基于ＴＳＫ模糊控制系統的網絡異常檢測

摘要：在網絡異常檢測中，為了提高對異常狀態的檢測率，降低對正常狀態的誤判率，該文提出利用TSK模糊控制系統進行網絡異常檢測的新方法。在對TSK模糊控制系統的訓練中采取梯度下降算法，充分發揮梯度下降局部細致搜索優勢。實驗數據采用KDD CUP99數據集，實驗結果表明，基于梯度下降的模糊控制系統提高了異常檢測的準確性。

關鍵詞：模糊控制系統；梯度下降；TSK；網絡異常檢測

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2008)24-1275-03

Network Anomaly Detection with TSK Fuzzy Inference System

ZHAO Wei

(Wuxi Institute of Commerce，Wuxi 214153，China)

Abstract:In order to improve the detection rate for anomaly state and reduce the 1 positive rate for normal state in the network anomaly detection， a novel method of network anomaly detection based on TSK Fuzzy inference system(TSK-FIS) was proposed. The TSK-FIS was trained by the algorithm which is based on gradient descent(GD). The model makes full use of local accurate searching of GD. The well-known KDD Cup 1999 Intrusion Detection Data Set was used as the experimental data. Experimental result on KDD 99 intrusion detection datasets shows that this learning algorithm has better global convergence ability and the accuracy of anomaly detection is enhanced.

Key words: fuzzy inference system(FIS);gradient descent (GD);takagi-sugeno-kang(TSK);network anomaly detection

1 引言

近幾年來，隨著Internet的不斷發展，帶來了許多復雜難以解決的問題，網絡安全信息全成為人們日益關注的問題。為了給用戶提供安全可靠的網絡服務，入侵檢測 系統被廣泛應用。目前入侵檢測的方法主要有兩種，即誤用檢測和異常檢測。異常檢測是假設入侵者的行為在某種程度上與正常行為有所不同，用網絡及系統的某些特性參數和閾值來定義正常行為和系統的正常輪廓。然后用暫態輪廓與正常輪廓進行比較，若超出某種程度的差異，即確定為異常。因此，檢測異常和入侵實質上就是檢測這些特性參數與正常狀態值的背離程度。

由于所得的數學模型常常存在比較嚴重的非線性、時變性和不確定性，給辨識和檢測帶來了較大的困難。針對這個問題，需要利用軟測量、故障診斷、專家系統等智能監控來完成網絡異常的檢測和網絡狀態的監測。本文提出一種利用TSK模糊系統建立網絡流量監測模型，利用檢測到的大量數據對其進行異常檢測。建立了基于TSK模糊控制系統對網絡異常檢測模型，并把這一方法用于網絡異常檢測的系統中。實驗結果表明該系統能提高負荷預測的精度。

2 模糊邏輯系統簡述

2.1 模糊邏輯系統

一般而言，模糊邏輯系統是指那些與模糊概念和模糊邏輯有直接關系的系統。他又模糊產生器、模糊規則庫、模糊推理機和反模糊化四部分組成。其中產生器將論語U上的點一一映射為U上的模糊集合；反模糊化器論域V上的模糊集合一一映射為V上的確定點；模糊推理機根據模糊規則庫中的模糊推理知識以及由模糊產生器產生的模糊集合，推理出模糊結論，亦及論域V上的模糊集，并將其輸入到反模糊化器中。

模糊邏輯系統具有許多及其重要的優點：1)由于輸入、輸出均為實性變量，故特別適用于工程應用系統；2)它提供了一種描述專家組織的模糊“if-then”規則的一般形式。3)模糊產生器和反模糊器的選擇有很大的自由度，可通過學習的方法，建立合理的模糊邏輯系統，以解決工程的實際問題。

2.2 TSK模糊控制邏輯系統

TSK(Takagi-Sugeno-Kang)[Takagi and Sugeno1985， Sugeno and Kang 1988]模糊系統 是著名的模糊邏輯系統之一，具有很好的非線性逼近能力，特別適合于用來建模。

在TSK模糊系統中，用以下的“If-then”規則來定義模糊系統的規則：

Ri : Ifx1 is A1i， x2 is A2i， … ， xd is Adi，thenyi=p0i + p1ix1+ … +pdixd

式中Aji為模糊集，Pji為真值參數，yi為系統根據規則所得的輸出，i=1，2，…，m ， m為規則數。也就是說，TSK模糊系統中If部分是模糊的，但其then部分是確定的，即輸出為各輸入變量的線形組合。對于一個真值輸入向量x =(x1，…，xd)來講，TSK模糊系統的輸出y(x)等于yi的加權平均：

式中加權系數wi包括了規則Ri作用于輸入所取得的所有真值，wi的計算公式如下：

3 TSK模糊控制系統建模算法

下面具體地介紹TSK模糊系統的構造算法：

1) 用聚類算法對輸入樣本數據集進行聚類，確定聚類中心ci=(c1i，c2i，…，cdi， i=1，2，…，m 。m是類的個數。

2) 據聚類結果構造初始化TSK模糊系統：

Ri : Ifx1 is A1i， x2 is A2i， … ， xd is Adi，

then

yi =p0i + p1ix1+ … +pdixd

這里x=( x1 ，x2 ，…，xn )是輸入變量，Aji ( i = 1，2，…，m)是x 在前提部分的模糊集，yi是結論部分的輸出實數值。yi是輸入變量的線形組合，前提部分的模糊集Aji由以下的函數定義：

δij是隸屬函數的寬度，它能通過設置最遠點xj*的隸屬度α來估計。

由Aji(xj*)=α可得

3) 利用梯度學習算法對初始化模糊規則進行訓練，調整模糊系統前提和結論部分的參數值。

定義誤差函數

ytd為期望輸出，yt為模糊系統輸出，則根據梯度法有：

4) 梯度算法學習直到E<ξ（ξ為設置的允許最大誤差）或k到達設定的最大訓練次數則算法停止執行。

4 實驗分析

實驗中數據采用KDD CUP99數據集 。KDD CUP99數據集中包含5000000個連接記錄，其中共包含四類攻擊方式，即為Probing， DOS， U2R， R2L等。將10%的KDD CUP99數據集中的數據作為小波神經網絡的訓練樣本，這個訓練樣本數據中共包含22種不同的攻擊方式，494021個連接記錄，其中有97278個正常的連接記錄，每個連接記錄都有41個不同的屬性；而測試樣本數據中包含311029個連接記錄，37種不同的攻擊方式，其中有17種新的攻擊方式是在訓練樣本中沒有。

以網絡異常檢測為研究對象，建立TSK模糊控制系統的軟測量模型。對網絡異常檢測的結果如表1，圖1。

由表1可以看出通過多次實驗，TSK模糊控制系統對網絡異常檢測有較高的檢測精度，同時對正常狀態的檢測率也相對較低。圖1中，由TSK模糊控制系統對網絡異常檢測過程中的收斂曲線可以看出TSK模糊控制系統對在網絡異常檢測過程中是逐漸收斂的，在進行2500次迭代后，收斂曲線幾乎達到了收斂點。通過實驗可得，TSK模糊控制系統對網絡異常檢測是可行的。

5 小結

本文提出一種基于TSK模糊控制系統進行網絡異常檢測的方法。通過對KDD99數據集進行實驗證明，該方法的網絡異常檢測有良好的檢測率，同時有相對較低的誤判率。可見，該方法是行之有效的。雖然可將TSK模糊控制系統用于網絡異常檢測，但這個控制系統仍可用于其他的實際應用之中，今后的將進一步推廣TSK模糊控制系統的實際應用。

參考文獻:

[1] Anderson J P.Computer Security Threat Monitoring and Surveillance.Technical Report，Fort Washington，PA (1980).

[2] Derar H， Dacier M， Wepspia. revised A .taxonomy for intrusion detection systems[R].Computer Science/Mathematics，BM Research，Zurich Research Laboratory，Switzerland，1999.

[3] 張明廉，楊亞煒.作為通用逼近子的模糊系統及其逼近性質[J].北京航空航天大學學報，1999，25(3):268-271.

[4] KDD Cup 1999 Data.[EB/OL][1999].http://kdd.ics.uci.edu/databases/kddcup.html.

[5] 鄧建軍，徐立鴻，吳啟迪.單輸入單輸出模糊系統的自適應學習方法[J].微型電腦應用，2001，17(7):19-21.

[6] Beng Y H，Yoo C K and Lee IB.Non-linear PLC modeling with fuzzy inference system[J].Chemo Mtrics and Intelligent Laboratory System，2002，(46):137-155.

[7] JSR，Sun，CT，Mizutani E. Neuron-Fuzzy and Soft Computing. Upper Saddle River，NJ， USA: Prentice Hall，2000.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。”