最小差異度聚類在異常入侵檢測中的應(yīng)用

摘要：重點研究了異常入侵檢測系統(tǒng)模型。針對現(xiàn)有模型中存在的對訓(xùn)練數(shù)據(jù)要求高、誤報率高等問題，提出了一種基于最小差異度聚類的入侵檢測方法。該方法將區(qū)間標量、序數(shù)變量、二元變量標稱變量類型的屬性映射到區(qū)間[0，1]上，計算每個數(shù)據(jù)對象之間以及與各個簇的差異度，很好地解決了異常入侵。在檢測已知入侵方面，模型也有不俗表現(xiàn)。

關(guān)鍵詞：網(wǎng)絡(luò)安全； 入侵檢測； 聚類分析； 差異度

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001-3695(2007)12-0193-03

隨著計算機和網(wǎng)絡(luò)技術(shù)應(yīng)用的普及和發(fā)展，計算機系統(tǒng)安全越來越受到人們的重視。安全計算機系統(tǒng)是基于計算機機密性、完整性和可用性的實現(xiàn)^[1]。傳統(tǒng)計算機系統(tǒng)的安全是通過設(shè)計一定的安全策略，即通過身份認證、訪問控制和審計等技術(shù)來保護計算機系統(tǒng)免遭入侵^[2]。但是越來越多的攻擊者利用各種漏洞實施攻擊，通過監(jiān)控特權(quán)進程的系統(tǒng)調(diào)用進行攻擊，如系統(tǒng)服務(wù)、setuid程序等^[3]。這些應(yīng)用程序由于具有特殊權(quán)限，可以訪問特殊資源，攻擊者利用它們可以實現(xiàn)其破壞或控制系統(tǒng)的目標。

針對網(wǎng)絡(luò)中的各種安全威脅，產(chǎn)生了許多關(guān)于網(wǎng)絡(luò)安全的技術(shù)。主要有以下幾類：主機安全技術(shù)、身份認證技術(shù)、訪問控制技術(shù)、加密技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)和入侵檢測技術(shù)等。入侵檢測是一種比較新興的網(wǎng)絡(luò)安全技術(shù)。它是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。正因為如此，入侵檢測可以為網(wǎng)絡(luò)提供立體縱深、多層次的安全防御，可以實現(xiàn)防患于未然。

入侵檢測系統(tǒng)主要是采用誤用檢測技術(shù)，如模式匹配、協(xié)議分析、狀態(tài)轉(zhuǎn)換分析。這些方法均只能準確地檢測已知的入侵行為，并不能檢測未知的入侵行為，具有局限性，所以在入侵檢測中引入聚類分析。聚類分析^[4]是將一組數(shù)據(jù)對象通過計算它們屬性之間的綜合差別，將差別較小的對象放在一個簇中。如果網(wǎng)絡(luò)中的入侵行為與合法行為存在一定的差異，那么采用聚類的方法就可以將網(wǎng)絡(luò)中的入侵行為聚集為一簇，從而發(fā)現(xiàn)入侵行為。

1異常入侵檢測系統(tǒng)模型

1．1入侵檢測

ID就是對入侵行為的發(fā)現(xiàn)^[4]。入侵檢測是基于兩個基本假設(shè)，即用戶和程序的行為是可見的；正常行為與入侵行為是可區(qū)分的。它通過收集并分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點信息，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊過的跡象。因此入侵檢測具有事前預(yù)警和事后發(fā)覺的功能。這種技術(shù)可以大大提高了網(wǎng)絡(luò)系統(tǒng)的安全。

如圖1所示，入侵檢測主要包括數(shù)據(jù)采集、數(shù)據(jù)分析和響應(yīng)三個部分。

1．2異常入侵檢測系統(tǒng)模型

異常入侵檢測技術(shù)識別主機或網(wǎng)絡(luò)中異常的或不尋常行為。它假設(shè)攻擊與正常的活動有很大的差別。異常檢測首先收集一段時間操作活動的歷史數(shù)據(jù)；再建立代表主機、用戶或網(wǎng)絡(luò)連接的正常行為描述；然后收集事件數(shù)據(jù)并使用一些不同的方法來決定所檢測到的事件是否偏離了正常行為模式，從而判斷是否發(fā)生了入侵行為。

異常入侵檢測是通過已知來推導(dǎo)未知的技術(shù)。目前常用的方法主要是概率統(tǒng)計、神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘中的分類和聚類方法以及人工免疫等。

1．2．1網(wǎng)絡(luò)連接記錄的數(shù)據(jù)結(jié)構(gòu)

通過分析會發(fā)現(xiàn)黑客在重新控制目標主機之前，均要與目標主機建立連接。對此，本文提出通過對網(wǎng)絡(luò)的連接記錄進行監(jiān)測建立入侵檢測系統(tǒng)。其目的是為了發(fā)現(xiàn)網(wǎng)絡(luò)中異常的連接記錄。筆者選擇用于表示網(wǎng)絡(luò)連接記錄的結(jié)構(gòu)如表1所示。

1．2．2數(shù)據(jù)采集模塊設(shè)計

對入侵檢測系統(tǒng)來說^[5]，數(shù)據(jù)采集是系統(tǒng)正常工作的基礎(chǔ)。對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，網(wǎng)絡(luò)數(shù)據(jù)截獲模塊就是實現(xiàn)網(wǎng)絡(luò)入侵檢測系統(tǒng)高效工作的基礎(chǔ)。在設(shè)計整個入侵檢測系統(tǒng)時，必須要有一種好的數(shù)據(jù)包捕獲機制來保證網(wǎng)絡(luò)數(shù)據(jù)截獲模塊工作穩(wěn)定可靠，防止漏包，為整個入侵檢測模塊穩(wěn)定可靠地提供數(shù)據(jù)，如圖2所示。

1．2．3系統(tǒng)總體設(shè)計

遵循入侵檢測系統(tǒng)的標準流程，即數(shù)據(jù)收集、數(shù)據(jù)分析、結(jié)果處理的流程對網(wǎng)絡(luò)數(shù)據(jù)包進行分析處理。筆者提出基于數(shù)據(jù)挖掘的異常模式入侵檢測系統(tǒng)。檢測系統(tǒng)（圖3）主要由以下四個部分組成，即數(shù)據(jù)采集、數(shù)據(jù)分析、結(jié)果處理和用戶界面。

2最小差異度的聚類算法

2．1差異度相關(guān)定義

很多聚類算法只考慮元素與類之間的距離，而沒有考慮類大小產(chǎn)生的影響。通過區(qū)間標量^[6]、序數(shù)變量和二元變量標稱變量類型的屬性映射到區(qū)間[0，1]上，然后再對所有屬性計算差異度并按最小差異度進行聚類，這就使得所有屬性的差異度在概念上是一致的^[7]。

從表2中可以看出，基于最小差異度聚類的入侵檢測方法對所有攻擊的檢測率較高，達到了75．57%~79．11%，效果一般；對于DoS攻擊的檢測率最高，達到了87．21%~91．37%；對于PROBE攻擊檢測率也是一般；而對于U2R和R2L的檢測率卻較低。此外，誤報率FR和發(fā)現(xiàn)未見攻擊類型的檢測率一般，分別達到了8．02%~13．65%和1．21%~39．54%，但還是說明該入侵檢測方法已經(jīng)具有了發(fā)現(xiàn)未知入侵行為的能力。

4結(jié)束語

異常檢測是IDS研究中重要而比較困難的領(lǐng)域。本文研究了異常入侵檢測系統(tǒng)模型，并對模型進行了分析，提出了最小差異度聚類實現(xiàn)異常入侵檢測模型的方法，通過算法進行實現(xiàn)，并采用了KDD Cup1999數(shù)據(jù)集。數(shù)據(jù)運行表明，所提出的模型的算法是合理而有效的。

參考文獻：

[1]隆益民.網(wǎng)絡(luò)入侵及檢測[J].計算機工程與科學(xué)，2001，37(1):27-30.

[2]黃錦，李家濱.防火墻日志信息的入侵檢測研究[J].計算機工程，2001，26(9):115－117.

[3]蘇瑜睿，馮登國.基于非層次聚類的異常檢測模型[C]//中國計算機大會論文集.北京:清華大學(xué)出版社，2005.

[4]HAN Jia－wei， KAMBER M.數(shù)據(jù)挖掘概念與技術(shù)[M].范明，孟小峰，等譯.北京:機械工業(yè)出版社，2001:222-224.

[5]李波.基于數(shù)據(jù)挖掘的異常模式入侵檢測研究[D].沈陽:東北大學(xué)，2005.

[6]張彬，胡茜.入侵檢測概念、過程分析和部署[J].數(shù)據(jù)通信，2004(12):45-48.

[7]賀躍，鄭建軍，朱蕾.一種基于熵的連續(xù)屬性離散算法[J].計算機應(yīng)用，2005，25(3):637-638.

[8]蔣盛益，李慶華.基于引力的入侵檢測方法[J].系統(tǒng)仿真學(xué)報，2005，17(9):2202-2206.

[9]嚴曉光，褚學(xué)征.聚類在網(wǎng)絡(luò)入侵的異常檢測中的應(yīng)用[J].計算機系統(tǒng)應(yīng)用，2005(10):78-80.

[10]GANTI G J， RAMAKRISHNAN R. CACTUS: clustering categorical data using summaries[C]//Proc of Int Conf Knowledge Discovery and Data Mining. New York: ACM Press， 1999:73-83.

[11]HUANG Zheng－xue. Extensions to the K－means algorithm for clustering large data sets with categorical values[J].Data Mining and Knowledge Discovery， 1998，2:283-304.

[12]伊勝偉，劉旸，魏紅芳.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)智能結(jié)構(gòu)模型[J].計算機工程與設(shè)計，2005，26(29):2464-2466，2472.

[13]WARRENDER C， FORREST S， PEARLMUTTER B. Detecting intrusions using system calls alternative data models[C]//Proc of IEEE Symposium on Security and Privacy. Oakland: IEEE Computer Society， 1999:133－145.

[14]楊風(fēng)召，朱揚勇，施伯樂.IncLOF:動態(tài)環(huán)境下局部異常的增量挖掘算法[J].計算機研究與發(fā)展，2004，41(3):477-484.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文”