计算机网络安全论文哪里有?本文针对算法端的改进。由于粒子群算法对于初始速度和位置的不确定性,使得搜索时间比较长、搜索范围比较大、可能陷入局部最优,从而导致所选择的 SVM 参数 C、g 不一定是最优的参数组合。针对这些问题,本文在基于 PSO-SVM 模型的基础上,提出了 GS_PSO-SVM 检测模型,首先通过网格搜索确定初始位置的基本范围,再通过粒子群算法在其范围内寻找 C、g 的最优组合,并通过实验进行对比验证。实验证明改进的 GS_PSO-SVM 模型能够在很大程度上缩小搜索范围,减少时间开销,避免局部优化,提高模型精度。
第 1 章 绪论
1.2 研究现状
随着云计算云存储技术的逐步成熟,网络入侵的数据量和复杂度也在空前的加剧,相应的入侵检测技术也在不断地取得突破。上世纪 80 年代由于计算机技术的兴起,入侵检测技术也引起了业界的重视,1980 年 JamesP.Anderson 在一份题为《计算机安全威胁监控与监视》[3]的技术报告中第一次详细阐述了入侵检测的概念,指出审计记录可以用于识别计算机误用。1984 年到 1986 年 Dorothy Denning 和 Peter Neumann 提出了一种实时入侵检测系统模型——入侵检测专家系统(Intrusion Detection Expert Systems,IDES),首次将基于统计学习和基于规则两种技术融合到同一个应用系统中,为入侵检测系统的研究提供了最初的原型。该模型首次将入侵检测技术应用于计算机主机防护组件,实现了实时检测计算机主机的日志和审计数据。
当前入侵检测技术的研究重点仍然在针对分类算法的研究上,而分类算法的研究主要集中在前期的数据预处理阶段和不同算法之间的融合。KDD99 数据集作为当前业内人士一致认同的用来检测网络入侵模型准确性的科学的数据集,也存在着很多的问题。例如其信息冗余量较大、数据集维度过高、数据分布不平衡等等,所以在进行模型训练之前需要进行特征降维,删除冗余信息。随着云计算和云存技术的发展,数据量也在越来越大,时刻都会涌现出新的流量数据,这也造成了传统的测试数据集和现实的网络数据存在着理论和实践上的差别。在数据处理阶段,目前的主流研究方向一方面是如何去除冗余信息,在保证正确率的前提下降低数据集维度,从而降低训练时间;另一方面是在分类算法方面对其学习算法之间进行相互结合,从而达到获取最优参数的目的。
卢明星[4]等人提出一种基于深度迁移学习的网络入侵检测方法。首先对深度迁移学习问题进行建模,然后对深度模型进行迁移学习,在标签编码层中,使用 softmax 回归模型对源域的标签信息进行编码分类。
徐文良[5]等人提出了结合舰艇网络业务特征构造舰艇网络入侵检测数据集并基于机器学习开展舰艇网络入侵检测的方法,构造了一个具备 45 维特征舰艇网络训练和测试数据集,设计了 5 种舰艇网络入侵检测机器学习算法,并完成了各算法的试验及对比分析,通过实验验证,DBN-SVM 算法是一种可靠的入侵检测算法,可为舰艇网络入侵检测提供有效支撑。
赵冉[6]设计了粒子群算法优化支持向量机参数的网络入侵检测方法。将 SVM 中的参数组合(C,g)作为粒子群算法的初始位置和速度,将准确率作为自适应函数,利用粒子群算法搜索(C,g)的最优组合,在 KDD99 数据集上进行检测,实验表明能有效的缩短检测时间,提高精度。
第 3 章 面向支持向量机参数优化的粒子群算法
3.1 统计学习
统计学习理论[18]是一种专门研究小样本的统计学习理论。它使用特定的学习方法挖掘数据中的某些依赖关系,并预测数据的相关性。统计学习理论是建立在一整套完整的理论基础之上的,它的融合性比较强,可以应用于许多机器学习算法,如神经网络。一种通用学习方法——支持向量机已经显示出其优越性,并在数据分类、图像识别等领域得到了广泛的应用。
3.1.1 VC 维
VC 维(Vapnik-Chervonenkis Dimension)是统计学习中的一个重要指标,用来研究学习过程一致收敛的速度和推广性,用来表示学习过程的复杂性。在分类统计学习中,VC 维可以定义为:一个样本集有 N 个样本集,该样本集可以被一个函数集中的函数根据最大可能的 2N个组合分开,那么这个函数集可以将样本集打散。函数集可打散样本的最大数 N 称为函数的 VC 维数。VC 维数越大,算法的学习能力越强,然而,目前对于任意学习函数集还没有统一的计算理论,只有一些特殊的学习函数集知道其 VC 维数。另外,在不同的学习算法中,学习函数集的 VC 的计算是不同的。例如,在支持向量机中,常用的函数集包括 RBF 核函数、线性核函数等。如何确定函数集仍是一个值得研究的问题。
第 4 章 基于支持向量机的网络安全入侵检测模型
4.1 SVM 用于入侵检测的可行性
网络入侵安全检测本质上属于分类问题,即将数据集中正常数据和异常数据进行准确区分。而支持向量机属于二分类器,为了对 KDD99 数据集中的 Normal、Dos、Probe、U2R、R2L 进行准确分类,可以利用 SVM 构建分层检测结构,即构建多个 SVM 分类器,在检测某一类攻击类型时将其它攻击类型看作同一类,然后再将检测出的这一类攻击类型从数据集中剔除,再以同样的方式检测余下的类型。根据描述 SVM 分层检测模型如图 4.1 所示。
在 kddcup.data_10_percent 数据训练中,4 种攻击类型的数目分别为 Dos(391458)、Probe(4107)、R2L(1126)、U2R(52),如图 4.1,第一步分出样本量最大的 Dos 类型攻击,然后将 Dos 类型攻击从训练样本中剔除;第二步,在剩余的训练样本中分类出 Probe 类型攻击,然后将 Probe 类型攻击从当前的训练样本从剔除,依次类推。这样先分类出大样本再分类出小样本,在很大程度上可以减少大样本攻击类型对小样本攻击类型分类的干扰。
4.2 支持向量机参数优化
4.2.1 SVM 参数表示问题
SVM 的分类能力受多种因素的影响,其中两个因素最为关键:一个是惩罚参数 C,另一个是核函数及其参数[27]。虽然支持向量机在入侵检测中表现出了良好的性能,但这主要与参数设置和核函数的选择有关。本文所述的 KDD99 数据集属于多分类问题,因此本文中核函数选择径向核函数(RBF),支持向量机惩罚系数 C 需要人为设定。本文中涉及的参数优化问题也即对惩罚系数 C 及核函数参数 g 进行优化,寻找参数的最优组合(C,g)。
4.2.2 GS_PSO 算法优化
SVM 参数 对支持向量机算法的优化就是对参数的优化,能否快速找到最佳参数组合是评估优化算法性能的指标之一。基于粒子群算法优化支持向量机在这方面有很好的效果,其优化方式如下:
Step1:SVM 中参数 C、g 对应粒子群算法中粒子的位置和速度,初始化 C、g;
Step2:计算当前粒子的适应度值,作为粒子自身极值(pbest_value)和种群的极值 (gbest_value);
Step3:分别计算每一个粒子的适应度值(fitness)和当前粒子适应度值比较: fitness<pbest_value,则 pbest 就是粒子当前位置; pbest_value<gbest_value,则 gbest 就是 pbest 的当前位置;
Step4:根据公式(3-16)和(3-17)更新 C 和 g;
Step5:若满足条件,则将得到的 C 和 g 代入到 SVM 模型中,否则返回 Step2;
Step6:将 C、g 代入 SVM 后进行迭代,直至目标函数收敛或达到指定条件,停止 迭代,输出检测结果。
第 5 章 总结与展望
5.2 展望
对于网络入侵检测,本文提出的 GS_PSO-SVM,在检测精度方面,确实有了一些改进,但是相对于整个实验来说,仍然有一些需要改善的方面:
(1)对于改进 PCA 算法方面,虽然引入信息熵能够使维度得到降低,同时减小时间开销,但是对于信息熵中阈值的设定大都还是根据经验设定,文中设定为 0.85,这样可能就会错失掉一些小样本,对信息的全面性可能会有影响。
(2)对于数据集的选择方面,本文选择的是 KDD99 数据集,该数据集是 1999 年所实验搜集的,其所含的全部信息量不能代表当前的网络环境,所以模型在运用到现实的检测环境中时,必须考虑理论数据和真实网络环境的差异,现实应用时,应该以当前网络下的数据流量为依据。
(3)对于 SVM 的核函数选择方面,本文中选择的是 RBF 核函数,对于核函数的选择没有一个确切的参考,就针对于本文中的模型而言,可以选择 RBF,也可以选择sigmoid、softmax,本文因为经验而定,选择了 RBF,接下来对于核函数的选择方面也值得深入研究。
参考文献(略)
