啟發式演算法在入侵檢測系統中的應用綜述

語言: CN / TW / HK

轉載連結: https://www.cnblogs.com/fightKun/p/15810553.html

啟發式演算法在入侵檢測系統中的應用研究

摘 要:模型優化問題是入侵檢測中的核心問題,目的是在高流量的情況下得到準確率高的檢測模型。但隨著網路的高速發展,入侵檢測問題求解難度增加,並且對實時性要求也不斷提高,已有的常規演算法不再適應實際要求。近年來,基於啟發式演算法開始成為優化入侵檢測問題的重要方法,本文在簡要回顧常規方法建模的基礎上,重點總結基於啟發式演算法的入侵檢測模型,並按照基於規則提取、引數優化、特徵選擇優化的方式進行了分類。

關鍵詞:入侵檢測;啟發式;群智慧

1.  引言

隨著網路社會快速發展,截至2020年12月,我國網民規模達到9.89億人,入侵檢測系統(Intrusion Detection System, IDS)是當今社會關注的一個重要話題。入侵檢測系統是一種對網路傳輸進行實時監控,發現可疑傳輸時發出警報或採取主動響應措施的網路安全元件。網路技術的快速發展使得入侵檢測系統將處理海量、高維的資料,這對入侵檢測的可靠性、實時性提出了更高的要求。

目前大多數IDS都是基於規則的,如Bro、Snort和NFR。基於規則的分析依賴於由專家提供的預定義規則集,或由系統自動建立的規則集,或兩者兼而有之。這些規則用於確定攻擊是否發生。因此,規則的更新對於基於規則的IDS至關重要。然而,即使是領域專家手動從大量的網路流量資料中發現新規則也是一項耗時且容易出錯的工作。

迄今為止,雖然各種基於機器學習的異常入侵檢測解決方案和成果已經出現並取得了良好的效果,但其效能嚴格依賴於一定的條件,例如檢測模型在關聯特徵集的條件下或當引數採用特定值的情況下模型才能有好的效果。還有一些問題的求解沒有現成的較好的解決方案,以多核學習模型為例,傳統的多核學習方法通常將問題表述為核函式和分類器的最佳組合的優化任務,這通常是一些難以解決的具有挑戰性的優化任務[1]。採用基於仿生的啟發式演算法解決排列組合問題,避免將問題複雜化,從而滿足入侵檢測在實際應用中的需求。

2.  群智慧演算法概述

在群智慧演算法中,合作個體的互動會產生解決問題的行為。群智慧是一個系統的屬性,在這個系統中,不成熟的個體的集體行為區域性地與環境相互作用,導致一致的功能全域性模式出現。

群智慧演算法屬於啟發式演算法的一個分支,通過多個代理 (Agent) 間相互協作求解複雜問題,代理能用來查詢分類規則、幫助入侵檢測模型進行動態重構、發現異常檢測的聚類簇,代理可以跟蹤入侵者的蹤跡等[2]。群智慧演算法研究領域主要有三種演算法:粒子群演算法、蟻群演算法和蝗蟲群演算法。在入侵檢測領域,己經湧現出大量基於群智慧演算法的應用,應用場景包括規則提取、支援向量機和人工神經網路引數優化、特徵優化、整合優化、聚類優化和其他用法。

2.1 粒子群演算法

粒子群優化(Particle Swarm Optimization, PSO)最早由Eberhart和Kennedy[3]於1995年提出,是一種受群體智慧和鳥類群集、魚類魚群甚至人類社會行為等一般理論啟發的優化技術。結果表明,該方法在求解全域性優化問題和工程問題[4]時是有效的。與許多其他優化演算法相比,PSO的優點是它的實現簡單,並且能夠快速收斂到一個相當好的解。在過去的幾年中,粒子群演算法已經成功地應用於許多研究和應用領域。結果表明,與其他方法相比,粒子群演算法以更快、更便宜的方式獲得了更好的結果。然而,粒子群演算法在網路入侵檢測規則學習中的應用卻很少。粒子群演算法如圖1所示[20]。

圖1 粒子群演算法步驟

2.2 蟻群演算法

蟻群演算法的靈感來自蟻群的社會行為。雖然螞蟻沒有視力,但螞蟻能夠通過一種叫做資訊素的化學物質找到食物來源和巢穴之間的最短路徑,這種化學物質是螞蟻在移動[5]時留下的,螞蟻通過資訊素路徑作為傳遞資訊的媒介。一隻孤立的螞蟻幾乎是隨機移動探索,當螞蟻遇到之前鋪設的路徑時可以檢測到該路徑,並很有可能決定跟隨它,以及使用自己的資訊素加強該路徑。從而出現一種自催化過程,螞蟻沿著一條路徑走得越多,這條路徑就變得越有吸引力。因此該過程的特徵是一個正反饋迴圈。在此過程中,選擇路徑的概率隨之前選擇同一路徑的螞蟻數量的增加而增加。

蟻群演算法的主要目標是將問題建模為在圖中尋找最小代價路徑。這裡可以將節點視為特徵,它們之間的邊表示下一個特徵的選擇。搜尋最優特徵子集是在圖中進行螞蟻遍歷,其中滿足遍歷停止準則的節點和特徵的訪問次數最少。節點全連線,允許選擇任何特性,可以應用標準蟻群演算法的過渡規則和資訊素更新規則。在此情況下,資訊素和啟發式價值與連結無關。相反,每個特徵都有自己的資訊素值和啟發式值

2.3 蝗蟲群演算法

在蝗蟲群中,搜尋代理被定義為蝗蟲群中的個體,它們相互作用。基於一系列進化操作,模仿蝗蟲群體中常見的幾種獨特的生物行為。整個搜尋空間表現為一個種植園,由所有蝗蟲進行探索並尋找合適的食物來源。在蝗群進化過程的每個階段,該人工林內的每隻蝗蟲都根據其當前位置對應的適應度值獲得一個食物質量指數。該方法的優點是避免了模型過早收斂,同時兼顧了勘探與開發之間的平衡。

3.  基於群智慧演算法的優化

3.1 規則提取

Guolong C 等人[6]根據網路資料特徵引入一種稱為“索引編碼”的新編碼方案,提出採用粒子群優化演算法提取分類規則進行入侵檢測。在該方法中,種群是一組粒子,初始種群是從訓練資料庫中隨機選擇的。每個粒子都是一條來自資料庫的代表一條規則的網路連線記錄。在資料庫中,從每個連線記錄中編譯多個獨特的屬性。這些屬性包括符號屬性,如值為“TCP”、“ICMP”和“UDP”的“protocoltype”,以及連續屬性,如整型值不小於0的“srvcount”。然後,每個產生的連線記錄都被標記為正常或攻擊型別。所選的屬性和標籤組成了d維空間搜尋。根據這些記錄的特點,給出了一種新的編碼方案,其中使用了一個對映函式:

為第i個屬性的原始值, 表示為 的編碼,從而將 中的所有屬性對映為一個新的整數。基於此特性,對標準PSO演算法進行修改,提出一種新的稱為“索引編碼”的方案。

基於此,Chang Z等人[7]提出一種改進適應函式的粒子群優化演算法提取分類規則的入侵檢測方案。為了提取高質量的規則以降低IDS的虛警率,提出了一個新的方法,該方法具有一個特殊的擬合函式降低了提取規則集的錯誤率從而探測攻擊。

傳統的擬合函式,a表示正確探測到的攻擊個數,A表示總的攻擊數b表示在正常連線中個人所覆蓋的個數,B表示正常連線的個數。因為正常連線個數在整個連結個數中佔絕對多數,因此b遠小於B,使得b/B與a/A相比基本不會有明顯的變化,那麼函式值主要卻決於a/A的值,這可以提高規則提取的速度,但是有可能會得到誤報率高的規則集。為了解決這個問題,該文提出了一種新的擬合函式。

其中a、b與上式中含義相同,那麼a/b表示為正確的檢測到的攻擊的平均次數,當講該函式用於規則提取時,可以得到誤報率最小的規則。

Abadeh等人[8]提出了一種進化模糊規則學習演算法。該演算法利用粒子群優化(PSO)方法在問題搜尋空間中搜索每個個體的鄰域。進化演算法基於Michigan方法,通過生成一組模糊的If - then規則的方式進行攻擊檢測。該文旨在通過基於粒子群優化(PSO)的啟發式區域性搜尋程式來增強我們的演算法。而採用PSO目的是通過在一定的約束條件下搜尋模糊規則的鄰域來提高模糊規則匯出的質量。

Chung等人[9]提出一種基於粗糙集和改進簡化群優化的混合入侵檢測系統,通過粗糙集演算法實現特徵選擇,採用簡化的群優化(Simplified Swarm Optimization, SSO)演算法提取高質量分類規則,為了提高單點登入分類器的效能,採用一種新的加權區域性搜尋(Weighted Local Search, WLS)策略提高簡化群優化的效能。這種新的本地搜尋策略的目的是從SSO產生的當前解決方案的鄰域中發現更好的解決方案。利用粗糙集混合智慧動態群演算法(IDS-RS)選擇最能代表網路流量模式的相關特徵;其次,引入與單點登入相結合的加權區域性搜尋(WLS)策略,使分類精度最大化。這種新的本地搜尋策略的目的是通過從單點登入產生的當前解決方案的鄰域中發現更好的解決方案,提高單點登入在基於異常的網路入侵模式挖掘中的效能。SSO是基於標準PSO[10]開發的,其中每個粒子都被編碼為一個正整數。該文章採用單點登入演算法來解決分類問題,該演算法可以處理同時包含離散變數和連續變數的資料集。該方法與以往僅將資料探勘和粒子群優化結合在一起的方法有顯著的不同。他們的大部分工作都是利用PSO作為一種優化技術來解決資料探勘問題,如分類[11]和聚類[12]。為了提高演算法的效能,該文提出採用區域性搜尋策略來執行在每代中獲得的全域性最優解。

螞蟻礦工( AntMiner )[13]是一種通過提取規則實現分類的演算法, Uthayakumar等人[14][15]採用蟻群礦工的改進演算法進行資料探勘,從而發現網路入侵檢測規則。支援向量機(SVM)作為一種強大的資料分類方法已被廣泛接受。另一方面,自組織蟻群網路(CSOACN)在資料聚類方面已經被證明是高效的。Uthayakumar等人[14][15]的工作旨在開發一種演算法,結合這兩種方法的邏輯來產生高效能IDS。

在高速網路中實現實時檢測是IDS設計的一個挑戰。基於機器學習的支援向量機對於資料量較小的學習是一個很好的選擇。在入侵檢測中採用聚類的方法來解決多分類問題。Uthayakumar等人[14][15]對有監督學習SVM和無監督學習CSOACN進行了修改,使它們能夠互動和高效地使用。並且提出了一種新的CSVAC演算法,將改進的SVM和CSOACN相結合,使訓練資料集最小化,同時允許新的資料點動態地新增到訓練集中。

3.2 引數優化

(1) 支援向量機引數優化

支援向量機和人工神經網路相關引數的選取影響模型的效能及效率。支援向量機的效能取決於核引數和懲罰係數的選取[16][17][18][19]。

Kuang等人[20]採用改進混沌粒子群優化演算法對支援向量機引數進行優化。提出了一種新的支援向量機(SVM)模型來解決入侵檢測問題。該方法採用多層SVM分類器來判斷行為是否為攻擊,並將KPCA作為SVM的預處理程式來降低特徵向量的維數,縮短訓練時間。為了縮短支援向量機的訓練時間,提高支援向量機的效能,採用N-RBF演算法降低特徵差異產生的噪聲,提出ICPSO演算法優化支援向量機的懲罰因子、kernel引數和tube大小,引入混沌優化和早熟處理機制。

Bamakan等人[21]提出了一種基於時變混沌粒子群優化的入侵檢測框架(Multiple Criteria Linear Programming, MCLP),並將其與多準則線性規劃(MCLP)和支援向量機(SVM)相結合,提供了一種自適應、魯棒、精確的入侵檢測方法,以提高該分類器處理不平衡入侵檢測資料集的效能。能同時對多準則線性規劃(MCLP)和支援向量機(SVM)進行引數設定和特徵選擇。在提出的方法中,提供了一個加權目標函式,該函式考慮了最大檢出率和最小虛警率之間的權衡,同時考慮了特徵數,在考慮特徵數量的同時,兼顧最大化檢測率和最小化虛警率之間的權衡,在提高攻擊的檢測率的前提下,消除冗餘和無關的特徵。此外,為了使粒子群優化演算法更快地搜尋最優值,避免搜尋陷入區域性最優,在粒子群演算法中引入了混沌的概念,並引入了時變慣性權重和時變加速度係數。對混沌粒子群優化演算法進行了改進,採用時變慣性權重因子(TVIEW)和時變加速度係數(TVAC)即TVCPSO,使其更快地尋找最優解,避免陷入區域性最優,為多準則線性規劃和支援向量機確定引數和選擇特徵子集,從而提供有效的入侵檢測系統框架。

(2) 極限學習機引數優化

與支援向量機和隨機森林相比,極限學習機技術被認為是一種有效的檢測技術[22],但其效能取決於相關引數的選取[23][24]。

Ali等人[25]採用粒子群優化演算法優化極限學習機的權重和偏置並應用於入侵檢測。以粒子群優化演算法作為IDS模型的核心演算法,選取主要引數以減少隨機化對基於IDS的極限學習機(ELM)的影響。

Ali等人[26]提出一種基於粒子群優化演算法的快速學習網路(Fast Learning Network, FLN)入侵檢測模型。快速學習網路和極限學習機類似,也需要確定相關權值,否則該模型的整體精度會降低。作者採用粒子群優化演算法確定相應權值,訓練出優化的快速學習網路。

Ahmed等人[27]和Bahram等人[28]提出基於應用多層感知器(multi layer-perceptron,MLP)入侵檢測分類系統,分別採用粒子群優化演算法和蜂群優化演算法確定連線權值來提高多層感知器的學習能力。

[27]提出了一種利用多層感知器(MLP)與粒子群優化(PSO)混合軟計算技術實現分類技術的系統。粒子群演算法通過設定連結權值來提高MLP的學習能力,從而提高MLP的分類精度。在該系統中,使用NSL-Kdd99資料集對所提出的系統進行評估。由於在學習階段使用了多權重集(粒子),使用MLPPSO增強分類結果產生了較高的檢出率。

[28]提出了一種基於多層感知器(MLP)網路、人工蜂群(ABC)和模糊聚類演算法相結合的入侵檢測系統。利用模糊聚類技術建立各種訓練子集。網路流量的正常和異常資料包由MLP識別,而MLP的訓練是通過優化連結權值和偏差值來完成的。利用CloudSim模擬器和NSL-KDD資料集對該方法進行驗證。減少雲IDS中不正確分類的例項、平均絕對誤差(MAE)和均方根誤差(RMSE),改進kappa統計,提供一個正確分類例項的雲IDS技術。

Benmessahel等人[29]將多層前饋神經網路(Multilayer feed forward, MLFFNN)與最近發明的超啟發式蝗蟲群優化演算法(Locust Swam Optimization, LSO)相結合,將EA與ANN相結合可以增強每種方法的計算優勢,構建了一個先進的檢測系統,採用蝗蟲群優化對多層前饋神經網路進行訓練。LSO演算法的主要優點是使用不同的模式,明確地避免了搜尋代理在小區域內的集中,從而保持了群體多樣性,避免了過早收斂和探索與利用之間缺乏平衡等諸多問題。這些特徵與最小二乘相關,使新網路能夠動態地進化其權重,調整其引數,以避免陷入區域性極小值,避免欠擬合或過擬合。IDS框架如下圖2所示。

圖2 IDS框架

3.3 特徵選擇優化

特徵選擇(FS)是機器學習中常用的一個步驟,特別是在處理高維特徵空間時。FS的目標是通過降低資料維數和識別相關的潛在特徵來簡化資料集,同時不犧牲預測精度。通過這樣做,它還減少了所選特徵提供的資訊中的冗餘。在現實世界中,FS是一個必須的問題,因為它有大量嘈雜的、無關的或誤導性的特性。FS廣泛應用於文字分類、資料探勘、模式識別、訊號處理和入侵檢測等多個領域[30][31]。

減少冗餘特徵可以改進入侵檢測演算法的效能[32]。資料規模大,特徵維數高,傳統的入侵檢測系統很難在此種情況下做出及時有效的判斷。降維己成為入侵檢測面臨的重要問題。對於採用主成分分析(Principal Component Analysis, PCA)法進行特徵約簡,特徵值高的特徵可能無法保證為分類器提供最佳靈敏度。

Ahmad等人[33]提出採用粒子群優化演算法進行特徵選擇,採用模組化神經網路(Modular Neural Network, MNN)進行分類,實驗結果表明採用粒子群優化演算法進行特徵選擇比遺傳演算法有更好的效能。主空間是通過粒子群優化(PSO)探索和選擇主成分子集或主特徵的搜尋空間。在粒子群演算法中,粒子代表搜尋空間粒子的候選解,形成一個群體,也稱為群。粒子群是由隨機分佈的1和0產生的。對於每個粒子,如果主成分為1,則選擇它,忽略主成分為0。因此,每個粒子都表示主成分的不同子集。對粒子群進行隨機初始化,然後在搜尋空間或主空間中移動,通過更新其位置和速度來搜尋特徵的最優子集。特徵選擇流程圖如下圖所示。

圖3 基於PSO的特徵選擇流程圖

Tama等人[34]採用粒子群優化演算法進行特徵選擇,採用基於樹的分類器(包括C4.5、隨機森林和分類與迴歸樹)整合進行網路異常檢測。利用PSO和基於相關性的特徵選擇(PSO - CFS)方法,選擇最適合入侵檢測系統的特徵;其次,引入基於樹的分類器融合,使分類精度最大化。結果表明與現有的整合技術相比,該檢測模型具有檢測精度高、陽性率低等優點。

為了改善攻擊檢測的效能,Aghdam等人[35]和Peng等人[36]提出基於蟻群演算法的特徵選擇方法。像螞蟻和蜜蜂這樣的昆蟲群居。一個個體只能自己做簡單的行為,而他們的群體合作工作代表了一個複雜的行為[37]。

[35]提出了一種基於蟻群演算法優化特徵選擇的入侵檢測系統。該方法易於實現,並且由於使用了簡化的特徵集進行分類,計算複雜度較低。在KDD Cup 99和NSL-KDD入侵檢測基準資料集上的大量實驗結果表明,在特徵數減少的情況下,具有更高的入侵檢測準確率和更低的誤報率。

[36]在保證特徵子集分類效能的前提下,通過設計特徵選擇適應度函式,降低維數,優化資訊素更新規則,採用兩階段資訊素更新規則向其他路徑新增額外的資訊素,避免了演算法在搜尋特徵時陷入區域性最優,提高了特徵選擇的穩定性。擬合函式的設計如下所示。

其中ω用於平衡分類器分類效能和特徵維度之間的權重。ω值越大,說明分類效能的優劣在適應度函式中更為重要。d為所選特徵子集的維數。D是螞蟻遍歷的整個集合的維數。FPR表示輸入所選特徵子集時分類的假陽性率

啟發式資訊ηij定義為:

資訊素濃度採用兩階段資訊素更新規則。第一階段,將資訊素濃度更新規則與特徵分類效果和特徵子集長度相結合,改進資訊素濃度更新規則。在第二階段,在最優路徑和最接近最優路徑的其他路徑上增加資訊素,增強解空間的可搜尋性,防止演算法陷入區域性最優狀態。

Tama等人[38]提出一種有效的異常檢測方法,採用粒子群優化演算法、蟻群優化演算法和遺傳演算法進行特徵選擇,將隨機森林、樸素貝葉斯樹、邏輯模型樹和減少錯誤修剪樹四種基於樹的分類器進行整合。

Alzubi等人[39]提出採用改進二進位制灰狼優化演算法(MBGWO)進行特徵選擇,用於識別精度更高、特徵數量更少的網路入侵。特徵選擇框架如圖4所示。

圖4 特徵選擇框架

Dwivedi等人[40]提出採用蝗蟲優化演算法(Grasshopper Optimization Algorithm, GOA)進行特徵選擇的異常檢測技術。將特徵選擇整合(Ensemble of Feature Selection, EFS)和自適應蝗蟲優化演算法(Adaptive Grasshopper Optimization Algorithm, AGOA)相結合的新技術EFSAGOA,用於識別攻擊型別。在提出的方法中,最初使用EFS方法對屬性進行排序,以選擇屬性的高排序子集。然後,利用AGOA從減少的資料集中確定重要的屬性,以幫助預測網路流量行為。此外,與文獻中的一些方法不同,GOA的適應性行為用於決定一個記錄是否代表一個異常。AGOA採用支援向量機(SVM)作為適應度函式,選擇最有效的特徵,使分類效能最大化。此外,它也用於優化懲罰因子(C), kernel引數(σ) 和tube size(€)的支援向量機分類器。

Alazzam等人[41]提出一種用於入侵檢測的包裝器特徵選擇演算法,該演算法採用鴿群啟發優化演算法(Pigeon Inspired Optimization, PIO)進行特徵選擇,提出一種新的二進位制化方法,與傳統的連續群智慧演算法二進位制化方法進行比較。提出採用餘弦相似度方法對演算法進行二值化,其收斂速度比Sigmoid方法更快。提出了一種基於餘弦相似度概念的連續元啟發式演算法的二值化方法,使其適合於求解離散問題,並將其與傳統的用s形函式將速度轉換為二值化的方法進行了比較。

Zhou等人[42]出基於蝙蝠演算法的降維演算法, Zhou所提演算法根據特徵之間的相關性選擇最優子集,最後整合C4.5 、隨機森林和森林懲罰屬性演算法進行攻擊識別。針對常規的降維和冗餘消除方法,提出了一種基於自然的特徵選擇演算法來提取原始特徵的子集。其次,正常流量和惡意流量的不平衡對攻擊檢測的準確性有負面影響。為了克服這個問題,我們的解決方案利用整合分類器來減少不同訓練資料集之間的偏差。該方法將特徵選擇和整合分類相結合,以較低的計算量和時間複雜度提高了入侵檢測的穩定性和準確性。最後,可以生成一個無偏倚模型來檢測常見和罕見的入侵事件。

4.  總結與分析

本文旨在對近年來基於群智慧入侵檢測優化問題的各類演算法進行較為全面的綜述[43],重點分析了各類演算法的機制特點和優劣性。如今在入侵檢測的模型優化中各類啟發式學習模型不斷湧現。本文對這些模型的特點和優化效果進行了總結。從以上工作可以看出,採用群智慧演算法對入侵檢測精度的提升方面起到重要作用。隨著網路技術的高速發展,入侵檢測系統將處理海量、高維的資料,採用啟發式演算法優化模型引數具有很大的實用價值。

5.  參考文獻

[1]     Xia H, Hoi S C H. Mkboost: A framework of multiple kernel boosting[J]. IEEE Transactions on knowledge and data engineering, 2012, 25(7): 1574-1586.

[2]     Kolias C, Kambourakis G, Maragoudakis M. Swarm intelligence in intrusion detection: A survey[J]. computers & security, 2011, 30(8): 625-642.

[3]     Kennedy J, Eberhart R. Particle swarm optimization[C]//Proceedings of ICNN'95-international conference on neural networks. IEEE, 1995, 4: 1942-1948.

[4]     Parsopoulos K E, Plagianakos V P, Magoulas G D, et al. Stretching technique for obtaining global minimizers through particle swarm optimization[C]//Proceedings of the Particle Swarm Optimization Workshop. Indianapolis, USA, 2001, 29: 1-8.

[5]     E. Bonabeau, M. Dorigo, and G. Theraulaz, Swarm Intelligence: From Natural to Artificial Systems, Ox-ford University Press, New York, 1999.

[6]     Guolong C, Qingliang C, Wenzhong G. A PSO-based approach to rule learning in network intrusion detection[M]//Fuzzy information and engineering. Springer, Berlin, Heidelberg, 2007: 666-673.

[7]     Chang Z, Wei-ping W. An improved PSO-based rule extraction algorithm for intrusion detection[C]//2009 international conference on computational intelligence and natural computing. IEEE, 2009, 2: 56-58.

[8]     Abadeh M S, Habibi J, Aliari S. Using a particle swarm optimization approach for evolutionary fuzzy rule learning: a case study of intrusion detection[C]//Information processing and management of uncertainty in knowledge based systems (IPMU). 2006: 2-7.

[9]     Chung Y Y, Wahid N. A hybrid network intrusion detection system using simplified swarm optimization (SSO)[J]. Applied soft computing, 2012, 12(9): 3014-3022.

[10]  J. Kennedy, R. Eberhart, Particle swarm optimization, in: Proceedings of the 1995 IEEE International Conference on Neural Networks. Part 4 (of 6) Perth, Aust, 1995, pp. 1942–1948.

[11]  F. Melgani, Y. Bazi, Classification of electrocardiogram signals with support vector machines and particle swarm optimization, IEEE Transactions on Infor-mation Technology in Biomedicine 12 (September (5)) (2008) 667–677.

[12]  F. Yang, T. Sun, C. Zhang, An efficient hybrid data clustering method based on K-harmonic means and particle swarm optimization, Expert Systems with Applications 36 (August (6)) (2009) 9847–9852.

[13]  Parpinelli R S, Lopes H S, Freitas A A. Data mining with an ant colony optimization algorithm[J]. IEEE transactions on evolutionary computation, 2002, 6(4): 321-332.

[14]  Uthayakumar D N, Vinotha D, Vasanthi M. Classification Rule Discovery Using Ant-Miner Algorithm: An Application Of Network Intrusion Detection[J]. nternational Journal Of Modern Engineering Research (IJMER), 2014, 4(8).

[15]  He J, Long D, Chen C. An improved ant-based classifier for intrusion detection[C]//Third International Conference on Natural Computation (ICNC 2007). IEEE, 2007, 4: 819-823.

[16]  Lin S W, Ying K C, Chen S C, et al. Particle swarm optimization for parameter determination and feature selection of support vector machines[J]. Expert systems with applications, 2008, 35(4): 1817-1824.

[17]  Liu H, Li L, Hu J. WSNs intrusion detection algorithm based on CS-CPSO and SVM fusion[J]. Transducer and Microsystem Technologies, 2017, 36(9): 110-112.

[18]  Shang W, Zeng P, Wan M, et al. Intrusion detection algorithm based on OCSVM in industrial control system[J]. Security and Communication Networks, 2016, 9(10): 1040-1049.

[19]  Gauthama Raman M R, Somu N, Jagarapu S, et al. An efficient intrusion detection technique based on support vector machine and improved binary gravitational search algorithm[J]. Artificial Intelligence Review, 2020, 53(5): 3255-3286.

[20]  Kuang F, Zhang S, Jin Z, et al. A novel SVM by combining kernel principal component analysis and improved chaotic particle swarm optimization for intrusion detection[J]. Soft Computing, 2015, 19(5): 1187-1199.

[21]  Bamakan S M H, Wang H, Yingjie T, et al. An effective intrusion detection framework based on MCLP/SVM optimized by time-varying chaos particle swarm optimization[J]. Neurocomputing, 2016, 199: 90-102.

[22]  Ahmad I, Basheri M, Iqbal M J, et al. Performance comparison of support vector machine, random forest, and extreme learning machine for intrusion detection[J]. IEEE access, 2018, 6: 33789-33795.

[23]  Akusok A, Björk K M, Miche Y, et al. High-performance extreme learning machines: a complete toolbox for big data applications[J]. IEEE Access, 2015, 3: 1011-1025.

[24]  Ahila R, Sadasivam V, Manimala K. An integrated PSO for parameter determination and feature selection of ELM and its application in classification of power system disturbances[J]. Applied Soft Computing, 2015, 32: 23-37.

[25]  Ali M H, Fadlizolkipi M, Firdaus A, et al. A hybrid particle swarm optimization-extreme learning machine approach for intrusion detection system[C]//2018 IEEE Student Conference on Research and Development (SCOReD). IEEE, 2018: 1-4.

[26]  Ali M H, Al Mohammed B A D, Ismail A, et al. A new intrusion detection system based on fast learning network and particle swarm optimization[J]. IEEE Access, 2018, 6: 20255-20261.

[27]  Ahmed I. Enhancement of network attack classification using particle swarm optimization and multi-layer perceptron[J]. International Journal of Computer Application, 2016, 137(12): 18-22.

[28]  Hajimirzaei B, Navimipour N J. Intrusion detection for cloud computing using neural networks and artificial bee colony optimization algorithm[J]. ICT Express, 2019, 5(1): 56-59.

[29]  Benmessahel I, Xie K, Chellal M, et al. A new evolutionary neural networks based on intrusion detection systems using locust swarm optimization[J]. Evolutionary Intelligence, 2019, 12(2): 131-146.

[30]  M. H. Aghdam, N. Ghasem-Aghaee, and M. E. Basiri, “Application of ant colony optimization for fea-ture selection in text categorization,” in Proceedings of the IEEE Congress on Evolutionary Computation(CEC’08), pp. 2872–2878, 2008.

[31]  M. H. Aghdam, J. Tanha, A. R. Naghsh-Nilchi, and M. E. Basiri, “Combination of Ant Colony Optimiza-tion and Bayesian Classification for Feature Selection in a Bioinformatics Dataset,”Journal of Computer Science and System Biology, vol. 2, pp. 186–199, 2009.

[32]  Ambusaidi M A, He X, Nanda P, et al. Building an intrusion detection system using a filter-based feature selection algorithm[J]. IEEE transactions on computers, 2016, 65(10): 2986-2998.

[33]  Ahmad I. Feature selection using particle swarm optimization in intrusion detection[J]. International Journal of Distributed Sensor Networks, 2015, 11(10): 806954.

[34]  Tama B A, Rhee K H. A combination of PSO-based feature selection and tree-based classifiers ensemble for intrusion detection systems[M]//Advances in Computer Science and Ubiquitous Computing. Springer, Singapore, 2015: 489-495.

[35]  Aghdam M H, Kabiri P. Feature selection for intrusion detection system using ant colony optimization[J]. Int. J. Netw. Secur., 2016, 18(3): 420-432.

[36]  Peng H, Ying C, Tan S, et al. An improved feature selection algorithm based on ant colony optimization[J]. IEEE Access, 2018, 6: 69203-69209.

[37]  A. P. Engelbrecht, Fundamentals of Computational Swarm Intelligence, John Wiley & Sons, London,2005.

[38]  Tama B A, Rhee K H. HFSTE: Hybrid feature selections and tree-based classifiers ensemble for intrusion detection system[J]. IEICE TRANSACTIONS on Information and Systems, 2017, 100(8): 1729-1737.

[39]  Alzubi Q M, Anbar M, Alqattan Z N M, et al. Intrusion detection system based on a modified binary grey wolf optimisation[J]. Neural Computing and Applications, 2020, 32(10): 6125-6137.

[40]  Dwivedi S, Vardhan M, Tripathi S, et al. Implementation of adaptive scheme in evolutionary technique for anomaly-based intrusion detection[J]. Evolutionary Intelligence, 2020, 13(1): 103-117.

[41]  Alazzam H, Sharieh A, Sabri K E. A feature selection algorithm for intrusion detection system based on pigeon inspired optimizer[J]. Expert systems with applications, 2020, 148: 113249.

[42]  Zhou Y, Cheng G, Jiang S, et al. Building an efficient intrusion detection system based on feature selection and ensemble classifier[J]. Computer networks, 2020, 174: 107247.

[43]  沈焱萍基於群智慧演算法優化的入侵檢測模型研究[D].北京郵電大學,2021.DOI:10.26969/d.cnki.gbydu.2021.000021.