基于聚類方法的ＭＩＳ智能入侵檢測技術

摘要：該文對采用神經網絡實現的MIS智能入侵檢測技術進行了簡單介紹，并使用新的聚類方法來改善神經網絡，通過得到最佳的規則數降低了算法時間復雜度，簡化了神經網絡。從而優化了特征提取規則，提高了入侵檢測的效率和智能性。

關鍵詞：MIS智能入侵檢測；特征規則；模糊聚類

中圖分類號：TP183文獻標識碼：A文章編號：1009-3044(2008)24-1267-02

MIS Intelligent Intrusion Detection Technology Based on the Clustering Method

ZHANG Dong-liang， XIA Zhong-hua

(Qinghuangdao Institute of Technology，Qinhuangdao 066100，China)

Abstract: In this paper， there is a brief introduction to the MIS intelligent intrusion detection technologyby usingneural networks， and by use of the new cluster to improve the neural network， Rules adopted by the best time of the algorithm to reduce complexity and simplify the neural network. To optimize the feature extraction rules， improving the efficiency of the intrusion detection and intelligence.

Key words: MIS intelligent intrusion detection;characteristics of rules;fuzzy cluster

1 引言

入侵檢測（Intrusion Detection，ID）是指通過對行為、安全日志或審計數據或其它可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖[1]。它通過對計算機系統或網絡計算機系統中的若干 關鍵點收集信息并對其進行分析，從中發現系統或網絡中是否有違反安全策略的行為和被攻擊的跡象。

現有的入侵檢測系統多數采用概率統計、專家系統、神經網絡等智能化方法來實現系統的檢測機制。其中，神經網絡方法可以利用大量實例通過訓練 的方法構造正常行為模型，能夠有效預測未知的攻擊，并且它有自適應、自學習、自組織、并行性等優點，在攻擊類型上，則對非授權獲得超級用戶權限和遠程到本 地的非授權訪問的檢測效果顯著[2]。

本文使用新的聚類方法來改善神經網絡，通過得到最佳的規則數來降低算法時間復雜度，簡化神經網絡，使之進行有效的數據提取和學習，提高入侵檢測的效率和智能性。

2 MIS智能入侵檢測技術

MIS智能入侵檢測主要由四個主要模塊組成：

1) 數據采集：主要由SQLServer跟蹤日志給出，相當于事件產生器；2) 檢測單元：主要由神經網絡訓練出一個相對穩定的正常模型，用于檢測異常調用，相當于事件分析器[3]；3) 特征數據庫：主要利用誤用檢測的特點，實現快速檢測各種已知的異常調用，并直接反饋倒報警單元，相當于事件數據庫，其中特征數據庫與被監控數據庫分離存儲；4) 報警單元：主要是殺掉異常調用的客戶端進程，反饋給系統管理員并記錄到自定義日志文件，相當于響應單元。

主要流程是：首先通過采集的樣本數據經過訓練后形成檢測單元，建立相應特征數據庫并完成日志文件初始化工作；然后實時監測客戶端調用，將數據直接和特征數據庫進行匹配，如有匹配則送入報警單元，反之則送入檢測單元；檢測單元將數據作為輸入向量與正常模型比較，如果泛化輸出值大于期望值，則列為異常，直接送入誤用數據庫存儲，并通知報警單元，反之繼續監測各調用。

3 基于聚類方法的智能入侵檢測

3.1 數據采集

入侵檢測的關鍵是用戶行為特征的提取。本文主要利用SQLServer的事件探察器，建立新的跟蹤文件，針對TSQL、存儲過程、安全審核、會話等事件，選取 ObjectId， LoginName， CPU， Read， Write ClientProcessId， SPID 七個數據列作為輸入向量[4]。分別表示客戶端對數據庫表、存儲過程和視圖的調用；客戶數據庫登陸名；CPU占用時間；對數據庫的讀寫操作；客戶端進程號和系統 分配進程號。這七種數據在對數據庫的調用過程中相對穩定。LoginName中則主要考慮客戶端默認調用，采集到的數據都是十進制數據，不需要額外的數據預處理，符合神經網絡輸入的要求。

3.2 神經網絡學習

本文采用采用三層神經網絡[5]：輸入單元為七個，分別對應上述七個處理向量；輸出層為一個神經單元，輸出結果 規定在（0，1）范圍內，用0表示為正常行為，用1表示為異常行為；隱層結點通過試驗確定為6個；權值和閾值為小的隨機數；學習率為0.1；隱含層和輸出層采用Sigmoid函數f(x)=(1+e-x)－1為激發函數，該函數具有非線性放大功能，可以把輸入從負無窮大放大到正無窮 大的信號，變換到0到1之間的輸出，可以逼近非線性輸入/輸出關系。我們將七種特征向量作為神經網絡的輸入向量，訓練的結果就是確定了B網絡的權值，而 這些權值就存儲了行為的特征模式，將訓練后的神經網絡用于實際的工作，就可以判斷是否有異常的調用，如發現了新的非權限異常調用，則把檢測到的模式存儲到特征數據庫。

3.3利用新的聚類方法提取最佳規則數

此文通過求解最佳聚類數來得到最佳規則數，首先通過構造一個新的判別準則來進行模糊分類，確定樣本數據的最佳分類，從而確定最佳規則數。

可以看出，聚類判別準則Vp由2部分組成，第一部分反映了同一類中的緊湊程度。第ｋ個樣本Xk越接近模糊類中心，最大隸屬度max(uik)就越接近1。因此，對每一個樣本Xk來說，模糊集max(uik)被認為是一個好的分類指標，這個值越大，代表同一類的緊湊程度就越好。式(1)的第二部分體現了類與類之間的分離程度[4]。這里，用2個模糊集的交集來評價類Vi和Vj的分離程度。事實上，如果Xk接近類中心Vi，min(uik，ujk)接近于零，結果類Vi和Vj很明顯被分開。

另一方面，如果min(uik，ujk)接近于1/C，Ｘk屬于所有類的隸屬度相等，此時劃分的類最模糊。這個新的的判別準則Vp既考慮了同一類的緊湊程度，又考慮了類與類之間的分離程度。這樣相對于最大值Vp的聚類數C就是一個最佳聚類數[6]。

3.4 調整特征提取規則

經過神經網絡學習，得到了大量的特征提取規則，現在就要根據上文所得的最佳規則數來調整規則，使之達到最佳。規則的化簡是基于網絡權值來進行的。權值的初始值的大小代表了規則成功的概率；經過網絡進行訓練以后，這個概率或被增加或被減少。概率為零表示該條規則不再存在理應被去除[7-8]。1) 主要思想是將網絡權值為零或很接近于零的規則視為無效的規則而被去除[9]；2) 在具有同一前件的所有規則中，將取權值最大的規則保留，而將其余的規則去除；3) 為了保持規則的一致性，在矛盾的規則中取概率最大的規則是一種良好的選擇[10]。

3.5 實驗結果

MIS系統在正常運行一周內，從跟蹤文件中隨機選取了1000個樣本作為訓練樣本，500個樣本作為檢測樣本。利用聚類方法的神經網絡學習得到的規則數目由原來的35個減少到23個。改進前構建的正常行為模型80%以上的能夠檢測到未知的異常操作，誤用數據庫70%的可以快速檢測得到各種已知的異常調用。改進后構建的正常行為模型90%以上的能夠檢測到未知的異常操作；而誤用數據庫則98%的可以快速檢測得到各種已知的異常調用。

由結果可以得知，本文提出的方法，有效的提取了數據和神經網絡學習，提高入侵檢測的效率和智能性。

4 結論

本文介紹了神經網絡實現的MIS智能入侵檢測技術的簡單流程，采用了新的聚類方法來改善神經網絡，通過得到最佳的規則數來確定特征提取規則的界限，降低了算法時間復雜度，簡化了神經網絡。從而優化了特征提取規則，提高了入侵檢測的效率和智能性。

參考文獻：

[1] 劉美蘭，姚京松.神經網絡在入侵檢測系統中的應用[J].計算機工程與應用，1999，(6):37-42.

[2] 撖書良，蔣嶷川，張世永.基于神經網絡的高效智能入侵檢測系統[J].計算機工程與應用，2004，30(10):69-70.

[3] 陳瑾，羅敏，張煥國.入侵檢測技術概述[J].計算機工程與應用，2004，(2):133-136.

[4] 王士同，陳慧萍，趙躍華，等.人工智能教程[M].北京:電子工業出版社，2002

[5] Pal N R，Pal K，Keller J，et al.A Possibilistic Fuzzy c- Means Clustering Algorithm[J].IEEE Trans，Fuzzy Systems:in review，2004.

[6] Krisnapuram R，Frigui H，Nasroui O.Fuzzy and possibilistic shell clustering algorithms and their application to boundary detection and surface approximation[J].IEEE Trans，Fuzzy Systems，1995，3(1):29-60.

[7] Dave R N，Bhaswan K.Adaptive fuzzy c-shells clustering and detection of ellipses[J].IEEE Trans，on Neural Networks，1992，3(5):643-662.

[8] Timm C，Kruse R R.A modification to improve possibilistic fuzzy cluster analysis[C].Proceedings of the IEEE Int，Conf on Fuzzy Systems，Honululu，2002.

[9] 王士同.神經模糊系統及其應用[M].北京:北京航空航天大學出版社，2004.

[10] 趙振宇，徐用懋.模糊理論和神經網絡的基礎與應用[M].北京:清華大學出版社，2004.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。”