本發明公開一種基于禁忌與人工蜂群雙向優化支持向量機的入侵檢測方法，首先對原始的人工蜂群算法進行重新構造，總體思想為將蜜源與支持向量機待優化參數進行同步編碼，利用隨機生成方式生成蜜源的初始解，執行基于禁忌?人工蜂群搜索策略尋找最優特征子集。具體包括在初期雇傭蜂搜索階段引入第一個禁忌表，對找到的局部最優解進行存儲記憶，在以后的預定次迭代中避開這些局部最優解；在觀察蜂階段引入第二個禁忌表，同時加入獎懲機制改進蜜源的適應度函數，提高解的多樣性；最后在偵查蜂階段引入第三個禁忌表存儲達到最大開發次數但適應值仍沒有提高的解。本發明具有較強可行性和良好的實用性。

技術鄰域

本發明涉及網絡安全技術鄰域，具體涉及一種基于禁忌與人工蜂群雙向優化支持向量機的入侵檢測方法。

背景技術

近年來，隨著網絡規模的日益擴大，計算機網絡為人們生活和工作帶來便利的同時，網絡入侵攻擊手段也更加復雜，各類破壞性的網絡攻擊所造成的損失日益嚴重。由于傳統的安全防御方法和策略雖然在一定程度上對網絡安全起到了保護作用，但已經無法防范復雜多變、日益猖獗的入侵行為，因此作為網絡安全的第二道防線的入侵檢測系統IDS(Intrusion Detection System)應運而生。這種主動保護策略的技術受到國內外專家學者的重視，而如何針對互聯網現有的入侵安全隱患，研究一種行之有效的入侵檢測算法，對互聯網安全和經濟的可持續發展具有重要的意義。

網絡連接數據具有數據量大、特征數目繁多的特點，如何快速、有效地從入侵檢測日志數據中獲取安全威脅信息，是入侵檢測技術研究當前的一個熱點。目前，人們把各種數據挖掘及人工智能方法引入到入侵檢測問題，首先通過尋優算法(例如神經網絡算法、粒子群算法、人工蜂群算法ABC等)對原始數據集進行特征選擇、數據降維，然后再選用分類器(例如C4.5、ID3、SVM支持向量機等)對已有數據進行訓練建模，得出入侵檢測模型。然而，現有的入侵檢測模型受限于特征選擇效果不佳，特征選擇與分類訓練建模之間呈現分離狀態、契合性不好的問題，往往表現出檢測精度低，誤報率高的缺點，這就導致現有建模方式無法很好地應用于大規模的入侵檢測日志數據當中。

發明內容

本發明所要解決的是現有的入侵檢測模型中特征選擇搜索效率不高，不能解決最小特征子集搜索，且搜索與建模較難以同步進行參數優化的問題，提供一種基于禁忌與人工蜂群雙向優化支持向量機的入侵檢測方法。

為解決上述問題，本發明是通過以下技術方案實現的：

基于禁忌與人工蜂群雙向優化支持向量機的入侵檢測方法，包括訓練階段和檢測階段；

上述訓練階段包括以下步驟：

步驟1、采集網絡中的網絡連接數據作為入侵檢測系統的訓練集；

步驟2、對訓練集進行數據預處理；

步驟3、設置禁忌與人工蜂群雙向優化支持向量機模型中禁忌算法和蜂群算法的參數；

步驟4、將禁忌與人工蜂群雙向優化支持向量機模型在訓練集上進行迭代優化，即雙向優化網絡連接特征和支持向量機模型參數，最后生成最優蜜源，該最優蜜源即為最優網絡連接特征向量和支持向量機模型參數向量；

步驟5、根據步驟4中生成的最優網絡連接特征向量和支持向量機模型參數向量對支持向量機的參數進行設置，最終得到網絡入侵檢測模型；

上述檢測階段包括以下步驟：

步驟6、實時采集待檢測網絡連接數據包，并采用與步驟2相同的預處理方式對待檢測網絡連接數據包進行預處理；

步驟7、根據步驟4生成的最優網絡連接特征向量，對預處理后的待檢測網絡連接數據進行特征提取降維，得到特征提取后的網絡連接數據；