分是支持向量機(jī)，同時控制經(jīng)驗(yàn)風(fēng)險(xiǎn)和分類器的容量（用分類器的。本設(shè)計(jì)重點(diǎn)介紹了支持向量機(jī)的基本原理，同時也介紹了它的長處和不足。數(shù)的累加而趨近收斂，從而對支持向量機(jī)的參數(shù)完成優(yōu)化。[關(guān)鍵詞]入侵檢測；鄰域粗糙集；和聲搜索；支持向量機(jī)；

　　

【正文】 ))(t a n h (),( cxxvxxK ii ??? 同時，研究表明，影響支持向量機(jī)分類性能的關(guān)鍵因素 是 核函數(shù)及相關(guān)參數(shù)、懲罰參數(shù)是。其中，懲罰系數(shù) C 反映了算法對離群樣本數(shù)據(jù)的懲罰程度，其值影響模型的復(fù)雜性和穩(wěn)定性。 C 過小，對超出離群樣本點(diǎn) 的 懲罰就小，訓(xùn)練誤差變大； C 過大，學(xué)習(xí)精度相應(yīng)提高，但模型的泛化能力變差。 C 的值影響到對樣本中“離群點(diǎn)”（噪聲影響下非正常數(shù)據(jù)點(diǎn)）的處理，選取合適的 C 就能在一定長度上提高抗干擾能力，從而保證模型的問穩(wěn)定性。 另外 ，因?yàn)槎囗?xiàng)式核函數(shù)的參數(shù)有 pc和 兩個，加上使用 SVMC? 時 的 懲罰參數(shù) C ，共有三個參數(shù)； Sigmoid 核函數(shù)與多項(xiàng)式核函數(shù)和徑向基核函數(shù)不同，它們總是滿足 Mercer條件，而 Sigmoid 核函數(shù)只是對參數(shù) cv和 的某些值滿足 Mercer 條件 ,Mercer 條件刻畫的函數(shù) ),( zxK 是核函數(shù)的性質(zhì)；徑向基函數(shù)的參數(shù)只有一個 ? ，加上懲罰參數(shù) C 共有兩個。通過實(shí)驗(yàn)的方式來確定核函數(shù)并進(jìn)性參數(shù)選擇，由于使用交叉驗(yàn)證和網(wǎng)絡(luò)搜索非常消耗時間，而 RBF 核函數(shù)無論是低維、高維、小樣本、大樣本等情況均適用且有較寬的收斂域，所以從實(shí)踐上選用 RBF 核函數(shù)更容易一些 [9]。 和聲搜索算法（ Harmony Search， HS） 作為 一種現(xiàn)代啟發(fā)式智能進(jìn)化算法和聲搜索算法（ Harmony Search， HS） [9]是 Geem等人通過類比音樂和最優(yōu)化問題的相似性而提出的。算法通過 模擬樂師們 反復(fù)調(diào)整各種樂器的音調(diào)直到生成一個美妙和聲的過程， 把 該過程類比為優(yōu)化問題的求解過程，將樂器( 1,2, , )im? 類比為優(yōu)化問題中第 i 個決策變量，樂器產(chǎn)生的和聲則相當(dāng)于優(yōu)化問題的第j 個解向量，對和聲的評價即為優(yōu)化問題的目標(biāo)函數(shù)值 [1011]。 和聲搜索算法基本步驟如下 : Step 1 初始化 參數(shù) 變量個數(shù) N 、 最大迭代次數(shù) maxT 、 和聲記憶庫的大小 HMS 、 記憶庫取值概率 HMCR 、陜西理工學(xué)院畢業(yè)論文 音調(diào)微調(diào)概率 PAR 、 音調(diào)調(diào)節(jié)帶寬 bw。 Step 2 初始化和聲記憶庫 隨機(jī)生成 HMS 個和聲 12, , , HMSx x x 放入和聲記憶庫。和聲記憶庫形式如下 : 1 1 11 1 1122 2 22 2 21111( ) ( )( ) ( )( ) ( )NNH M S H M S H M SH M S H M S H M SNx x xx f x f xx x xx f x f xHMx x xx f x f x? ? ? ?? ? ? ?? ? ? ???? ? ? ?? ? ? ?? ? ? ?? ? ? ? () Step3: 生成一個新的和聲 生成新的和聲 39。 39。 39。 39。12( , , , )iNx x x x? ，新和聲的每一個音調(diào) 39。 39。 39。 39。12( , , , )iNx x x x? 通過 如 下三種機(jī)理產(chǎn)生 :① 學(xué)習(xí)和聲記憶庫 , ② 音調(diào)微調(diào) , ③ 隨機(jī)選擇音調(diào)。 新解的第一個變量 39。1x 有 HMCR 的概率選自 HM 中 39。11()HMSxx 的 任意 一值，有1 HMCR? 的概率選自 HM 外（且在變量范圍內(nèi)）的任何一個值。 39。 1 239。39。( , , , ) , r a n d H M C R , o th e r w is e 。 i= 1 , 2 , , NH M Si i i iiiix x x x ifx xX? ?? ? ?? () 其中 rand 表示 [0， 1]上的均勻分布的隨機(jī)數(shù)。 其次，如果新的和聲 39。ix 來自 于 和聲記憶庫 HM，要對其進(jìn)行音調(diào)微調(diào)，具體操作如下： 39。139。39。1 * , if r a n d 1 P A R (* ( ) , m { 1 , 1 } , if r a n d 1 P A R (, o th e r w is e 。 iiiix r a n d b wx x k mx? ??? ? ????連 續(xù) 型 ）離 散 型 ） () 其中，音調(diào)微調(diào)帶寬為 bw，音調(diào)微調(diào)概率為 PAR ； 1rand 表示 [0,1]上均勻分布的隨機(jī)數(shù)。 Step4: 更新和聲記憶庫 對 Step3 中的新解進(jìn)行評估，如果優(yōu)于 HM 中的函數(shù)值最差的一個，則將新解更新至HM 中。具體操作如下： 39。39。1 , 2 , , ( ) ( ) = m a x ( ) , th e n w o r s t j w o r s tj H M Sif f x f x f x x x? ? () Step5: 檢查是否達(dá)到算法終止條件 重復(fù)步驟 Step3 和 Step4，直到創(chuàng)作 (迭代 )次數(shù)達(dá)到 maxT 為止。 陜西理工學(xué)院畢業(yè)論文 基于和聲搜索算法的 SVM 參數(shù)優(yōu)化選擇 核函數(shù)是影響 SVM 性能的一個重要方面。應(yīng)用最廣泛的核是徑向基核（ RBF），即 22( , ) xyK x y e ???? ， 不管是 對小樣本或是大樣本等 問題， 無論是在低維還是 在 高維空間，RBF 核函數(shù)均適用， 并且皆 具有較寬的收斂域，是較為理想的分類核函數(shù)。選取 RBF 核作為 SVM 核函數(shù)。此時，懲罰參數(shù) C 和 RBF 核參數(shù) ? 是 影響 SVM 性能的主要參數(shù)?？刂棋e分樣本的比例和算法復(fù)雜度之間的折中 的參數(shù)是 懲罰參數(shù) C ，即在確定的特征子空間中調(diào)節(jié)學(xué)習(xí)機(jī)置信范圍和經(jīng)驗(yàn)風(fēng)險(xiǎn)的比例以使學(xué)習(xí)機(jī)具有最佳的推廣能力。 RBF 核的寬度 的參數(shù) 是核參數(shù) ? ，隱含地改變映射函數(shù) 是 其改變 實(shí)質(zhì) ，從而樣本特征子空間分布的復(fù)雜程度得以 改變。 本 設(shè)計(jì) 采用 HS 搜素算法尋找 最優(yōu)的參數(shù)組合 ( , )C? ，使 SVM 具有最好的分類性能，提高 SVM 的學(xué)習(xí) 能力及 泛化能力。 基于 HS 算法 SVM 參數(shù)尋優(yōu)具體步驟為： 步驟 1 參數(shù)設(shè)置。 HMS 為 和聲記憶庫的大小， HMCR 為 記憶庫取值概率， PAR 為 音調(diào)微調(diào)概率， bw 為 音調(diào)調(diào)節(jié)帶寬 ， Tmax 為 最大進(jìn)化代數(shù)以及 max min,xx分別是 SVM 懲罰參數(shù) C 和核參數(shù) ? 的上、下限值 向量 ，個體和聲向量維 數(shù) N。 步驟 2 初始化和聲庫。 利用 m in m a x m in(1 , ) ( )x rand N x x? ? ? 函數(shù) 產(chǎn)生 HMS 個和聲，構(gòu)成了初始 的 和聲庫。 步驟 3 計(jì)算初始和聲庫中的各 個體 適應(yīng)度值。 和聲庫中的每一個和聲實(shí)際上就是 ( , )C? 的一個組合，利用支持向量機(jī)在訓(xùn)練集上以每個和聲為參數(shù)進(jìn)行訓(xùn)練，并將在測試集上的分類準(zhǔn)確率作為和聲庫中各和聲的適應(yīng)度值。 步驟 4 生成新的和聲。 如果滿足 rand HMCR? ，則 根據(jù)（ ）式 從和聲庫中隨機(jī)選取一 個和聲，再根據(jù) () 式按概率 PAR 對選取的和聲進(jìn)行音頻微調(diào)；如果不滿足 rand HMCR? ，則在變量的取值范圍里重新生成一個新的和聲。 步驟 5 更新和聲記憶庫。 計(jì)算 由 步驟 4 所 產(chǎn)生的新和聲的適應(yīng)度，并根據(jù) ()式進(jìn)行和聲庫更新 ，生成新一代的陜西理工學(xué)院畢業(yè)論文 和聲庫 。 步驟 6 判斷算法是否終止。 若達(dá)到誤差要求或 者是 達(dá)到最大迭代次數(shù)，則算法終止，輸出最優(yōu)參數(shù)。否則，算法轉(zhuǎn)到步驟 4 繼續(xù)執(zhí)行。 集成 Bagging[1920]作為 一種集成算法是基于有放回重采樣 技術(shù)的，隨機(jī)抽取若干樣本 于 原始訓(xùn)練集 以構(gòu)成 訓(xùn)練子集，訓(xùn)練子集的規(guī)模與原始訓(xùn)練集 相似 ，訓(xùn)練樣本重復(fù)選取 是許可的 。這樣原訓(xùn)練集中一些樣本可能一次也不出現(xiàn)，而另外某些樣本可能在新的訓(xùn)練子集中出現(xiàn)多次 。 由此可以產(chǎn)生差異性較大 的 訓(xùn)練子集。 利用 Bagging 技術(shù)產(chǎn)生的每個 bootstrap 訓(xùn)練子集， 因?yàn)榇嬖?大量噪聲及冗余屬性，進(jìn)行屬性約簡 時使 用具有不同半徑的鄰域粗糙集， 不僅 可以剔除噪聲和冗余屬性，使獲得的分類器具有較高的精度； 而且 使用 具有 不同半徑的鄰域粗糙集對 bootstrap 訓(xùn)練子集進(jìn)行約簡，相當(dāng)于將訓(xùn)練子集映射到 不同的特征空間， 由此 進(jìn)一步 擴(kuò)大 了訓(xùn)練子集的差異性，從而使得最終獲得的分類器具有較高的精度和較大的差異性。 多數(shù)投票法 作為 一種簡單 高 效的方法是決策級數(shù)據(jù)的融合 ， 本設(shè)計(jì) 采用多數(shù)投票法 作為集成的方法。 這種 方法 與 選舉中的投票過程 類似 ， 即 利用單個分類器對給定測試樣本的輸出類別，將該測試樣本劃分到多數(shù)分類器具有相同決策的一類 。 小結(jié) 對入侵?jǐn)?shù)據(jù)進(jìn)行分類 是 入侵檢測技術(shù)的 實(shí)質(zhì) ，因此，本文針對該目的對入侵?jǐn)?shù)據(jù)主要進(jìn)行了兩項(xiàng)操作，第一，通過鄰域粗糙集理論對數(shù)據(jù)屬性進(jìn)行約簡，獲得對檢測結(jié)果影響較大的數(shù)據(jù)屬性以進(jìn)行分 類，同時，避免由于數(shù)據(jù)冗余而造成的處理時間過長、干擾分類等問題；第二，在對數(shù)據(jù) 進(jìn)行完 預(yù)處理之后，本 設(shè)計(jì) 采用基于和聲搜索算法對 SVM 中的 參數(shù)組合( , )C? 進(jìn)行優(yōu)化，確保 該 分類器對分類 的 結(jié)果 具有 較高的檢測率和較低的誤警率。 陜西理工學(xué)院畢業(yè)論文 數(shù)據(jù)來源說明 KDD99(Knowledge Discovery Databases)的數(shù)據(jù) 是 本 設(shè)計(jì)所 采用的實(shí)驗(yàn)數(shù)據(jù)，這批數(shù)據(jù)最早 來源于時 Wenke Lee 等人在 1998 年美國國防部研究局 (DARPA)作 IDS 評測時所獲得數(shù)據(jù)基礎(chǔ)上恢復(fù)出來的鏈接信息，這批數(shù)據(jù)包含 7 周的網(wǎng)絡(luò)流量，約 5000000 條記錄，其中包含大量的正常網(wǎng)絡(luò)數(shù)據(jù)流和各種攻擊。本文所用的 KDD99 已經(jīng)成為近年來評判入侵檢測系統(tǒng)的一套標(biāo)準(zhǔn)數(shù)據(jù)。 具體而言，本文選取 KDD CUP 99 數(shù)據(jù)集中的 10%數(shù)據(jù)集作為實(shí)驗(yàn)數(shù)據(jù)集。 10%數(shù)據(jù)集包括訓(xùn)練集和測試集兩部分，從 10%數(shù)據(jù)集的訓(xùn)練集中隨機(jī)抽取 1000 個樣本作為訓(xùn)練數(shù)據(jù)，其中包括入侵?jǐn)?shù)據(jù) 195 個，而這其中又包括四大類攻擊共 11 種，具體為 Dos 類型 攻擊有 ueptne 攻擊 40 個、 smurf 攻擊 90 個、 back 攻擊 6 個、 probing 類型 攻擊有 ipsweep 攻擊10 個、 portsweep 攻擊 10 個、 satan 攻擊 15 個， U2R 類型 攻擊有 buffer_overflow 攻擊 4 個、rootkit 攻擊 4 個， R2L 攻擊有 waremster 攻擊 4 個、 Guess_passwd 攻擊 6 個、 warezlient 攻擊 6 個。從 10%數(shù)據(jù)集的訓(xùn)練集中隨機(jī) 抽樣 800 個 ， 分別作為測試數(shù)據(jù)，其中 包含 100 個已知攻擊，為驗(yàn)證算法對未知攻擊的檢測效果，加入 100 個未知攻擊。 為 了檢驗(yàn) 本 設(shè)計(jì)所采用的 算法對未知攻擊的檢測能力，在 測試數(shù)據(jù)集中加訓(xùn)練集中沒有的攻擊類型，分為 4 大類 ， 共 10 種， 其中 Dos 攻擊有 teardrop10 個、 pod20 個、 land5 個、probing 攻擊有 nmap10 個， U2R 攻擊有 loadmoudule2 個、 perl2 個， R2L 攻擊有 spy2 個、phf2 個、 imap5 個、 multihop2 個、 ftp_write2 個，測試集數(shù)據(jù)共包含攻擊類型 21 種。 算法評價標(biāo)準(zhǔn) 入侵檢測系統(tǒng)的性能評價指標(biāo)主要有兩個：檢驗(yàn)率和誤警率。其中， 總的攻擊樣本數(shù)量常樣本數(shù)量被錯誤判斷為攻擊的正誤警率總的攻擊樣本數(shù)量數(shù)量正確檢測出的攻擊樣本檢驗(yàn)率?? 數(shù)據(jù)預(yù)處理 對原始數(shù)據(jù) 集應(yīng) 用鄰域粗糙集 算法 進(jìn)行屬性約簡，半徑的不同 將 導(dǎo)致分類精度的差異，因此在這 需要設(shè)置鄰域粗糙集的半徑， 本設(shè)計(jì) 設(shè)置鄰域半徑在 到 1 之間，以 為步長的方式取值，對于鄰域半徑每一個取值，算法都得到一個屬性子集，共獲得 100 個屬性子陜西理工學(xué)院畢業(yè)論文 集。 仿真實(shí)驗(yàn) 實(shí)驗(yàn)步驟 為了研究算法的穩(wěn)定性，實(shí)驗(yàn)重復(fù) 100 次，取其平均值最為實(shí)驗(yàn)結(jié)果。其中： 算法 1：直接采用 SVM 進(jìn)行分類（該算法中 SVM 參數(shù)隨機(jī)生成）； 算法 2： 首先應(yīng) 用鄰域粗糙集進(jìn)行屬性約簡，然后利用 SVM 進(jìn)行分類（算法中 SVM 參數(shù)隨機(jī)產(chǎn)生）； 算法 3：先采鄰域粗糙集進(jìn)行屬性約簡， 再采用 用 和聲搜索算法對 SVM 的參數(shù) c 和φ進(jìn)行優(yōu)化，最 后利用 SVM 分類（該算法中 SVM 參數(shù)隨機(jī)產(chǎn)生）； 本文算法： 首 先 采