神经网络和人工蜂群优化算法的云计算入侵检测

⃝⃝可在www.sciencedirect.com在线ScienceDirectICT Express 5（2019）56www.elsevier.com/locate/icte基于神经网络和人工蜂群优化算法的云计算入侵检测Bahram Hajimirzaei，Nima JafariNavimipour伊朗大不里士伊斯兰阿扎德大学大不里士分校计算机工程系接收日期：2017年11月21日;接受日期：2018年1月23日2018年5月16日在线提供摘要提出了一种基于多层感知器网络、人工蜂群算法和模糊聚类算法相结合的入侵检测系统。该算法利用最大似然法识别正常和异常网络流量包，利用ABC算法通过优化连接权值和偏置值进行最大似然法CloudSim仿真器和NSL-KDD数据集被用来验证所提出的方法。将平均绝对误差（MAE）、均方根误差（RMSE）和kappa统计量视为评价标准。所得到的结果表明，与国家的最先进的方法相比，所提出的方法的优越性c2018韩国通信与信息科学研究所（KICS）。Elsevier B.V.的出版服务。这是一个开放获取CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：入侵检测系统;云计算;神经网络;人工蜂群;模糊聚类1. 介绍云计算作为一种新形式的基于互联网的基础架构，以低成本的方式向用户提供信息技术（IT）和计算资源，如操作系统、存储服务、网络基础设施、硬件设备甚至整个软件应用[1]。云隐喻和互联网技术引用了计算资源的无处不在的可用性和可访问性[2]。作为按需服务分配给用户程序的计算资源由云提供。用户为他们的程序实际消耗的资源付费，就像传统的服务，如水，电和天然气一样。云计算提供了重要的服务，如软件即服务（SaaS）[4]，云结构即服务（IaaS）[5]，平台即服务（PaaS）[6]和专家即服务（EaaS）[7]。*通讯作者。电子邮件地址：b. iaut.ac.ir（B. Hajimirzaei），jafari@iaut.ac.ir（新泽西州）。Navimipour）。同行评审由韩国通信和信息科学研究所（KICS）负责https://doi.org/10.1016/j.icte.2018.01.014在某些Web应用中，如在线零售和在线拍卖，网络安全已成为互联网时代出现的主要因素入侵检测系统（IDS）通过检查网络中观察到的各种数据记录来检测计算机攻击[8]。基于异常和误用（特征）的检测是入侵检测系统的两大类.异常检测尝试指定可能被标记为入侵的正常模式的偏差。另一方面，误用检测使用与已知攻击或系统漏洞相关的模式来识别入侵[9]。云计算环境下的入侵检测是一个NP难问题。因此，这个问题可以通过几种基于进化计算和元启发式方法的算法来解决。一 个 新 的 想 法 已 经 出 现 了 基 于 人 工 神 经 网 络（ANN），人工蜂群（ABC）和模糊聚类算法的组合人工神经网络可以在入侵检测系统中单独工作，但是人工神经网络、ABC和模糊聚类的结合使入侵检测系统更加强大。训练数据的同质子集的模糊聚类准备。通过将数据集分成均匀的子集，提高了训练速度。ABC帮助ANN确定理想值，2405-9595/c2018韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。B. Hajimirzaei和N.J. Navimipour / ICT Express 5（2019）56-5957链接权重和偏差更快。然而，在ANN中添加两种算法是昂贵的。本研究的主要贡献如下：提出了一种基于人工神经网络、ABC和模糊聚类相结合的云计算入侵检测方法。减 少 云 IDS 中 分 类 错 误 的 实 例 、 平 均 绝 对 误 差（MAE）和均方根误差（RMSE）。通过改进Kappa统计量，提出了一种能够正确分类实例的云入侵检测技术。本文的内容分类如下：第2节描述了所提出的方法。在第3节中分析了模拟细节和实验结果。最后，第4节总结了本文，并对未来的工作提出了一些想法。2. 该方法在本节中，我们将开发一个使用模糊聚类、ABC算法和多层感知器（MLP）网络的高效IDS。模糊聚类技术被用来创建各种训练子集。网络流量中正常和异常数据包的识别是由MLP完成的。NSL-KDD 99数据集的特征在创建MLP的结构此外，MLP的训练是由ABC算法通过优化连接权重和偏差的值ANN是受生物神经系统的结构和功能启发的计算系统中的人工智能。人工神经网络主要用于机器学习、分类、模式识别和预测。输入层、隐藏层和输出层是ANN结构的三层。每一层中包含由问题类型定义的多个节点。链接权重帮助每个节点连接到下一层中的节点。此外，偏置权重帮助偏置节点连接该特定层上的所有节点。使用优化算法之一来更新ANN结构的层之间的链接和偏置权重的值。节点处的加权输入和所使用的激活函数影响每层中每个节点的输出。该方法包括训练、验证和测试三个步骤。在训练阶段的模糊规则使用训练数据可以实现测试数据的高精度。系统的性能在验证阶段进行精确评估。使用该方法对验证数据集进行错误检测，当错误开始增加时，系统训练完成在测试阶段，入侵检测是通过将测试数据传递给预先训练好的模型来执行的。数据集分为三个子集：训练（TR）;验证（VA）和测试（TE）。多维数据中自然分组或聚类的识别是基于相似性度量的聚类的主要过程;将给定的数据集分类为聚类是基于相似性度量的聚类的主要过程。模糊聚类的目标模糊聚类需要诸如聚类内的同质性（其涉及同一聚类内的数据）和聚类之间的异质性之类的属性尽可能的不同。通过模糊聚类模块将训练集划分为多个子集。每个训练子集的大小和复杂性应该被优化，以提高后续ANN元素的效率模糊C均值（FCM）是最著名的数据聚类方法之一。每个聚类中的数据点数量必须由FCM调整;因此，小聚类被迫聚集在附近的较大聚类中[10]。k-means聚类的步骤如下[11]：(1) Setk-选择所需的聚类数k。(2) - 选择k个起始点作为初始起始值。(3) 分类-检查数据集中的每个点，并将其分配给最接近它的聚类。(4) 质心计算-当数据集中的每个点都被分配到一个簇时，重新计算新的k个质心。(5) 收敛条件-重复步骤（3）和（4），直到没有点更改其簇指定或直到质心不再移动。在执行聚类之后，TR被聚类成k个子集（TRk）。多层人工神经网络与反向传播（BP）算法是有效的神经网络模型被用来建立和训练的入侵检测系统模型。BP学习规则采用最速下降法。的权重和阈值网络通过BP进行平衡，以实现低误差平方和[12]。在BP算法中，采用梯度下降法来平衡各层的权值。通常，网络的初始权重在一定的时间间隔内随机生成为了优化节点权重，通过ABC算法来开发链接权重和偏置的值。采用模拟蜂群智能觅食行为的ABC算法进行定量优化。ABC算法被认为是一种非常简单、鲁棒的基于种群的随机优化算法。受雇蜜蜂、旁观者和侦察员是ABC算法中的三组人工工蜂通过观察被雇佣的蜜蜂的蜂巢舞蹈来定位食物源考虑食物源的位置来解决优化问题。食物来源的花蜜量和相关解决方案的质量（健身）应该匹配。当输出模型在测试TE数据集时具有可接受的错误率时，算法结束否则，IDS模型优化继续通过ABC算法调整神经网络的连接权重和偏差。3. 实验结果CloudSim模拟和评估本节中提出的第3.1节讨论了模拟过程和数据集，第3.2节给出了所得结果。···58B. Hajimirzaei和N.J.Navimipour/ICT Express 5（2019）563.1. 仿真环境所提出的方法的评估是在具有Core-i7 2700 CPU和16GB DDR3 RAM的计算机上使用CloudSim版本4进行的。云计算基础设施和服务需要CloudSim提供的通用和可扩展的仿真框架进行建模和仿真。CloudSim为新兴的云计算基础设施和应用服务提供整体建模、仿真和测试。因此，它是模拟所提出的方法的最佳选择3.2. 数据集NSL-KDD数据集是KDD'99数据集的增强版本，用于实验中的训练和测试。数据集中包含500万条连接记录，因为训练数据和几乎所有的测试数据都包含200万条连接记录。该数据集提供了从每个连接生成的数据集中还包括将连接状态记录确定为正常或特定攻击类型的标签这些特征用所有形式的连续、离散和符号变量表示，被分类为四个部分：（1）单个TCP连接的主要特征，例如连接的持续时 间 、 协 议 类 型 （ TCP 、 UDP 等 ） ， 和 网 络 服 务（HTTP、telnet等）在第一类中提供。（2）对原始TCP分组的有效载荷的评估，例如，失败的登录尝试的数量，由域知识建议的特征来(3)在过去两秒钟内启动的连接将由与当前连接具有相同目标主机的主机功能进行分析。通过启动的连接计算与协议行为、服务等相关的统计信息(4)相同服务功能会检查最近两秒内与当前连接具有相同服务的连接。所 有 攻 击 分 为 四 类 ： （ 1 ） 否 认服 务 拒 绝 服 务（DoS）：资源太忙，无法接受用户对这些资源的访问请求。(2)探测（PRB）：主机和端口收集信息或发现已知漏洞。(3) 远程到本地（R2L）：从远程机器进行未经授权的访问，以利用机器的漏洞。(4) 用户到根（U2R）：通过系统漏洞对本地超级用户（根）权限进行未经授权的访问。3.3. 评价标准和结果一些评价标准的定义来评估所提出的方法。预测或预测与最终结果的距离是通过MAE（第一个标准）来衡量的。第二个标准是RMSE，第三个是Kappa统计量。通过RMSE来测量值之间的差异，模型或估计器用于预测实际观察到的值Kappa统计量被用作度量，以比较分类器的观测精度和期望精度Fig. 1. 正确分类的实例。图二. Kappa统计。图三. 平均绝对误差。kappa统计量解释了分类器之间的随机一致性，这意味着它比准确性度量更真实。图1显示了我们提出的方法与一些流行的IDS，如模糊聚类和人工神经网络（FC-ANN），网络节点入侵检测（NNID），和相关特征选择（SRF）的执行和比较的综合结果。很明显，所提出的方法优于其他入侵检测系统的评价标准。该方法在正确分类的实例（真阳性和假阳性）中提高了2.23%，在错误分类的实例（真阴性和假阴性）中减少了。我们的方法显示出更高的kappa统计值，与SRF相比，有0.0481的改进。简而言之，所提出的方法显示了2.2371%至7.1671%的错误分类实例（图1），以及0.0481至0.2101的kappa统计值（图2）。 2）。此外，所提出的方法具有较低的MAE和RMSE，如图1A和1B所示。3和44. 结论结合人工神经网络，ABC，模糊聚类产生一个新的入侵检测系统，本文提出不同训练B. Hajimirzaei和N.J. Navimipour / ICT Express 5（2019）56-5959引用[1] B.A. Milani，N.J. Navimipour，《云环境中数据复制技术的全面回顾：主要趋势和未来方向》，J. Netw。Comput. Appl·64（2016）229[2] N.J. Navimipour，F.S. Milani，基于布谷鸟搜索算法的云计算任务调度，Int.J.Model。Optim。第5（1）（2015）号第44页。[3] M. Ashouraie，N. J. Navimipour，基于优先级的任务调度在专家云中的异构资源，Kybernetes 44（10）（2015）1455-1471。见图4。 均方根误差。通过模糊聚类方法产生子集MLP用于区分网络流量中的正常和异常数据包通过ABC算法更新链接权重和偏差的值对于训练MLP是必要的使用CloudSim软件和NSL-KDD数据集进行模拟。各种评价标准，如MAE，RMSE，和Kappa统计量，被用来比较类似的IDS与所提出的方法。Meta启发式方法和遗传算法的结合为今后的工作提供利益冲突作者声明，本文中不存在利益冲突[4] Y.G.Sucahyo等人，软件即服务质量因素评价的层次分析法，国际公共汽车杂志。Inf. Syst. 24（1）（2017）51-68。[5] C.高涛，基于云的移动测试基础服务系统的构建，J. Syst. Softw.124（2017）39-55.[6] N. Basiliades等人，一个语义推荐算法的PaaSport平台即服务市场，专家系统。Appl. 67（2017）203-227。[7] 新泽西Navimipour等人， Expert Cloud：一个基于云的框架，用于共 享 人 力 资 源 的 知 识 和 技 能 ， Comput 。 Hum. 行 为 举 止 。 46（2015）57-74。[8] 诉Jyothsna，V.V. Rama Prasad，FCAAIS：通过特征相关性分析和关联影响规模进行基于异常的网络入侵检测，ICT Express 2（3）（2016）103-116。[9] S.乔，H。宋湾 安，基于决策树和人工神经网络模型的入侵检测性能比较研究，韩国数字技术协会。独立信息管理。11（4）（2015）33-45.[10] P.L. Lin等人，提出了一种基于完整性的模糊c-均值聚类方法。47（5）（2014）2042-2056。[11] S. Ghosh，S.K. Dubey，k-means和模糊c- means算法的比较分析，Int. J. Adv. Comput. Sci. 4（4）（2013）35-39。[12] J.Li等人，简要介绍了反向传播（BP）神经网络算法及其改进。Sci.信息工程（2012）553-558。