入侵檢測(cè)一直是計(jì)算機(jī)網(wǎng)絡(luò)安全中重要的研究熱點(diǎn)之一[1]。由于當(dāng)前網(wǎng)絡(luò)安全威脅形式呈現(xiàn)多樣化，因黑客攻擊、行業(yè)競(jìng)爭(zhēng)等原因引發(fā)的安全問(wèn)題無(wú)一不在威脅著計(jì)算機(jī)網(wǎng)絡(luò)下的系統(tǒng)終端用戶(hù)。本文是一篇科學(xué)論文投稿范文，主要論述了基于樹(shù)突細(xì)胞算法與對(duì)支持向量機(jī)的入侵檢測(cè)。

 　　摘要：針對(duì)入侵檢測(cè)技術(shù)在處理大規(guī)模數(shù)據(jù)時(shí)存在的高誤報(bào)率、低訓(xùn)練速度和低實(shí)時(shí)性的問(wèn)題，提出了一種基于樹(shù)突細(xì)胞算法與對(duì)支持向量機(jī)的入侵檢測(cè)策略(DCTWSVM)。利用樹(shù)突細(xì)胞算法(DCA)對(duì)威脅數(shù)據(jù)進(jìn)行初始檢測(cè)，在此基礎(chǔ)上利用對(duì)支持向量機(jī)(TWSVM)進(jìn)行檢測(cè)結(jié)果的優(yōu)化處理。為了驗(yàn)證策略的有效性，設(shè)計(jì)性能對(duì)比實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明，相較于DCA、支持向量機(jī)(SVM)、反向傳播(BP)神經(jīng)網(wǎng)絡(luò)，DCTWSVM策略的檢測(cè)精度提高了2.02%、2.30%、5.44%，誤報(bào)率分別降低了0.26%、0.46%、0.90%，訓(xùn)練速度相較于SVM提高了兩倍且只需耗費(fèi)極少的訓(xùn)練時(shí)間，可以更好地適用于大規(guī)模數(shù)據(jù)下的實(shí)時(shí)入侵檢測(cè)環(huán)境。

　　關(guān)鍵詞：樹(shù)突細(xì)胞算法,對(duì)支持向量機(jī),入侵檢測(cè),大數(shù)據(jù)

　　0引言

　　入侵檢測(cè)系統(tǒng)(Intrusion Detection System， IDS)是一種集成了入侵行為過(guò)程的軟件系統(tǒng)，并常與入侵防御系統(tǒng)(Intrusion Prevention System， IPS)并稱(chēng)為入侵檢測(cè)防御系統(tǒng)(Intrusion Detection Prevention System， IDPS)。在網(wǎng)絡(luò)環(huán)境中，入侵檢測(cè)的延遲報(bào)警并不具備較高的實(shí)用性，但由于當(dāng)前檢測(cè)技術(shù)大都依賴(lài)于網(wǎng)絡(luò)環(huán)境下產(chǎn)生的歷史審計(jì)數(shù)據(jù)(Audit Data)進(jìn)行分析，所以實(shí)時(shí)入侵檢測(cè)的實(shí)現(xiàn)、提高檢測(cè)正確率與效率也是當(dāng)下重要的研究問(wèn)題。

　　生物免疫系統(tǒng)(Immune System， IS)是生物體內(nèi)保護(hù)生物免受病原體危害及保障生物穩(wěn)態(tài)性的一種免疫機(jī)制[3]，該系統(tǒng)擁有動(dòng)態(tài)性和自適應(yīng)性等諸多特性。當(dāng)病原體侵入人體后，將會(huì)引發(fā)免疫細(xì)胞的一系列活動(dòng)來(lái)保障人體穩(wěn)態(tài)性[4]。近些年通過(guò)對(duì)危險(xiǎn)理論(Danger Theory， DT)的深入研究[5-6]，業(yè)界開(kāi)始針對(duì)樹(shù)突細(xì)胞(Dendritic Cell， DC)生物學(xué)來(lái)開(kāi)拓免疫機(jī)制的新思路以應(yīng)對(duì)日益嚴(yán)峻的安全形勢(shì)[7]。由此衍生的樹(shù)突細(xì)胞算法具備多項(xiàng)優(yōu)勢(shì)，如良好的實(shí)時(shí)性、較小的資源需求、較少的訓(xùn)練樣本、精簡(jiǎn)的訓(xùn)練過(guò)程和優(yōu)質(zhì)的檢測(cè)精度等。

　　將機(jī)器學(xué)習(xí)與數(shù)據(jù)挖掘技術(shù)應(yīng)用在入侵檢測(cè)領(lǐng)域已經(jīng)取得了較好的成績(jī)[8-10]。支持向量機(jī)(Support Vector Machine， SVM)技術(shù)作為其中的一項(xiàng)主流技術(shù)也取得了較多的研究成果[11-13]。SVM是根據(jù)Vapnik的統(tǒng)計(jì)學(xué)習(xí)理論產(chǎn)生，從二分類(lèi)的研究衍生到多分類(lèi)問(wèn)題的研究，究其原理主要是通過(guò)求解空間超平面使分類(lèi)距離最大化來(lái)解決分類(lèi)最優(yōu)解[14]。傳統(tǒng)的SVM存在訓(xùn)練算法復(fù)雜度較高、計(jì)算時(shí)間較長(zhǎng)等問(wèn)題，因此應(yīng)用SVM處理入侵檢測(cè)問(wèn)題時(shí)，需要對(duì)其進(jìn)行算法層次的改進(jìn)或?qū)ふ腋鼮楹?jiǎn)單有效的核函數(shù)來(lái)簡(jiǎn)化運(yùn)算，例如采用對(duì)支持向量機(jī)算法(TWin Support Vector Machine， TWSVM)來(lái)提升檢測(cè)速度;另外也可以將SVM與其他算法進(jìn)行結(jié)合優(yōu)化，例如Shon利用遺傳算法(Genetic Algorithm， GA)來(lái)優(yōu)化傳統(tǒng)算法[12]。

　　本文提出了一種基于樹(shù)突細(xì)胞算法和對(duì)支持向量機(jī)(Dendritic Cell TWin Support Vector Machine， DCTWSVM)入侵檢測(cè)策略。該策略有效提高入侵檢測(cè)的檢測(cè)準(zhǔn)確率，降低誤報(bào)率，并且在檢測(cè)數(shù)據(jù)量大幅提升的情況下可以有效滿(mǎn)足檢測(cè)的實(shí)時(shí)性要求。

　　1樹(shù)突細(xì)胞入侵檢測(cè)模型

　　基于危險(xiǎn)理論而衍生的樹(shù)突細(xì)胞算法(Dendritic Cell Algorithm， DCA)在生物免疫學(xué)中突破了傳統(tǒng)免疫理論中的“自我非我”(Selfnonself)免疫思路，轉(zhuǎn)而采取針對(duì)危險(xiǎn)信號(hào)(Danger Signal)的識(shí)別應(yīng)答，這使得算法的適用條件比較廣泛，如實(shí)時(shí)計(jì)算或半實(shí)時(shí)計(jì)算下的異步處理環(huán)境。

　　DC細(xì)胞對(duì)于存在于生物組織中的信息十分敏感，入侵檢測(cè)的過(guò)程中，DC細(xì)胞的主要存在形式有3種：未成熟DC(immature DC，iDC)、半成熟DC(semimature DC，sDC)以及成熟DC(mature DC，mDC)，通過(guò)界定DC的3種狀態(tài)可以定義當(dāng)前環(huán)境是否處于危險(xiǎn)或者安全狀態(tài)。DC細(xì)胞組成結(jié)構(gòu)初始化信息包括：生命周期(lifespan)、初始signal值、信號(hào)轉(zhuǎn)換權(quán)值矩陣(W)。DC進(jìn)行狀態(tài)轉(zhuǎn)換的標(biāo)準(zhǔn)主要依據(jù)協(xié)同刺激信號(hào)(CoStimulatory Molecule，CSM)。算法的處理流程如圖1所示。在圖1中，輸入的信息包括抗原(Antigen)與信號(hào)(Signal)，信號(hào)即安全信號(hào)(Safe Signal)與Danger Signal;除此之外還包括病原體相關(guān)分子模型(Pathogenic Associate Molecular Pattern，PAMP)以及炎癥因子(Inflammatory Cytokines，IC)。在對(duì)輸入數(shù)據(jù)進(jìn)行處理的過(guò)程中，作為專(zhuān)職抗原提呈細(xì)胞(Antigen Presenting Cell，APC)的樹(shù)突狀細(xì)胞負(fù)責(zé)采集Antigen產(chǎn)生的信息進(jìn)行識(shí)別、分析、處理并提呈給相關(guān)免疫細(xì)胞，利用免疫細(xì)胞進(jìn)行病原體入侵識(shí)別。

　　在iDC采集Antigen和Signal的過(guò)程中，輸出信號(hào)的計(jì)算主要通過(guò)下述公式確定：

　　O[csm，semi，mat]=WCW

　　WC=WPCP+WSCS+(WDCD)(1+IC)

　　W=WP+WS+WD (1)

　　其中，O[csm，semi，mat]分別代表了CSM、sDC、mDC的輸出值，WP是輸入PAMP的權(quán)值，WS是輸入安全信號(hào)的權(quán)值，WD是輸入危險(xiǎn)信號(hào)的權(quán)值，IC是炎癥因子的值;CP是PAMP的輸入濃度，CS是安全信號(hào)的輸入濃度，CD是危險(xiǎn)信號(hào)的輸入濃度。相關(guān)的權(quán)值參考表1。假設(shè)狀態(tài)轉(zhuǎn)移參考閾值為T(mén)h，則當(dāng)O[csm，semi，mat]大于Th時(shí)，發(fā)生狀態(tài)轉(zhuǎn)移、將信息輸出，反之重新開(kāi)始采集輸入信息。 　　表格(有表名)

　　表1基于DCA的權(quán)值表

　　輸入信號(hào)

　　信號(hào)權(quán)重

　　csmsemimat

　　WP202

　　WS101

　　WD22-2

　　DCA在異常檢測(cè)中一項(xiàng)重要的判斷標(biāo)準(zhǔn)是上下文成熟度抗原值(Mature Context Antigen Value，MCAV)。MCAV代表了在某種環(huán)境下完全成熟的抗原數(shù)量M與提呈的抗原總量Ag的比值，若MCAV的值接近于1，則抗原極有可能是異常的，因此MCAV用于評(píng)估輸入抗原的異常度。通過(guò)界定不同的參考閾值，可以有效提升樹(shù)突細(xì)胞算法的整體檢測(cè)能力。

　　MCAV=M/Ag(2

　　MCAVavg=∑ iMi∑ iAgi1+∑ iAgi2(3

　　式(2)是MCAV求解的標(biāo)準(zhǔn)形式。式(3)是基于式(2)的變形形式，其意義是：由于采集的抗原上下文組合的多樣性，若抗原數(shù)據(jù)在正常狀態(tài)下收集到抗原上下文，則表示DC細(xì)胞處于半成熟狀態(tài)(Agi1);若在異常情況下的收集到的抗原上下文，則表示DC細(xì)胞處于成熟狀態(tài)(Agi2)。MCAVavg代表了該組序列抗原值。

　　根據(jù)文獻(xiàn)[7]的DCA形式化描述，樹(shù)突細(xì)胞入侵檢測(cè)基本的步驟分為3個(gè)階段：初始化(第1)行～3)行)、入侵檢測(cè)(第4)行～18)行)、結(jié)果分析(第19)行～23)行)。初始化過(guò)程需要設(shè)定DC細(xì)胞數(shù)量Cell(num)、算法迭代數(shù)Iteration(max)、以及狀態(tài)轉(zhuǎn)移閾值Th，經(jīng)過(guò)數(shù)據(jù)處理、信號(hào)轉(zhuǎn)換等過(guò)程，最后完成信息提呈，偽代碼第13)行中的terminal condition依據(jù)式(1)中O[csm，semi，mat]的變化而定。

　　DCA的過(guò)程如下所示：

　　程序前

　　Input： time series data (antigen and signal)

　　Output： antigen type and MCAV

　　0

　　Set Cell(num)， Iteration(max)， Th

　　1)

　　for each DC do

　　2)

　　initiate DC

　　3)

　　endfor

　　4)

　　for Iteration(max) do

　　5)

　　if antigen then

　　6)

　　antigen profile update

　　7)

　　endif

　　8)

　　if signal then

　　9)

　　signal transformation

　　10)

　　for iDC do

　　11)

　　cell lifespan update

　　12)

　　signal profile update

　　13)

　　if termination condition then

　　14)

　　output record

　　15)

　　endif

　　16)

　　endfor

　　17)

　　endif

　　18)

　　endfor

　　19)

　　for output record do

　　20)

　　for antigen type do

　　21)

　　calculate MCAV

　　22)

　　endfor

　　23)

　　endfor

　　程序后

　　2基于對(duì)支持向量機(jī)的入侵檢測(cè)優(yōu)化

　　2.1對(duì)支持向量機(jī)與入侵檢測(cè)

　　傳統(tǒng)的SVM算法是監(jiān)督式(supervised)的學(xué)習(xí)方法[11]，在解決非線性分類(lèi)及高維模式識(shí)別等問(wèn)題中表現(xiàn)出了特有的優(yōu)勢(shì)，在文獻(xiàn)[11-13]中的研究表明將SVM方法應(yīng)用于入侵檢測(cè)場(chǎng)景可以收到相對(duì)滿(mǎn)意的效果。由于支持向量機(jī)在訓(xùn)練算法復(fù)雜度上并不存在較大的優(yōu)勢(shì)，且算法計(jì)算時(shí)間較長(zhǎng)，所以若直接利用其來(lái)進(jìn)行入侵檢測(cè)的離線分析尚且滿(mǎn)足要求，但對(duì)于實(shí)時(shí)性等較高要求，該方法并不完全滿(mǎn)足。關(guān)于TWSVM與入侵檢測(cè)，在文獻(xiàn)[15]中的研究表明對(duì)于傳統(tǒng)SVM，TWSVM在訓(xùn)練時(shí)間上的優(yōu)勢(shì)可以有效平衡入侵檢測(cè)的輸出并提高檢測(cè)率，但是對(duì)于實(shí)時(shí)性則并未作太多分析。

　　2.2基于對(duì)支持向量機(jī)的入侵檢測(cè)優(yōu)化

　　DCA在很大程度上彌補(bǔ)了TWSVM在實(shí)時(shí)性等方面的劣勢(shì)，但是在輸出結(jié)果時(shí)存在較高的誤報(bào)率(False Positive Rate，F(xiàn)PR) [7]。經(jīng)過(guò)分析可得，產(chǎn)生上述結(jié)果的原因主要有以下3點(diǎn)：1)DCA對(duì)于輸入數(shù)據(jù)的序列有一定的依賴(lài)性;2)DCA對(duì)于抗原的危險(xiǎn)性需要根據(jù)當(dāng)前設(shè)定的參考閾值判斷，且該閾值對(duì)于判斷結(jié)果有直接影響;3)DCA對(duì)于判斷識(shí)別率具有一定的隨機(jī)性[7]。對(duì)于1)本文暫時(shí)不予深究，對(duì)于2)的影響將通過(guò)實(shí)驗(yàn)來(lái)進(jìn)行參數(shù)優(yōu)化，對(duì)于3)引起的影響將通過(guò)TWSVM來(lái)對(duì)DCA的檢測(cè)結(jié)果作進(jìn)一步優(yōu)化，從而提高檢測(cè)結(jié)果的準(zhǔn)確率，降低誤報(bào)率。

　　2.2.1對(duì)支持向量機(jī)

　　假設(shè)在TWSVM中需要的兩類(lèi)超平面分別用Α和B表示，則TWSVM的求解問(wèn)題可以轉(zhuǎn)化為兩個(gè)非平行超平面(nonparallel hyperplane)問(wèn)題的求解過(guò)程：

　　xTω(1)+λ(1)=0 　　xΤω(2)+λ(2)=0 (4

　　式(4)代表了正、負(fù)兩類(lèi)超平面的最終求解方程。這里，x是一個(gè)數(shù)據(jù)集合，ω∈Rn與λ∈R分別是兩個(gè)超平面方程的系數(shù);ω(1)與λ(1)屬于正類(lèi)的法向量和偏移量，ω(2)與λ(2)屬于負(fù)類(lèi)的法向量和偏移量。

　　TMSVM1：

　　minω(1)，λ(1)，q12(Aω(1)+e1λ(1))Τ(Aω(1)+e1λ(1))+c1eT2q

　　s.t. -(Bω(1)+e2λ(1))+q≥e2; q≥0(5

　　TMSVM2：

　　minω(2)，λ(2)，q12(Bω(2)+e2λ(2))T(Bω(2)+e2λ(2))+c2eT1q

　　s.t. -(Aω(2)+e1λ(2))+q≥e1; q≥0(6

　　式(5)的TMSVM1代表求解一個(gè)超平面使其擬合正類(lèi)樣本A而遠(yuǎn)離負(fù)類(lèi)樣本B;式(6)的TMSVM2代表求解一個(gè)超平面使其擬合負(fù)類(lèi)樣本B而遠(yuǎn)離正類(lèi)樣本A。q為松弛因子且其元素均為1，c1、c2>0為正負(fù)兩類(lèi)樣本的懲罰因子，e1、e2>0且其元素均為1。對(duì)于測(cè)試樣本x，計(jì)算并比較它到兩個(gè)超平面的距離，即可判斷該樣本所屬類(lèi)別。

　　規(guī)定如下定義：

　　H=[Ae1]

　　G=[Be2]

　　u=[ω(1)λ(1)]

　　v=[ω(2)λ(2)] (7

　　根據(jù)式(7)中的定義，可以得到如下方程：

　　HTHu+GΤa=0

　　HTHv+GΤb=0 (8

　　在式(8)中，a和b作為拉格朗日乘子向量依據(jù)Wolfe對(duì)偶問(wèn)題(DTWSVM)[16]的求解方式如下：

　　DTWSVM1：

　　minaeΤ2a-12aΤG(HΤH)-1GΤa

　　s.t. 0≤a≤c1e2(9

　　DTWSVM2：

　　minbeΤ1b-12bΤH(GΤG)-1HΤb

　　s.t. 0≤b≤c2e1(10

　　從式(9)和式(10)中解出a和b的值，接著根據(jù)式(8)可以求出u和v，最后利用式(1)和式(7)確定最終的超平面解。在給定樣本x∈Rn后，可以根據(jù)式(11)來(lái)判斷x的最終分類(lèi)：

　　Classx=arg mink=1，2(ω(k)・x)+λ(k)(11)

　　其中|・|運(yùn)算表示樣本x到超平面的垂直距離。

　　傳統(tǒng)的SVM算法訓(xùn)練問(wèn)題本質(zhì)上就是求解一個(gè)二次規(guī)劃(Quadratic Programming，QP)問(wèn)題，且時(shí)間復(fù)雜度在給定樣本數(shù)為m后的上限為O(m3)[17]。比較而言，TWSVM算法將原本求解的大問(wèn)題轉(zhuǎn)成兩個(gè)二次規(guī)劃問(wèn)題，縮小了每個(gè)子問(wèn)題的規(guī)模。若每類(lèi)樣本規(guī)模數(shù)量為m/2，則近似的時(shí)間復(fù)雜度為O(m3/4)，相較于傳統(tǒng)SVM算法展現(xiàn)了絕對(duì)的時(shí)間優(yōu)勢(shì)。

　　2.2.2基于對(duì)支持向量機(jī)的入侵檢測(cè)優(yōu)化算法

　　鑒于TWSVM的分類(lèi)精度高和訓(xùn)練速度快的優(yōu)勢(shì)，本文利用TWSVM對(duì)DCA的檢測(cè)結(jié)果進(jìn)行更深層次的優(yōu)化處理，同時(shí)針對(duì)懲罰因子c1、c2通過(guò)實(shí)驗(yàn)進(jìn)行參數(shù)優(yōu)化，進(jìn)一步提高算法性能。

　　檢測(cè)優(yōu)化的TWSVM描述如下(假設(shè)訓(xùn)練集樣本中的種類(lèi)為n)：

　　步驟1設(shè)置c1、c2的初始值。

　　步驟2訓(xùn)練算法。訓(xùn)練分類(lèi)器TWSVM1， 得到兩個(gè)超平面Π1和Θ1; 第i個(gè)分類(lèi)器TWSVMi將第i類(lèi)訓(xùn)練樣本的類(lèi)別標(biāo)記為+1，而降其余所有訓(xùn)練樣本的類(lèi)別標(biāo)記為-1，得到的超平面是Πi和Θi;直至構(gòu)建第n-1個(gè)分類(lèi)器TWSVMn-1。

　　步驟3測(cè)試。將樹(shù)突細(xì)胞檢測(cè)結(jié)果樣本經(jīng)過(guò)所有TWSVM分類(lèi)器進(jìn)行分類(lèi)，計(jì)算樣本x到TWSVMi的兩個(gè)超平面Πi和Θi的距離為d1和d2，若d1>d2，則樣本x被判定為第i類(lèi)，繼續(xù)遍歷直到樣本中的所有數(shù)據(jù)都被判定類(lèi)別后停止。

　　3實(shí)驗(yàn)與分析

　　本文采用的是KDD Cup (1999)的10%數(shù)據(jù)子集，KDD數(shù)據(jù)集是目前應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)研究中普遍采用的測(cè)試數(shù)據(jù)集。該數(shù)據(jù)集包含訓(xùn)練集數(shù)據(jù)4898431條和測(cè)試集數(shù)據(jù)311029條，除去正常數(shù)據(jù)之外，所有的攻擊數(shù)據(jù)包括以下4類(lèi)：拒絕服務(wù)(Denial of Service，DoS)、權(quán)限提升(User to Root，U2R)、遠(yuǎn)程權(quán)限獲取(Remote to Local，R2L)，以及端口漏洞掃描(Probe)。在訓(xùn)練集數(shù)據(jù)中，只有19.85%(約972781條數(shù)據(jù))是正常網(wǎng)絡(luò)流量數(shù)據(jù)，其他均為攻擊數(shù)據(jù);在測(cè)試集數(shù)據(jù)中，有19.48%(約60593條數(shù)據(jù))是正常的網(wǎng)絡(luò)流量數(shù)據(jù)而其他的均為攻擊數(shù)據(jù)。在KDD Cup數(shù)據(jù)集中的每一條記錄都可以用41種定量且定性的特征進(jìn)行約束。本文從訓(xùn)練集中選出代表性數(shù)據(jù)86990條，從測(cè)試集中選出數(shù)據(jù)43130條，關(guān)于數(shù)據(jù)描述詳見(jiàn)表2。同時(shí)作為算法對(duì)比測(cè)試，本文采取單獨(dú)使用DCA、SVM、反向傳播(Back Propagation，BP)神經(jīng)網(wǎng)絡(luò)，與本文使用的DCTWSVM一同進(jìn)行數(shù)據(jù)的訓(xùn)練和測(cè)試。實(shí)驗(yàn)參數(shù)如下：Cell(num)=200，Iteration(max)=50，Th=0.65，c1=1000，c2=1000。實(shí)驗(yàn)環(huán)境是Intel Xeon CPU 2.60GHz，內(nèi)存是32GB，所有策略算法均采用 C++實(shí)現(xiàn)。

　　表格(有表名)

　　由表3和表4中的平均水平來(lái)看，與DCA、SVM、BP神經(jīng)網(wǎng)絡(luò)相比，本文的DCTWSVM在檢測(cè)精度方面分別提高了2.02%、2.30%、5.44%，在誤報(bào)率方面分別降低了0.26%、0.46%、0.90%。

　　綜合分析，DCTWSVM展現(xiàn)了較高的檢測(cè)精度，在處理DoS、Probe時(shí)相比其他策略均有小幅提高，在處理R2L與U2R的檢測(cè)精度相比SVM有一定提升、比DCA、BP神經(jīng)網(wǎng)絡(luò)有較大提升;與此同時(shí)DCTWSVM取得了較低的誤報(bào)率，其中U2R和R2L的誤報(bào)率相比DCA有十分明顯的降低。 　　表格(有表名)

　　從圖2中看到，DCA的訓(xùn)練時(shí)間很少、這主要與該算法需要較少的訓(xùn)練樣本有關(guān)[7]。DCTWSVM的訓(xùn)練時(shí)間呈現(xiàn)了比SVM、BP神經(jīng)網(wǎng)絡(luò)算法更大的優(yōu)勢(shì)，尤其當(dāng)訓(xùn)練數(shù)據(jù)規(guī)模較大時(shí)，訓(xùn)練速度幾乎為SVM的兩倍。

　　綜合誤報(bào)率、檢測(cè)精度和訓(xùn)練時(shí)間可以得出：雖然DCA根據(jù)其基本原理可以在訓(xùn)練速度上占優(yōu)[7]，但是本文提出的DCTWSVM可以在此基礎(chǔ)之上進(jìn)一步提高入侵檢測(cè)的檢測(cè)精度并有效降低誤報(bào)率。在實(shí)際運(yùn)用中，若對(duì)于實(shí)時(shí)性要求較高且用于檢測(cè)DoS以及Probe攻擊時(shí)，可以單獨(dú)運(yùn)用DCA;但是當(dāng)數(shù)據(jù)規(guī)模較大且檢測(cè)種類(lèi)較多時(shí)，使用DCTWSVM可以在犧牲較少的訓(xùn)練時(shí)間基礎(chǔ)上進(jìn)一步提高檢測(cè)精度，降低整體誤報(bào)率，并最終提升檢測(cè)的整體實(shí)時(shí)性，這使得DCTWSVM在復(fù)雜的應(yīng)用場(chǎng)景中具備較高的參考價(jià)值。

　　4結(jié)語(yǔ)

　　本文鑒于DCA在處理入侵檢測(cè)過(guò)程中具備的較高實(shí)時(shí)性的優(yōu)勢(shì)，結(jié)合TWSVM多類(lèi)分類(lèi)思想，提出了一種基于DCTWSVM的入侵檢測(cè)策略。將DCA在入侵檢測(cè)后可能存在的誤報(bào)率較高的檢測(cè)結(jié)果利用TWSVM訓(xùn)練效率高、分類(lèi)精度高的特點(diǎn)進(jìn)行結(jié)果優(yōu)化。實(shí)驗(yàn)表明，DCTWSVM不僅保持了較高的檢測(cè)精確度、較低的誤報(bào)率，且在訓(xùn)練速度上相比一些傳統(tǒng)算法有了顯著提高，另外在實(shí)時(shí)性檢測(cè)能力上有了明顯提升，具有一定的實(shí)用價(jià)值。由于本文僅在KDD Cup數(shù)據(jù)集上進(jìn)行了對(duì)比實(shí)驗(yàn)，在今后的工作中，要加強(qiáng)對(duì)于網(wǎng)絡(luò)動(dòng)態(tài)環(huán)境下產(chǎn)生的數(shù)據(jù)進(jìn)行研究;加強(qiáng)DCA的優(yōu)化，降低其檢測(cè)的誤報(bào)率;加強(qiáng)對(duì)TWSVM的優(yōu)化，進(jìn)一步減少其訓(xùn)練時(shí)間;另外考慮采取更為高效的分類(lèi)算法與DCA進(jìn)行組合解決復(fù)雜網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)問(wèn)題。

　　參考文獻(xiàn)：

　　[1] LIAO H， LIN C， LIN Y， et al. Intrusion detection system： a comprehensive review[J] . Journal of Network and Computer Applications， 2013， 36(1)： 16-24.

　　[2] KREUTZ D， RAMOS F M V， ESTEVES VERISSIMO P， et al. Softwaredefined networking： a comprehensive survey[J]. Proceedings of the IEEE， 2015， 103(1)： 14-76.

　　[3] AICKELIN U， DIPANKAR D. FENG G. Artificial immune systems[M]. Berlin： Springer， 2014： 187-211.

　　[4] HUA Y， LI T， HU X， et al. A survey of artificial immune system based intrusion detection[J]. The Scientific World Journal， 2014， 2014(3)： 156790.

　　[5] FANG X， WANG L， KANG J， et al. On dendritic cell algorithm and its theoretical investigation[J]. Computer Science， 2015， 42(2)： 131-133.(方賢進(jìn)， 王麗， 康佳， 等. 樹(shù)突細(xì)胞算法及其理論研究[J]. 計(jì)算機(jī)科學(xué)， 2015， 42(2)： 131-133.)

　　科學(xué)論文投稿期刊推薦《電子工藝技術(shù)》是我國(guó)電子行業(yè)生產(chǎn)技術(shù)綜合性科技期刊，該刊集眾多專(zhuān)業(yè)為一體，突出工藝特色，凡是與電子產(chǎn)品生產(chǎn)過(guò)程相關(guān)的技術(shù)，都是該刊的報(bào)道范圍。本刊是信息產(chǎn)業(yè)部?jī)?yōu)秀科技期刊，山西省一級(jí)期刊，全國(guó)電子行業(yè)核心期刊。