最小差異度聚類在異常入侵檢測中的應用

摘要：重點研究了異常入侵檢測系統模型。針對現有模型中存在的對訓練數據要求高、誤報率高等問題，提出了一種基于最小差異度聚類的入侵檢測方法。該方法將區間標量、序數變量、二元變量標稱變量類型的屬性映射到區間[0，1]上，計算每個數據對象之間以及與各個簇的差異度，很好地解決了異常入侵。

關鍵詞：網絡安全；入侵檢測；聚類分析；差異度

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)27-2049-02

The Smallest Difference Cluster Exceptionally Is Invading In The Examination Application

ZHENG Guan-zhen， XU Hui-zeng

(Dongying Vocational College， Dongying 257091， China)

Abstract: Studied with emphasis exceptionally has invaded the examination system model. Exists in view of the existing model to trains the data demand to be high， the rate of 1 alarm higher question， proposed one kind based on the smallest difference cluster invasion examination method. This method the sector scalar， the ordinal number variable， the dual variable nominal variable type's attribute maps on sector [0，1]， calculates between each data object as well as with each bunch of difference， has solved exceptionally the invasion well.

Key words: network security; invasion examination; cluster analysis; difference

隨著計算機和網絡技術應用的普及和發展，計算機系統安全越來越受到人們的重視。安全計算機系統是基于計算機機密性、完整性和可用性的實現[1]。傳統計算機系統的安全是通過設計一定的安全策略，即通過身份認證、訪問控制和審計等技術來保護計算機系統免遭入侵[2]。但是越來越多的攻擊者利用各種漏洞實施攻擊，通過監控特權進程的系統調用進行攻擊，如系統服務、setuid程序等[3]。這些應用程序由于具有特殊權限，可以訪問特殊資源，攻擊者利用它們可以實現其破壞或控制系統的目標。

針對網絡中的各種安全威脅，產生了許多關于網絡安全的技術。主要有以下幾類：主機安全技術、身份認證技術、訪問控制技術、加密技術、防火墻技術、安全審計技術、安全管理技術和入侵檢測技術等。入侵檢測是一種比較新興的網絡安全技術。入侵檢測系統主要是采用誤用檢測技術，如模式匹配、協議分析、狀態轉換分析。這些方法均只能準確地檢測已知的入侵行為，并不能檢測未知的入侵行為，具有局限性，所以在入侵檢測中引入聚類分析。聚類分析[4]是將一組數據對象通過計算它們屬性之間的綜合差別，將差別較小的對象放在一個簇中。如果網絡中的入侵行為與合法行為存在一定的差異，那么采用聚類的方法就可以將網絡中的入侵行為聚集為一簇，從而發現入侵行為。

1 異常入侵檢測系統模型

1.1 入侵檢測

ID就是對入侵行為的發現[4]。入侵檢測是基于兩個基本假設，即用戶和程序的行為是可見的；正常行為與入侵行為是可區分的。它通過收集并分析計算機網絡或計算機系統中的若干關鍵點信息，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊過的跡象。因此入侵檢測具有事前預警和事后發覺的功能。這種技術可以大大提高了網絡系統的安全。

入侵檢測主要包括數據采集、數據分析和響應三個部分。

1.2 異常入侵檢測系統模型

異常入侵檢測技術識別主機或網絡中異常的或不尋常行為。它假設攻擊與正常的活動有很大的差別。異常檢測首先收集一段時間操作活動的歷史數據；再建立代表主機、用戶或網絡連接的正常行為描述；然后收集事件數據并使用一些不同的方法來決定所檢測到的事件是否偏離了正常行為模式，從而判斷是否發生了入侵行為。

異常入侵檢測是通過已知來推導未知的技術。目前常用的方法主要是概率統計、神經網絡、數據挖掘中的分類和聚類方法以及人工免疫等。

1.2.1 網絡連接記錄的數據結構

通過分析會發現黑客在重新控制目標主機之前，均要與目標主機建立連接。對此，本文提出通過對網絡的連接記錄進行監測建立入侵檢測系統。其目的是為了發現網絡中異常的連接記錄。

1.2.2 數據采集模塊設計

對入侵檢測系統來說[5]，數據采集是系統正常工作的基礎。對于網絡入侵檢測系統，網絡數據截獲模塊就是實現網絡入侵檢測系統高效工作的基礎。在設計整個入侵檢測系統時，必須要有一種好的數據包捕獲機制來保證網絡數據截獲模塊工作穩定可靠，防止漏包，為整個入侵檢測模塊穩定可靠地提供數據，

1.2.3 系統總體設計

遵循入侵檢測系統的標準流程，即數據收集、數據分析、結果處理的流程對網絡數據包進行分析處理。筆者提出基于數據挖掘的異常模式入侵檢測系統。檢測系統主要由以下四個部分組成，即數據采集、數據分析、結果處理和用戶界面。

2 最小差異度的聚類算法

2.1 差異度相關定義

很多聚類算法只考慮元素與類之間的距離，而沒有考慮類大小產生的影響。通過區間標量[6]、序數變量和二元變量標稱變量類型的屬性映射到區間[0，1]上，然后再對所有屬性計算差異度并按最小差異度進行聚類，這就使得所有屬性的差異度在概念上是一致的[7]。

基于最小差異度聚類的入侵檢測方法對所有攻擊的檢測率較高，對于DoS攻擊的檢測率最高，對于PROBE攻擊檢測率也是一般；而對于U2R和R2L的檢測率卻較低。此外，誤報率FR和發現未見攻擊類型的檢測率一般，說明該入侵檢測方法已經具有了發現未知入侵行為的能力。

2.2 基于最小差異度聚類的入侵檢測方法

聚類的入侵檢測方法就是假設網絡中的入侵行為是可以區分的， 而且通過聚類能將具有入侵企圖的數據劃分為單獨的類， 從而將合法行為與非法行為區分開來。最小差異度的聚類

方法就是先計算每個對象與已有類的差異度; 然后將該對象賦予與它差異度最小的類， 就得到了一種新的基于最小差異度聚類的入侵檢測方法。通過對訓練集進行聚類， 得到一系列不同大小的類。本文根據類的特征值CF( Ci) 大小對類作標志并進行排序， 然后按一定比例將類劃分為合法類和非法類。在入侵檢測的過程中， 計算新收到的數據對象與已有的類的差異度， 利用最小差異度的聚類。如果新的數據對象被劃入非法的類中， 則判定為入侵行為; 反之則為合法行為。

3 最小差異度聚類實現異常入侵檢測模型

3.1 測試環境

本次測試是對入侵檢測的模塊進行測試。測試數據來自KDD Cup1999 數據集， 因此在單機上就可以進行， 不需要網絡

環境。單機采用個人電腦， 基本配置如下:

硬件環境 CPU為Intel( R) Celeron( R) CPU2. 13 GHz， 內存為512 MB。

軟件環境 操作系統Windows XP SP2， 數據庫SQL Server2000。

3.2 測試數據準備

本次測試使用的數據為KDD Cup1999 數據集。該數據集是模擬局域網上采集來的9 個星期的網絡連接數據， 包含了約4 900 000條模擬攻擊記錄， 總共22 種攻擊， 分為DoS、R2L、U2R、PROBE 四大類。每條記錄由41 個特征刻畫， 其中包括7個分類特征和34 個數值型特征。

3.3 測試結果

基于最小差異度聚類的入侵檢測方法對所有攻擊的檢測率較高， 達到了75.57% ～79.11%，效果一般; 對于DoS攻擊的檢測率最高，達到了87.21% ～91.37% ;對于PROBE 攻擊檢測率也是一般；而對于U2R 和R2L 的檢測率卻較低。此外，誤報率FR和發現未見攻擊類型的檢測率一般，分別達到了8.02% ～13.65% 和1.21% ～39.54% ， 但還是說明該入侵檢測方法已經具有了發現未知入侵行為的能力。

4 結束語

異常檢測是IDS研究中重要而比較困難的領域。本文研究了異常入侵檢測系統模型，并對模型進行了分析，提出了最小差異度聚類實現異常入侵檢測模型的方法，通過算法進行實現，并采用了KDD Cup1999數據集。數據運行表明，所提出的模型的算法是合理而有效的。

參考文獻：

[1] 隆益民.網絡入侵及檢測[J].計算機工程與科學，2001，37(1):27-30.

[2] 黃錦，李家濱.防火墻日志信息的入侵檢測研究[J].計算機工程，2001，26(9):115－117.

[3] 蘇瑜睿，馮登國.基于非層次聚類的異常檢測模型[C]//中國計算機大會論文集.北京:清華大學出版社，2005.

[4] HAN Jia-wei， KAMBER M.數據挖掘概念與技術[M].范明，孟小峰，譯.北京:機械工業出版社，2001:222-224.

[5] 李波.基于數據挖掘的異常模式入侵檢測研究[D].沈陽:東北大學，2005.

[6] 張彬，胡茜.入侵檢測概念、過程分析和部署[J].數據通信，2004，(12):45-48.

[7] 賀躍，鄭建軍，朱蕾.一種基于熵的連續屬性離散算法[J].計算機應用，2005，25(3):637-638.

[8] 蔣盛益，李慶華.基于引力的入侵檢測方法[J].系統仿真學報，2005，17(9):2202-2206.

[10] 嚴曉光，褚學征.聚類在網絡入侵的異常檢測中的應用[J].計算機系統應用，2005，(10):78-80.

[11] 伊勝偉，劉旸，魏紅芳.基于數據挖掘的入侵檢測系統智能結構模型[J].計算機工程與設計，2005，26(29):2464-2466，2472.

[12] WARRENDER C， FORREST S， PEARLMUTTER B. Detecting intrusions using system calls alternative data models[C]//Proc of IEEE Symposium on Security and Privacy. Oakland: IEEE Computer Society，1999:133－145.

[13] 楊風召，朱揚勇，施伯樂.IncLOF:動態環境下局部異常的增量挖掘算法[J].計算機研究與發展，2004，41(3):477-484.