第6期 宋玲，等，变异粒子群优化的BP神经网络在入侵检测中的应用 ·561 记录的类型有5种：DOS攻击、R2L攻击、U2R攻 中的离散数据， 击、Probing攻击和正常事件. 1)提取数据特征：为提高网络训练速度，忽略 3.2.2仿真数据预处理 对实验结果影响不大的部分数据特征，同时将向量 通过3个环节对仿真数据进行预处理：提取仿 的维数压缩.仿真实验提取的15个数据特征如表1 真数据特征、归一化提取的数据特征、连续化数据集 所示 表1提取仿真数据特征 Table 1 Extraction the feature of simulation data 顺序 编号 数据特征 数据描述 数据类型 01 01 service continuance 服务持续时间 连续 02 02 continued_protocol 连续的协议 离散 03 03 type_service 服务类型 离散 04 04 connection_state 连接状态 离散 05 05 sre dst bytes 从数据源到目的地的数据比特数 连续 06 08 error_num_fragmentation 错误分片的数量 连续 07 11 num_failed_attempts 登陆的失败次数 连续 08 17 num_file_operations 创建文件的操作次数 连续 09 23 same_dstcount 当前与过去2；内有相同目的地址的连接数量 连续 10 24 same servic count 当前与过去2；内有相同服务类型的连接数量 连续 过去2s内，与当前连接具有相同目的地址连接中，错误 11 25 syn_error_proportion 连续 SYN连接的比例 过去2s内，与当前连接具有相同服务类型的连接中，错 12 26 srv_error_proportion 连续 误SRY连接所占的比例 13 过去2s内，与当前连接具有相同服务类型的连接中，目 31 dst_diff_host proportion 连续 的地址不同的连接所占的比例 在之前的100个连接中，与当前连接具有相同目的地址 14 34 service_host_same_srv_proportion 连续 且同一服务的连接所占的比例 15 regular or assault 正常事件或攻击行为 离散 2)连续化离散的数据：由于连续和离散2种数 表4连接状态的对应编码 据类型的特征值分别采取不一样的衡量参数，为不 Table 4 The corresponding code of connection state 影响仿真实验，本文先连续化离散的数据.如表2~5 State RSO REHJ RST SOR ST3 SHF STH Addition 所示。 编码 0 1 2345 6 7 表2不同协议类型的对应编码 Table 2 The different code corresponding of protocol type 表5正常事件和攻击行为的对应编码 网络协议类型ICMP TCP UDP Uncertain Table 5 The corresponding codes of normal events and at- tack behavior 对应编码 2 正常事件 正常事件 R2L DOS Prob U2R 攻击类型 表3不同类型的网络服务编码 对应编码0000 0001 0010 0011 0100 Table 3 The different coding of network service 3)归一化提取的数据特征 信息 信息 信息 为防止数据级较大的数据项影响数据级较小的 网络服务 网络服务 编码 编码 网络服务 编码 数据项，使其不会对仿真实验有效，归一化数据特征 Domain n 1 hostcalls 8 ftp_data 15 能够使得所有数据项取值在同一个区间内.具体变 mtp 2 uncp 9 systat 0 化为例 Eco i 3 login 10 telnet 17 finger 4 Eer i 11 time 18 ①平均绝对方差S= smtp netstat Imap4 0 式中：数据样本用X,表示，样本均值用m表示为 ftp 6 additional 13 other services 20记录的类型有 ５ 种：ＤＯＳ 攻击、Ｒ２Ｌ 攻击、Ｕ２Ｒ 攻 击、Ｐｒｏｂｉｎｇ 攻击和正常事件． ３．２．２ 仿真数据预处理 通过 ３ 个环节对仿真数据进行预处理：提取仿 真数据特征、归一化提取的数据特征、连续化数据集 中的离散数据． １）提取数据特征：为提高网络训练速度，忽略 对实验结果影响不大的部分数据特征，同时将向量 的维数压缩．仿真实验提取的 １５ 个数据特征如表 １ 所示． 表 １ 提取仿真数据特征 Ｔａｂｌｅ １ Ｅｘｔｒａｃｔｉｏｎ ｔｈｅ ｆｅａｔｕｒｅ ｏｆ ｓｉｍｕｌａｔｉｏｎ ｄａｔａ 顺序 编号 数据特征 数据描述 数据类型 ０１ ０１ ｓｅｒｖｉｃｅ＿ｃｏｎｔｉｎｕａｎｃｅ 服务持续时间 连续 ０２ ０２ ｃｏｎｔｉｎｕｅｄ＿ ｐｒｏｔｏｃｏｌ 连续的协议 离散 ０３ ０３ ｔｙｐｅ＿ｓｅｒｖｉｃｅ 服务类型 离散 ０４ ０４ ｃｏｎｎｅｃｔｉｏｎ＿ｓｔａｔｅ 连接状态 离散 ０５ ０５ ｓｒｃ＿ｄｓｔ＿ｂｙｔｅｓ 从数据源到目的地的数据比特数 连续 ０６ ０８ ｅｒｒｏｒ＿ｎｕｍ＿ｆｒａｇｍｅｎｔａｔｉｏｎ 错误分片的数量 连续 ０７ １１ ｎｕｍ＿ｆａｉｌｅｄ＿ａｔｔｅｍｐｔｓ 登陆的失败次数 连续 ０８ １７ ｎｕｍ＿ｆｉｌｅ＿ｏｐｅｒａｔｉｏｎｓ 创建文件的操作次数 连续 ０９ ２３ ｓａｍｅ＿ｄｓｔ＿ｃｏｕｎｔ 当前与过去 ２ ｓ 内有相同目的地址的连接数量 连续 １０ ２４ ｓａｍｅ＿ｓｅｒｖｉｃ＿ｃｏｕｎｔ 当前与过去 ２ ｓ 内有相同服务类型的连接数量 连续 １１ ２５ ｓｙｎ＿ｅｒｒｏｒ＿ｐｒｏｐｏｒｔｉｏｎ 过去 ２ ｓ 内，与当前连接具有相同目的地址连接中，错误 ＳＹＮ 连接的比例 连续 １２ ２６ ｓｒｖ＿ｅｒｒｏｒ＿ｐｒｏｐｏｒｔｉｏｎ 过去 ２ ｓ 内，与当前连接具有相同服务类型的连接中，错 误 ＳＲＹ 连接所占的比例 连续 １３ ３１ ｄｓｔ＿ｄｉｆｆ＿ｈｏｓｔ＿ ｐｒｏｐｏｒｔｉｏｎ 过去 ２ ｓ 内，与当前连接具有相同服务类型的连接中，目 的地址不同的连接所占的比例 连续 １４ ３４ ｓｅｒｖｉｃｅ＿ｈｏｓｔ＿ｓａｍｅ＿ｓｒｖ＿ｐｒｏｐｏｒｔｉｏｎ 在之前的 １００ 个连接中，与当前连接具有相同目的地址 且同一服务的连接所占的比例 连续 １５ ｒｅｇｕｌａｒ ｏｒ ａｓｓａｕｌｔ 正常事件或攻击行为 离散 ２）连续化离散的数据：由于连续和离散 ２ 种数 据类型的特征值分别采取不一样的衡量参数，为不 影响仿真实验，本文先连续化离散的数据．如表 ２ ～ ５ 所示． 表 ２ 不同协议类型的对应编码 Ｔａｂｌｅ ２ Ｔｈｅ ｄｉｆｆｅｒｅｎｔ ｃｏｄｅ ｃｏｒｒｅｓｐｏｎｄｉｎｇ ｏｆ ｐｒｏｔｏｃｏｌ ｔｙｐｅ 网络协议类型 ＩＣＭＰ ＴＣＰ ＵＤＰ Ｕｎｃｅｒｔａｉｎ 对应编码 ０ １ ２ ３ 表 ３ 不同类型的网络服务编码 Ｔａｂｌｅ ３ Ｔｈｅ ｄｉｆｆｅｒｅｎｔ ｃｏｄｉｎｇ ｏｆ ｎｅｔｗｏｒｋ ｓｅｒｖｉｃｅ 网络服务 信息 编码 网络服务 信息 编码 网络服务 信息 编码 Ｄｏｍａｉｎ＿ｎ １ ｈｏｓｔｃａｌｌｓ ８ ｆｔｐ＿ｄａｔａ １５ ｍｔｐ ２ ｕｎｃｐ ９ ｓｙｓｔａｔ １９ Ｅｃｏ＿ｉ ３ ｌｏｇｉｎ １０ ｔｅｌｎｅｔ １７ ｆｉｎｇｅｒ ４ Ｅｃｒ＿ｉ １１ ｔｉｍｅ １８ ｓｍｔｐ ５ ｎｅｔｓｔａｔ １２ Ｉｍａｐ４ １９ ｆｔｐ ６ ａｄｄｉｔｉｏｎａｌ １３ ｏｔｈｅｒ＿ ｓｅｒｖｉｃｅｓ ２０ 表 ４ 连接状态的对应编码 Ｔａｂｌｅ ４ Ｔｈｅ ｃｏｒｒｅｓｐｏｎｄｉｎｇ ｃｏｄｅ ｏｆ ｃｏｎｎｅｃｔｉｏｎ ｓｔａｔｅ Ｓｔａｔｅ ＲＳＯ ＲＥＨＪ ＲＳＴ ＳＯＲ ＳＴ３ ＳＨＦ ＳＴＨ Ａｄｄｉｔｉｏｎ 编码 ０ １ ２ ３ ４ ５ ６ ７ 表 ５ 正常事件和攻击行为的对应编码 Ｔａｂｌｅ ５ Ｔｈｅ ｃｏｒｒｅｓｐｏｎｄｉｎｇ ｃｏｄｅｓ ｏｆ ｎｏｒｍａｌ ｅｖｅｎｔｓ ａｎｄ ａｔ⁃ ｔａｃｋ ｂｅｈａｖｉｏｒ 正常事件 攻击类型 正常事件 Ｒ２Ｌ ＤＯＳ Ｐｒｏｂ Ｕ２Ｒ 对应编码 ００００ ０００１ ００１０ ００１１ ０１００ ３）归一化提取的数据特征 为防止数据级较大的数据项影响数据级较小的 数据项，使其不会对仿真实验有效，归一化数据特征 能够使得所有数据项取值在同一个区间内．具体变 化为［９］ ①平均绝对方差 Ｓ ＝ １ Ｎ∑ Ｎ ｉ ＝ １ （Ｘｉ － ｍ）． 式中：数据样本用 Ｘｉ 表示，样本均值用 ｍ 表示为 ｍ ＝ １ ｎ ∑ ｎ ｉ ＝ １ Ｘｉ ． 第 ６ 期 宋玲，等：变异粒子群优化的 ＢＰ 神经网络在入侵检测中的应用 ·５６１·