【導讀】[摘要]入侵檢測技術是當今一種非常重要也非常有效的動態(tài)網(wǎng)絡安全技術，它可與靜態(tài)安全技術如防火墻等協(xié)同使。用，可以使系統(tǒng)的安全防護能力得到極大的改善。本設計系統(tǒng)的介紹了入侵檢測的基本概念、發(fā)展歷史、與其他安。全技術如防火墻等的緊密聯(lián)系、基本工作原理、工作模式、分類以及發(fā)展趨勢。當前入侵檢測系統(tǒng)使用常規(guī)算法檢。測，不僅其檢測效率低下，而且遠遠未能滿足不了大規(guī)模和高帶寬網(wǎng)絡的安全防護要求，漏報率和誤警率較高，很。難檢測分布式協(xié)同攻擊等復雜的攻擊手段；另外，預警水平過分依賴于攻擊特征庫導致其缺乏對未知入侵的預警能。統(tǒng)計學習理論最近興起的最實用的部分是支持向量機，同時控制經(jīng)驗風險和分類器的容量（用分類器的。本設計重點介紹了支持向量機的基本原理，同時也介紹了它的長處和不足。數(shù)的累加而趨近收斂，從而對支持向量機的參數(shù)完成優(yōu)化。[關鍵詞]入侵檢測；鄰域粗糙集；和聲搜索；支持向量機；

　　

【正文】 ))(t a n h (),( cxxvxxK ii ??? 同時，研究表明，影響支持向量機分類性能的關鍵因素 是 核函數(shù)及相關參數(shù)、懲罰參數(shù)是。其中，懲罰系數(shù) C 反映了算法對離群樣本數(shù)據(jù)的懲罰程度，其值影響模型的復雜性和穩(wěn)定性。 C 過小，對超出離群樣本點 的 懲罰就小，訓練誤差變大； C 過大，學習精度相應提高，但模型的泛化能力變差。 C 的值影響到對樣本中“離群點”（噪聲影響下非正常數(shù)據(jù)點）的處理，選取合適的 C 就能在一定長度上提高抗干擾能力，從而保證模型的問穩(wěn)定性。 另外 ，因為多項式核函數(shù)的參數(shù)有 pc和 兩個，加上使用 SVMC? 時 的 懲罰參數(shù) C ，共有三個參數(shù)； Sigmoid 核函數(shù)與多項式核函數(shù)和徑向基核函數(shù)不同，它們總是滿足 Mercer條件，而 Sigmoid 核函數(shù)只是對參數(shù) cv和 的某些值滿足 Mercer 條件 ,Mercer 條件刻畫的函數(shù) ),( zxK 是核函數(shù)的性質；徑向基函數(shù)的參數(shù)只有一個 ? ，加上懲罰參數(shù) C 共有兩個。通過實驗的方式來確定核函數(shù)并進性參數(shù)選擇，由于使用交叉驗證和網(wǎng)絡搜索非常消耗時間，而 RBF 核函數(shù)無論是低維、高維、小樣本、大樣本等情況均適用且有較寬的收斂域，所以從實踐上選用 RBF 核函數(shù)更容易一些 [9]。 和聲搜索算法（ Harmony Search， HS） 作為 一種現(xiàn)代啟發(fā)式智能進化算法和聲搜索算法（ Harmony Search， HS） [9]是 Geem等人通過類比音樂和最優(yōu)化問題的相似性而提出的。算法通過 模擬樂師們 反復調(diào)整各種樂器的音調(diào)直到生成一個美妙和聲的過程， 把 該過程類比為優(yōu)化問題的求解過程，將樂器( 1,2, , )im? 類比為優(yōu)化問題中第 i 個決策變量，樂器產(chǎn)生的和聲則相當于優(yōu)化問題的第j 個解向量，對和聲的評價即為優(yōu)化問題的目標函數(shù)值 [1011]。 和聲搜索算法基本步驟如下 : Step 1 初始化 參數(shù) 變量個數(shù) N 、 最大迭代次數(shù) maxT 、 和聲記憶庫的大小 HMS 、 記憶庫取值概率 HMCR 、陜西理工學院畢業(yè)論文 音調(diào)微調(diào)概率 PAR 、 音調(diào)調(diào)節(jié)帶寬 bw。 Step 2 初始化和聲記憶庫 隨機生成 HMS 個和聲 12, , , HMSx x x 放入和聲記憶庫。和聲記憶庫形式如下 : 1 1 11 1 1122 2 22 2 21111( ) ( )( ) ( )( ) ( )NNH M S H M S H M SH M S H M S H M SNx x xx f x f xx x xx f x f xHMx x xx f x f x? ? ? ?? ? ? ?? ? ? ???? ? ? ?? ? ? ?? ? ? ?? ? ? ? () Step3: 生成一個新的和聲 生成新的和聲 39。 39。 39。 39。12( , , , )iNx x x x? ，新和聲的每一個音調(diào) 39。 39。 39。 39。12( , , , )iNx x x x? 通過 如 下三種機理產(chǎn)生 :① 學習和聲記憶庫 , ② 音調(diào)微調(diào) , ③ 隨機選擇音調(diào)。 新解的第一個變量 39。1x 有 HMCR 的概率選自 HM 中 39。11()HMSxx 的 任意 一值，有1 HMCR? 的概率選自 HM 外（且在變量范圍內(nèi)）的任何一個值。 39。 1 239。39。( , , , ) , r a n d H M C R , o th e r w is e 。 i= 1 , 2 , , NH M Si i i iiiix x x x ifx xX? ?? ? ?? () 其中 rand 表示 [0， 1]上的均勻分布的隨機數(shù)。 其次，如果新的和聲 39。ix 來自 于 和聲記憶庫 HM，要對其進行音調(diào)微調(diào)，具體操作如下： 39。139。39。1 * , if r a n d 1 P A R (* ( ) , m { 1 , 1 } , if r a n d 1 P A R (, o th e r w is e 。 iiiix r a n d b wx x k mx? ??? ? ????連 續(xù) 型 ）離 散 型 ） () 其中，音調(diào)微調(diào)帶寬為 bw，音調(diào)微調(diào)概率為 PAR ； 1rand 表示 [0,1]上均勻分布的隨機數(shù)。 Step4: 更新和聲記憶庫 對 Step3 中的新解進行評估，如果優(yōu)于 HM 中的函數(shù)值最差的一個，則將新解更新至HM 中。具體操作如下： 39。39。1 , 2 , , ( ) ( ) = m a x ( ) , th e n w o r s t j w o r s tj H M Sif f x f x f x x x? ? () Step5: 檢查是否達到算法終止條件 重復步驟 Step3 和 Step4，直到創(chuàng)作 (迭代 )次數(shù)達到 maxT 為止。 陜西理工學院畢業(yè)論文 基于和聲搜索算法的 SVM 參數(shù)優(yōu)化選擇 核函數(shù)是影響 SVM 性能的一個重要方面。應用最廣泛的核是徑向基核（ RBF），即 22( , ) xyK x y e ???? ， 不管是 對小樣本或是大樣本等 問題， 無論是在低維還是 在 高維空間，RBF 核函數(shù)均適用， 并且皆 具有較寬的收斂域，是較為理想的分類核函數(shù)。選取 RBF 核作為 SVM 核函數(shù)。此時，懲罰參數(shù) C 和 RBF 核參數(shù) ? 是 影響 SVM 性能的主要參數(shù)?？刂棋e分樣本的比例和算法復雜度之間的折中 的參數(shù)是 懲罰參數(shù) C ，即在確定的特征子空間中調(diào)節(jié)學習機置信范圍和經(jīng)驗風險的比例以使學習機具有最佳的推廣能力。 RBF 核的寬度 的參數(shù) 是核參數(shù) ? ，隱含地改變映射函數(shù) 是 其改變 實質 ，從而樣本特征子空間分布的復雜程度得以 改變。 本 設計 采用 HS 搜素算法尋找 最優(yōu)的參數(shù)組合 ( , )C? ，使 SVM 具有最好的分類性能，提高 SVM 的學習 能力及 泛化能力。 基于 HS 算法 SVM 參數(shù)尋優(yōu)具體步驟為： 步驟 1 參數(shù)設置。 HMS 為 和聲記憶庫的大小， HMCR 為 記憶庫取值概率， PAR 為 音調(diào)微調(diào)概率， bw 為 音調(diào)調(diào)節(jié)帶寬 ， Tmax 為 最大進化代數(shù)以及 max min,xx分別是 SVM 懲罰參數(shù) C 和核參數(shù) ? 的上、下限值 向量 ，個體和聲向量維 數(shù) N。 步驟 2 初始化和聲庫。 利用 m in m a x m in(1 , ) ( )x rand N x x? ? ? 函數(shù) 產(chǎn)生 HMS 個和聲，構成了初始 的 和聲庫。 步驟 3 計算初始和聲庫中的各 個體 適應度值。 和聲庫中的每一個和聲實際上就是 ( , )C? 的一個組合，利用支持向量機在訓練集上以每個和聲為參數(shù)進行訓練，并將在測試集上的分類準確率作為和聲庫中各和聲的適應度值。 步驟 4 生成新的和聲。 如果滿足 rand HMCR? ，則 根據(jù)（ ）式 從和聲庫中隨機選取一 個和聲，再根據(jù) () 式按概率 PAR 對選取的和聲進行音頻微調(diào)；如果不滿足 rand HMCR? ，則在變量的取值范圍里重新生成一個新的和聲。 步驟 5 更新和聲記憶庫。 計算 由 步驟 4 所 產(chǎn)生的新和聲的適應度，并根據(jù) ()式進行和聲庫更新 ，生成新一代的陜西理工學院畢業(yè)論文 和聲庫 。 步驟 6 判斷算法是否終止。 若達到誤差要求或 者是 達到最大迭代次數(shù)，則算法終止，輸出最優(yōu)參數(shù)。否則，算法轉到步驟 4 繼續(xù)執(zhí)行。 集成 Bagging[1920]作為 一種集成算法是基于有放回重采樣 技術的，隨機抽取若干樣本 于 原始訓練集 以構成 訓練子集，訓練子集的規(guī)模與原始訓練集 相似 ，訓練樣本重復選取 是許可的 。這樣原訓練集中一些樣本可能一次也不出現(xiàn)，而另外某些樣本可能在新的訓練子集中出現(xiàn)多次 。 由此可以產(chǎn)生差異性較大 的 訓練子集。 利用 Bagging 技術產(chǎn)生的每個 bootstrap 訓練子集， 因為存在 大量噪聲及冗余屬性，進行屬性約簡 時使 用具有不同半徑的鄰域粗糙集， 不僅 可以剔除噪聲和冗余屬性，使獲得的分類器具有較高的精度； 而且 使用 具有 不同半徑的鄰域粗糙集對 bootstrap 訓練子集進行約簡，相當于將訓練子集映射到 不同的特征空間， 由此 進一步 擴大 了訓練子集的差異性，從而使得最終獲得的分類器具有較高的精度和較大的差異性。 多數(shù)投票法 作為 一種簡單 高 效的方法是決策級數(shù)據(jù)的融合 ， 本設計 采用多數(shù)投票法 作為集成的方法。 這種 方法 與 選舉中的投票過程 類似 ， 即 利用單個分類器對給定測試樣本的輸出類別，將該測試樣本劃分到多數(shù)分類器具有相同決策的一類 。 小結 對入侵數(shù)據(jù)進行分類 是 入侵檢測技術的 實質 ，因此，本文針對該目的對入侵數(shù)據(jù)主要進行了兩項操作，第一，通過鄰域粗糙集理論對數(shù)據(jù)屬性進行約簡，獲得對檢測結果影響較大的數(shù)據(jù)屬性以進行分 類，同時，避免由于數(shù)據(jù)冗余而造成的處理時間過長、干擾分類等問題；第二，在對數(shù)據(jù) 進行完 預處理之后，本 設計 采用基于和聲搜索算法對 SVM 中的 參數(shù)組合( , )C? 進行優(yōu)化，確保 該 分類器對分類 的 結果 具有 較高的檢測率和較低的誤警率。 陜西理工學院畢業(yè)論文 數(shù)據(jù)來源說明 KDD99(Knowledge Discovery Databases)的數(shù)據(jù) 是 本 設計所 采用的實驗數(shù)據(jù)，這批數(shù)據(jù)最早 來源于時 Wenke Lee 等人在 1998 年美國國防部研究局 (DARPA)作 IDS 評測時所獲得數(shù)據(jù)基礎上恢復出來的鏈接信息，這批數(shù)據(jù)包含 7 周的網(wǎng)絡流量，約 5000000 條記錄，其中包含大量的正常網(wǎng)絡數(shù)據(jù)流和各種攻擊。本文所用的 KDD99 已經(jīng)成為近年來評判入侵檢測系統(tǒng)的一套標準數(shù)據(jù)。 具體而言，本文選取 KDD CUP 99 數(shù)據(jù)集中的 10%數(shù)據(jù)集作為實驗數(shù)據(jù)集。 10%數(shù)據(jù)集包括訓練集和測試集兩部分，從 10%數(shù)據(jù)集的訓練集中隨機抽取 1000 個樣本作為訓練數(shù)據(jù)，其中包括入侵數(shù)據(jù) 195 個，而這其中又包括四大類攻擊共 11 種，具體為 Dos 類型 攻擊有 ueptne 攻擊 40 個、 smurf 攻擊 90 個、 back 攻擊 6 個、 probing 類型 攻擊有 ipsweep 攻擊10 個、 portsweep 攻擊 10 個、 satan 攻擊 15 個， U2R 類型 攻擊有 buffer_overflow 攻擊 4 個、rootkit 攻擊 4 個， R2L 攻擊有 waremster 攻擊 4 個、 Guess_passwd 攻擊 6 個、 warezlient 攻擊 6 個。從 10%數(shù)據(jù)集的訓練集中隨機 抽樣 800 個 ， 分別作為測試數(shù)據(jù)，其中 包含 100 個已知攻擊，為驗證算法對未知攻擊的檢測效果，加入 100 個未知攻擊。 為 了檢驗 本 設計所采用的 算法對未知攻擊的檢測能力，在 測試數(shù)據(jù)集中加訓練集中沒有的攻擊類型，分為 4 大類 ， 共 10 種， 其中 Dos 攻擊有 teardrop10 個、 pod20 個、 land5 個、probing 攻擊有 nmap10 個， U2R 攻擊有 loadmoudule2 個、 perl2 個， R2L 攻擊有 spy2 個、phf2 個、 imap5 個、 multihop2 個、 ftp_write2 個，測試集數(shù)據(jù)共包含攻擊類型 21 種。 算法評價標準 入侵檢測系統(tǒng)的性能評價指標主要有兩個：檢驗率和誤警率。其中， 總的攻擊樣本數(shù)量常樣本數(shù)量被錯誤判斷為攻擊的正誤警率總的攻擊樣本數(shù)量數(shù)量正確檢測出的攻擊樣本檢驗率?? 數(shù)據(jù)預處理 對原始數(shù)據(jù) 集應 用鄰域粗糙集 算法 進行屬性約簡，半徑的不同 將 導致分類精度的差異，因此在這 需要設置鄰域粗糙集的半徑， 本設計 設置鄰域半徑在 到 1 之間，以 為步長的方式取值，對于鄰域半徑每一個取值，算法都得到一個屬性子集，共獲得 100 個屬性子陜西理工學院畢業(yè)論文 集。 仿真實驗 實驗步驟 為了研究算法的穩(wěn)定性，實驗重復 100 次，取其平均值最為實驗結果。其中： 算法 1：直接采用 SVM 進行分類（該算法中 SVM 參數(shù)隨機生成）； 算法 2： 首先應 用鄰域粗糙集進行屬性約簡，然后利用 SVM 進行分類（算法中 SVM 參數(shù)隨機產(chǎn)生）； 算法 3：先采鄰域粗糙集進行屬性約簡， 再采用 用 和聲搜索算法對 SVM 的參數(shù) c 和φ進行優(yōu)化，最 后利用 SVM 分類（該算法中 SVM 參數(shù)隨機產(chǎn)生）； 本文算法： 首 先 采