基于改进PSO的SVM算法在数据库入侵检测中的应用研究吴纪芸陈志德摘要摘要：随着数据库应用越来越广泛，数据库信息泄露和篡改事件逐渐显现出来，数据库安全问题备受关注。入侵检测能够主动发现数据库中的各种攻击行为，弥补传统安全技术的不足，但由于现阶段大部分入侵检测技术工作量巨大，因而未能智能地进行检测判断。基于该问题，提出一种基于改进PSO的SVM算法对数据库进行智能入侵检测，利用改进PSO算法对SVM算法的惩罚因子和核函数参数进行寻优，利用寻优后的SVM对数据库操作进行分类，判断其是否属于正常操作行为。关键词关键词：改进PSO；入侵检测；数据库安全；支持向量机DOIDOI：10.11907/rjdk.1431074：TP309.2：A：16727800（2015）0040134030引言随着数据库应用的逐渐普及，信息泄漏和信息篡改事件也逐渐显现出来，数据库安全问题备受关注。相关数据表明，仅2013年一年，CNVD就通报了将近136个数据库系统漏洞，占信息安全漏洞总数的1.8%[12]。2012年，中国发生多起数据库安全事件，大约50多个网站的上千万条数据从数据库中泄露[3]。入侵指任何试图危害资源完整性、可信度和可获取性的动作[4]。入侵检测指发现入侵行为的存在或出现的动作，即发现和记录数据库中未经授权的行为和异常活动[5]。当数据库操作行为与正常行为特征存在明显差异时，认为数据库受到入侵，则立即发出警告。入侵检测能够及时发现数据库的各种攻击行为并试图作出积极响应，弥补传统安全技术的不足。因此，入侵检测成为数据库安全领域研究的热点课题。入侵检测由JamesP.Anderson首次提出。1987年，Denning[6]首次阐述了入侵检测模型框架。1984年，他又实现了一个实时入侵检测系统模型[7]。1998年末和1999年初，麻省理工学院的林肯实验室在DARPA的资助下对开发的入侵检测系统进行了对比评价[8]。如何将入侵检测系统应用于数据库中已有相关研究，SinYeungLee等[9]于2002年提出了一种建筑学框架DIDAFIT，即通过指纹识别处理的数据库入侵检测模型。已有许多研究者提出数据库入侵检测系统模型，提出的模型能够按照预设定的规则，检测数据行为，并判断数据是否正常[1011]。但这些技术仍存在一些问题，因为数据库数据量很大，如果对数据进行逐项分析检测，将会大大增加不必要的工作量。针对这一点，本文利用智能优化算法进行数据库的入侵检测，以提高数据检测效率。本文利用改进的粒子群优化算法对支持向量机参数进行寻优，再用参数寻优后的支持向量机对数据库操作进行分类，判断其是否为正常行为。本文提出的改进粒子群优化算法能够适用于实际应用中，最优解能够适用于多约束条件，并重新激活失去全局或局部搜索能力的粒子。而对于支持向量机而言，将数据样本分成6类，即正常操作、口令入侵、特权提升、漏洞入侵、SQL注入、窃取备份，分别标记为1、2、3、4、5、6。其中除了正常操作外，其余5个都属于异常入侵行为。利用改进粒子群算法进行支持向量机参数寻优后，检测精确度有所提高，算法收敛速度也相应提升。1改进PSO的SVM算法及其应用数据库入侵检测实际上是多分类问题，支持向量机（SVM）已经成功运用于入侵检测中，但是分类性能与支持向量机的参数息息相关。而粒子群优化（PSO）算法作为一种智能优化算法，具有良好的全局寻优能力。但传统的粒子群优化算法不能够很好地适应实际应用环境，因此，运用改进的粒子群优化算法选择支持向量机参数，并利用参数优化后的分类算法检测入侵操作。1.2改进的PSO算法与传统粒子群优化算法相比较，本文算法有两大突出改进之处：①最优解受多项约束条件限制。例如，加大惩罚参数能使得训练分类模型的准确率提高，但过高的惩罚参数会造成过学习状态，只要不满足约束条件的解，无论其适应度函数值如何都不予以接受，必须将其作适当修改；②在进化过程中粒子群的多样性可能丢失。在进化过程中即使位置非常接近gBest但速度趋近于0时，代表该粒子失去全局或局部搜索能力，即成为不活动粒子。失去全局搜索能力的粒子只能在一个很小的空间内“飞行”，而失去局部搜索能力的粒子在进化过程中对其适应值不产生影响[14]。因此，对于速度趋近于0的粒子应重新进行初始化。改进的粒...