一種新型的無線網絡入侵檢測方法-動態自適應模板法

靳旭玲 余桂賢 徐亞飛 李光平 薛陽

1 北京建筑工程學院理學院 北京 100044

2 北京兆方投資控股股份有限公司 北京 100028

3 安徽省皖北煤電集團錢營孜煤礦 安徽 234000

4 北京政法職業學院 北京 102600

0 前言

無線網絡給我們的生活工作帶來了極大的方便，人們在利用無線網絡實現信息共享和信息交流的同時，無線網絡入侵(入侵是指任何試圖危害系統資源的完整性、保密性和可用性的行為或活動)也給我們帶來了很大的麻煩，為了保證無線網絡的機密性、完整性和可用性，人們正在研發無線網絡入侵檢測系統(Intrusion Detection system, IDS)。入侵檢測系統是一個試圖檢測到針對一個系統或者無線網絡的入侵并發出警報的系統。它是一項復雜的工程。入侵檢測系統檢測入侵者一般包括四個步驟：①數據收集；②特征提取；③入侵者識別；④報告和反應。

入侵者識別是根據經過提取的特征來判斷當前的行為是不是入侵。這種判斷方法可分為兩大類：“異常檢測”和“誤用檢測”。誤用檢測方法是假定所有入侵行為和手段(及其變種)都能過表達為一種模式或特征，系統地目標就是檢測主體活動是否符合這些模式。異常檢測方法是首先建立目標系統及其用戶的正常活動模型，然后基于這個模型對系統和用戶的實際活動進行審計，當主體活動違反其統計規律時，則將其視為可疑行為，認為主體活動(例如一個程序)有可能是一個入侵者。由此可見在這兩大類方法中，關鍵是如何和那些已建立的“模式或模型”進行比較。這種比較方法可分為兩大類。一類是建立一些規則進行比較識別，其缺點是只能識別已知類型的入侵者，但不能識別未知入侵者；另一類則是基于模式識別的方法，例如，聚類分析算法。但是，一般的聚類分析結束后，需要人工確定每類代表的含義。本文在分類之前，預先選定一些已知入侵者的模板，把這些模板加入到待分類識別的樣本(入侵者)中去，然后，用聚類分析方法把已知模板和待識別的程序(入侵者或正常程序)一起分類。當分類結束后，根據模板所在的類，就可知道該類是屬于哪個模板類(入侵者類型或正常程序)。這樣可省去一般分類方法分類結束后，還需人工識別的麻煩，提高了分類的自動化程度。同時，本文研究了一種新的分類方法----動態自適應模板方法，在分類的同時，也可分出與已知模板(入侵者類型或正常程序)不同的新類(未知或新的入侵者)。最后，用訓練好的動態自適應模板方法識別新型入侵者。實驗表明用該方法檢測無線網絡系統中的新型入侵者的準確率可達到98%。

下面對該方法給以比較詳細的介紹。

1 動態自適應模板方法

動態自適應模板方法可以自動完成分類識別入侵者，也可以加入一些試探性步驟和人機交互功能，能自動地進行類的合并和分裂，能吸取中間結果所得到的經驗，主要時在迭代過程中可將一類一分為二，亦可能二類合二為一，從而得到類數較合理的聚類結果。這種算法已具有啟發式的特點。

下面我們給出動態自適應模板方法：

(1) 動態自適應模板方法的步驟，其基本步驟為：

① 選擇某些初始值—可選不同指標，也可在迭代運算過程中人為修改，以將N個模式樣本按指標分配到各個聚類中心去。

② 計算各類中諸樣本的距離函數等指標。

③～⑤按給定的要求，將前一次獲得的聚類集進行分裂和合并處理(④為分裂處理，⑤為合并處理)，以獲得新的聚類中心。

⑥ 再次迭代運算，重新計算各項指標，判別聚類結果是否符合要求，經過多次迭代運算后，如結果收斂，運算結束。

(2) ISODATA算法的具體步驟：

已 知樣本集為{x1，x2，...，xN}，將 N 個模式樣本{x1，x2，...，xN}讀入。

預選Nc個初始聚類中心它可以不必等于所要求的聚類中心的數目，其初始位置亦可從樣本中任選一些代入。

第一步：規定下列控制參數：

預選：K=期望得到的聚類數，也即預期的聚類中心數目；

QN=一個聚類中的最少樣本數，即如少于此數就不作為一個獨立的聚類；

Qs=一個聚類域中樣本距離分布的標準偏差參數；

Qc=合并參數；

L=每次迭代允許合并的最大聚類對數；I=允許迭代的次數。

設初始的聚類數c和初始的聚類中心wi，i=1,2,...,c。

第三步：若有任何一個Ri，其基數Ni＜QN，則舍去Ri，并令c=c-1。

計算更新的均值向量。式中Ni是第 I個聚類的樣本數目(基數)。

第五步：計算Ri中的所有樣本距其相應的聚類中心wi的平均距離

第六步：計算所有樣本距離其相應的聚類中心的平均距離：

第七步：(a)若這是最后一次迭代(由參數 I確定)，則置θc=0，轉下面第十一步；

(c) 若是偶數次迭代，或若是c≥2K，則轉第(11)步。否則，往下進行。

第八步：對每一個聚類Ri，用下列公式求標準差

第九步：對每一個聚類，求出具有最大標準偏差的分量

σimax，i=1,2,...,c。

第十步：若對任一個 σimax，i=1,2,...,c，存在 σimax＞ θ ，并且有：

則把Ri分裂成兩個聚類，其中心相應為和，把原來的wi取消，且令c=c+1。和的計算如下：

給定一個α值，0<α≤1，令ri=σimax，則和的距離不同，但又應使Ri中的樣本仍然在這兩個新的集合中。

第十一步：對于所有的聚類中心，計算兩兩之間的距離：

第十二步：比較Dij和θc，將Dij<θc的值按上升次序排列：

第十三步：從最小的Di1j1開始，將距離為Di1j1的兩個聚類 中 心Wi1和Wj1合 并 ， 得 新 的 聚 類 中 心并令c= c-1。

第十四步：若這是最后一次迭代，則算法終止。否則，若根據經驗需要改變參數，則轉第一步；若不需要改變參數，則轉第二步。本步中，還應將迭代計數器加1。本算法完畢。

2 應用動態自適應模板法識別入侵者

基本做法是將每一個入侵者樣本與已存的模板——進行相似性度量測量，取距離最小或相關系數最大者歸類。動態自適應模板法的基本思想是原有模板在聚類過程中不斷更新，并且允許在聚類分析過程中構成新的模板。具體如下：

(1) 原有模板在聚類過程中不斷更新意思是指當某一形態類別t增添了新樣本Xk時，則以下面的遞推公式對模板進行刷新：

式中Mt,k是第 K次更新的模板向量;Nt,k是歸入第t類的樣本數，所得的新模板是該類樣本的平均值。從統計學的觀點看，平均值更接近于真值。

(2) 允許在聚類分析過程中構成新的模板的意思是對相似性測量的結果設定一個閾值，當新的入侵者的樣本與原有所有模板的距離均大于這個閾值時， 則證明它不屬于已有的任一形態集，算法將以表達該入侵者的向量構造一個新的模板。

定義第i個樣本和第m個模板之間的距離為：

式中：

下面表1是用該方法分類檢測入侵者的正確率。

3 實驗結果與討論

表1給出了用動態自適應模板方法識別入侵者的結果。

表1 用動態自適應模板方法識別入侵者的結果

由表1可以看出當無線網絡流量達到1100Mbit/s時，幾種不同的入侵檢測系統(IDS)對入侵者的正確識別率是不同的。運用動態自適應模板方法對入侵者的正確識率是最高的，從而證明本文研究的方法是有效的而且是可行的。當網絡流量過大時，由于入侵檢測系統不能及時處理數據包，從而放棄對該數據包的檢測，導致對入侵者的正確識別率降低。

4 結論

實驗表明用本文提出的運用動態自適應模板方法檢測入侵者的正確識別率是比較高的，從而證明本文研究的方法是有效的而且是可行的。該方法的優點在于它能夠檢測到無線網絡系統中的未知類型的入侵者，提高了無線網絡系統的安全性，它也可檢測已知類型的入侵者。另外該方法識別入侵者的速度快，特別適合網絡流量很大時的入侵檢測，因為它處理速度快，不丟棄需要檢測的數據包，從而從另一個側面提高了對入侵者的正確識別率。

[1] 卿斯漢,蔣建春,馬恒太.入侵檢測技術研究綜述[J].通信學報.2004.

[2] YG.Zhang.Intrusion Detection Techniques for Mobile Wireless Networks[J].Wireless Networks.2003.

[3] YG.Zhang.Feature Deduction and Ensemble design of Intrusion Systems[J].Computers & Security.2004.

[4] WK.LEE.Feature Selection of Intrusion Data using a hybrid genetic algorithm Approach[J].Wireless Networks.2007.