基于Dempster-Shafer理論的GHSOM入侵檢測(cè)方法

蘇潔，董偉偉，許璇，劉帥，謝立鵬

（哈爾濱理工大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，黑龍江 哈爾濱 150080）

1 引言

入侵檢測(cè)系統(tǒng)可以采集網(wǎng)絡(luò)節(jié)點(diǎn)中流量數(shù)據(jù)，對(duì)傳輸行為實(shí)時(shí)檢測(cè)，分析并發(fā)現(xiàn)是否有正在入侵的行為或已經(jīng)發(fā)生的入侵行為，對(duì)發(fā)現(xiàn)的可疑傳輸向管理員發(fā)出警報(bào)或者自身采取主動(dòng)反應(yīng)措施，由此可見，這是信息安全防御系統(tǒng)的另一道防線，是系統(tǒng)安全的重要組成部分之一。目前開展研究的入侵檢測(cè)算法和模型主要有基于數(shù)據(jù)挖掘、基于人工免疫、基于神經(jīng)網(wǎng)絡(luò)等類型[1,2]。

入侵檢測(cè)技術(shù)的一個(gè)重要發(fā)展方向是基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法。神經(jīng)網(wǎng)絡(luò)算法具有自適應(yīng)、自組織、泛化能力以及高度并行性和非線性映射等優(yōu)點(diǎn)，在環(huán)境多變且狀況頻發(fā)的網(wǎng)絡(luò)入侵檢測(cè)中有很大的應(yīng)用前景。隨著近些年對(duì)其研究的不斷深入，基于無監(jiān)督生長(zhǎng)型分層的自組織映射神經(jīng)網(wǎng)絡(luò)（GHSOM, growing hierarchical self-organizing maps）模型的入侵檢測(cè)研究越來越得到關(guān)注[3,4]。Zell等[5]將神經(jīng)元分布在球體表面上，提出了自組織表面（SOS, self-organizing surfaces）算法，通過動(dòng)態(tài)地在大概率獲選的神經(jīng)元周圍增加神經(jīng)元的方法，完成對(duì)網(wǎng)絡(luò)規(guī)模和稀疏的動(dòng)態(tài)表述。Deng等[6]根據(jù)高速處理數(shù)據(jù)的需要在學(xué)習(xí)過程中增加神經(jīng)元，并對(duì)輸入樣本調(diào)整神經(jīng)元的權(quán)值，提出了演化SOM（ESOM, evolve self -organizing map）算法。楊雅輝等[7]基于對(duì)檢測(cè)過程中的新型攻擊進(jìn)行增量式學(xué)習(xí)，動(dòng)態(tài)地對(duì)模型本身進(jìn)行擴(kuò)展，提出了增量式GHSOM神經(jīng)網(wǎng)絡(luò)的方法。

針對(duì)網(wǎng)絡(luò)數(shù)據(jù)的不確定性中的隨機(jī)性和模糊性的問題，同時(shí)考慮到對(duì)子網(wǎng)拓展規(guī)模的動(dòng)態(tài)控制，將DS證據(jù)推理理論引入其中。DS證據(jù)推理理論在不確定信息表示方面不僅可以將經(jīng)驗(yàn)性、條件性信息進(jìn)行融合，而且隨機(jī)信息、模糊信息也能通過不同的手段轉(zhuǎn)換到證據(jù)理論的框架下進(jìn)行處理。李玲玲等[8]基于證據(jù)支持度的思想，針對(duì)DS理論處理嚴(yán)重沖突數(shù)據(jù)信息產(chǎn)生矛盾結(jié)論的現(xiàn)象，引入證據(jù)相容系數(shù)概念提出了一種新的證據(jù)權(quán)重的定義方法，提出證據(jù)可信度的概念并用組合規(guī)則進(jìn)行數(shù)據(jù)融合。邱望仁等[9]分析并改進(jìn)了證據(jù)理論中關(guān)于證據(jù)合成的方法，提出了一種新的多因素模糊時(shí)間序列預(yù)測(cè)模型。杜元偉等[10]分析了專家知識(shí)整體的結(jié)論缺乏科學(xué)性，而個(gè)體推斷信息缺乏完備性和精確性，提出了基于證據(jù)理論/層次分析法(DS/AHP)的方法，能夠從專家知識(shí)系統(tǒng)中提取到最優(yōu)條件概率。

本文在增量式 GHSOM 的基礎(chǔ)上，結(jié)合Dempster-Shafer理論提出了基于 DS理論的GHSOM入侵檢測(cè)方法，在檢測(cè)過程中對(duì)子網(wǎng)拓展規(guī)模進(jìn)行動(dòng)態(tài)控制，提升了在網(wǎng)絡(luò)規(guī)模不斷擴(kuò)展時(shí)的動(dòng)態(tài)適應(yīng)性，在噪音環(huán)境下具有良好的檢測(cè)準(zhǔn)確率，提升了GHSOM入侵檢測(cè)方法的擴(kuò)展性。

2 GHSOM入侵檢測(cè)模型

本文是基于增量式GHSOM入侵檢測(cè)模型的研究基礎(chǔ)上[7]進(jìn)行，本模型學(xué)習(xí)過程首先是對(duì)將一個(gè)初始的數(shù)據(jù)集訓(xùn)練成相對(duì)成熟的GHSOM模型[4]，對(duì)該訓(xùn)練好的網(wǎng)絡(luò)模型確定相似度閾值Sc，通過數(shù)據(jù)篩選動(dòng)態(tài)生成神經(jīng)元增量訓(xùn)練集It，對(duì)動(dòng)態(tài)層拓展方案提出一種新的使用證據(jù)理論進(jìn)行子網(wǎng)的拓展與規(guī)模控制的方案，將檢測(cè)和學(xué)習(xí)兩者同時(shí)進(jìn)行，在檢測(cè)過程之中對(duì)模型進(jìn)行動(dòng)態(tài)更新。

1) 數(shù)據(jù)采集。將提取到的每個(gè)檢測(cè)模式映射向量x，加入到其自身的集合Mx中，通過比較得到可用于檢測(cè)的獲選神經(jīng)元c。比較過程如下：若向量x與獲選神經(jīng)元c為同類，則要求x到c的最大距離d(x,c)必須小于相似度閾值Sc，則輸出該檢測(cè)向量為結(jié)果，否則認(rèn)為當(dāng)前檢測(cè)向量與獲選神經(jīng)元不是同類，那么所有該神經(jīng)元上的映射向量和被選向量都需要送入網(wǎng)絡(luò)中進(jìn)行再訓(xùn)練，其中有Sc滿足

其中，wc為神經(jīng)元c的權(quán)值，Mc為神經(jīng)元c的映射向量集合，j為Mc中的任一向量。

2) 葉神經(jīng)元集訓(xùn)練。首先將數(shù)據(jù)采集過程以及檢測(cè)訓(xùn)練過程中得到的獲選向量j都添加到獲選神經(jīng)元的增量訓(xùn)練集Mc中。在此情況下，若當(dāng)前神經(jīng)元c是獲選神經(jīng)元，則該神經(jīng)元滿足

其中，ζ為經(jīng)驗(yàn)常數(shù)。在檢測(cè)過程中，只有不相似的被選向量才需要再次添加到增量訓(xùn)練集Mc中，這個(gè)過程就是不斷地調(diào)整增量訓(xùn)練集Mc最終得到葉神經(jīng)元訓(xùn)練集It。

3) 子網(wǎng)拓展。首先判斷葉神經(jīng)元調(diào)整的增量訓(xùn)練集It中的葉神經(jīng)元t滿足樣本數(shù)

其中，k為正整數(shù)，若葉神經(jīng)元樣本數(shù)不滿足子網(wǎng)拓展條件，則拓展過程回到葉神經(jīng)元數(shù)據(jù)集增加中，否則以葉神經(jīng)元數(shù)據(jù)集作為初始訓(xùn)練集，向下拓展得到虛神經(jīng)元t′訓(xùn)練集，虛神經(jīng)元t′是拓展過程中專門用于引導(dǎo)檢測(cè)的神經(jīng)元，定義其權(quán)值為映射向量中緊湊向量的平均權(quán)值。當(dāng)由葉神經(jīng)元t進(jìn)行子網(wǎng)拓展時(shí)，首先從葉神經(jīng)元向下進(jìn)行拓展，得到對(duì)應(yīng)的虛神經(jīng)元t′，再以虛神經(jīng)元t′為父神經(jīng)元，對(duì)虛神經(jīng)元t′引入證據(jù)推理，對(duì)其基本概率分配BPA設(shè)定為mθ，計(jì)算虛神經(jīng)元t′的信任函數(shù)Bel(t′)，進(jìn)行證據(jù)融合，剪去其中不符合條件的訓(xùn)練樣本，對(duì)其余依舊滿足numt的訓(xùn)練集進(jìn)行拓展訓(xùn)練，進(jìn)行遞歸拓展訓(xùn)練直至拓展層結(jié)構(gòu)穩(wěn)定下來。

4) 動(dòng)態(tài)控制。當(dāng)不斷增長(zhǎng)的拓展網(wǎng)絡(luò)規(guī)模達(dá)到了子網(wǎng)剪去條件時(shí)，則執(zhí)行子網(wǎng)回收，將不成熟的子網(wǎng)中的訓(xùn)練樣本剪去并重新訓(xùn)練加到增量訓(xùn)練集Mc中，這樣使過于龐大的子網(wǎng)結(jié)構(gòu)獲得精簡(jiǎn)。

3 DS理論的動(dòng)態(tài)層拓展

基于DS理論的動(dòng)態(tài)層拓展過程如圖1所示。

在入侵檢測(cè)的訓(xùn)練過程中，隨著新增攻擊類型的不斷輸入，增量訓(xùn)練集會(huì)動(dòng)態(tài)地自適應(yīng)拓展，帶來的結(jié)果便是網(wǎng)絡(luò)結(jié)構(gòu)變得越來越大直至無法控制，因此當(dāng)網(wǎng)絡(luò)樣本訓(xùn)練數(shù)達(dá)到numt時(shí)判定該增量訓(xùn)練集滿足進(jìn)行拓展訓(xùn)練的條件，對(duì)其進(jìn)行拓展訓(xùn)練，生成一個(gè)相對(duì)成熟的新子網(wǎng)。其中Et通過實(shí)驗(yàn)方式獲取。

以訓(xùn)練好的葉神經(jīng)元數(shù)據(jù)集作為初始訓(xùn)練集，向下拓展得到虛神經(jīng)元t′訓(xùn)練集，得到對(duì)應(yīng)的虛神經(jīng)元t′，將t′作為父神經(jīng)元，對(duì)虛神經(jīng)元t′引入證據(jù)推理，分配其基本概率BPA的設(shè)定為mθ，計(jì)算虛神經(jīng)元t′的信任函數(shù)Bel(t′)，進(jìn)行證據(jù)融合，以此作為判定條件剪去其中不符合條件的訓(xùn)練樣本，對(duì)其余依舊滿足numt的訓(xùn)練集進(jìn)行拓展訓(xùn)練，進(jìn)行遞歸拓展訓(xùn)練直至拓展層結(jié)構(gòu)穩(wěn)定下來。

在證據(jù)推理理論中，定義識(shí)別框架是由互不相容的基本命題所組成的完備集合，代表了對(duì)某問題的所有可能答案的表示，在這些答案之中只有一個(gè)是正確的。其中，將分配給各命題的信任度，即該框架的子集的信任程度稱為mθ函數(shù)，即基本概率分配（BPA）。舉例來講，若mA表示對(duì)A的信任度大小，則稱其為A的基本可信數(shù)。信任函數(shù)Bel(A)是用來表達(dá)對(duì)命題A的信任程度，似然函數(shù)Pl(A)表示對(duì)命題A非假的信任程度，也就是對(duì)A可能成立的不確定性的程度上的度量。總結(jié)來說，即[Bel(A),Pl(A)]表示A的不確定區(qū)間；[0,Bel(A)]表示支持命題A確認(rèn)正確的區(qū)間；[0,Pl(A)]表示命題A的可能成立的區(qū)間；[Pl(A),1]表示命題A的絕對(duì)不成立的區(qū)間。在證據(jù)理論中，將一組行為不相交的假設(shè)稱為辨別的一幀，例如(攻擊，無攻擊)。

在GHSOM學(xué)習(xí)動(dòng)態(tài)層拓展中，若用m1和m2來表示由互相獨(dú)立的證據(jù)源(入侵檢測(cè)中的傳感器)所導(dǎo)出的基本概率分配函數(shù)，則使用Dempster組合規(guī)則進(jìn)行信息的融合，用來計(jì)算這兩者共同作用所帶來的新的基本概率分配函數(shù)。設(shè)θ是識(shí)別框架，而mθ是一種BPA的基本概率分配組合的目標(biāo)是從多個(gè)獨(dú)立信息和計(jì)算中融合證據(jù)為一個(gè)整體的假說。獨(dú)立意味著知道無論一個(gè)傳感器是否值得信賴不會(huì)影響對(duì)于其他的可能性是否值得信賴的判斷。一般地，如果2個(gè)傳感器是獨(dú)立的，則它們是工作在完全無關(guān)的功能部分用來確認(rèn)受到攻擊的可能性。若同時(shí)產(chǎn)生并發(fā)出了2個(gè)警報(bào)，則表明檢測(cè)過程中的惡意行為是確信存在的。而要做的就是將2個(gè)來源的證據(jù)進(jìn)行信息融合。一般來說，用Dempster規(guī)則進(jìn)行融合

圖1 基于DS理論的動(dòng)態(tài)層拓展過程

其中，hi表示H的子集，表達(dá)的是各種假說均存在于識(shí)別框架之內(nèi)。K是一個(gè)歸一化因子，是一個(gè)在2個(gè)源之間的沖突的測(cè)量證據(jù)，這相當(dāng)于在空集的情況下，測(cè)量hi之間的交集。

4 算法描述

基于證據(jù)推理理論的GHSOM學(xué)習(xí)動(dòng)態(tài)層拓展算法是基于將一個(gè)初始的訓(xùn)練相對(duì)成熟的GHSOM模型在檢測(cè)過程中進(jìn)行動(dòng)態(tài)自適應(yīng)更新。首先算法的初始學(xué)習(xí)模型是以離線方式將樣本數(shù)據(jù)集訓(xùn)練成相對(duì)成熟的GHSOM神經(jīng)網(wǎng)絡(luò)模型，然后進(jìn)行算法的學(xué)習(xí)。基于Dempster-Shafer理論的增量式GHSOM學(xué)習(xí)動(dòng)態(tài)層拓展算法步驟如下。

算法 基于Dempster-Shafer理論的增量式GHSOM學(xué)習(xí)動(dòng)態(tài)層拓展算法

輸入 成熟的以離線方式訓(xùn)練的GHSOM神經(jīng)網(wǎng)絡(luò)模型

5 實(shí)驗(yàn)與性能評(píng)估

實(shí)驗(yàn)采用Windows平臺(tái)，使用KDD99的10%數(shù)據(jù)集作為檢測(cè)樣本，使用Matlab軟件GHSOM神經(jīng)網(wǎng)絡(luò)分組對(duì)數(shù)據(jù)集進(jìn)行訓(xùn)練。

實(shí)驗(yàn)過程中選取 PROBE、DOS、U2R、R2L這4種主要攻擊類型進(jìn)行攻擊檢測(cè)，選取其中的2種子類型作為網(wǎng)絡(luò)中的新型攻擊類型，剩下的攻擊種類作為已知攻擊類型。

首先使用Matlab軟件GHSOM神經(jīng)網(wǎng)絡(luò)包對(duì)數(shù)據(jù)集進(jìn)行初始訓(xùn)練，得到成熟的神經(jīng)網(wǎng)路模型，對(duì) KDD99數(shù)據(jù)集中的基于主機(jī)的網(wǎng)絡(luò)流量統(tǒng)計(jì)特征中，前100個(gè)連接中，與當(dāng)前連接具有相同目標(biāo)主機(jī)相同源端口的連接所占的百分比設(shè)置基本概率分配m1，前100個(gè)連接中，與當(dāng)前連接具有相同目標(biāo)主機(jī)相同服務(wù)的連接中，與當(dāng)前連接具有不同源主機(jī)的連接所占的百分比設(shè)置基本概率分配m2，使用證據(jù)融合規(guī)則進(jìn)行數(shù)據(jù)篩選，縮小數(shù)據(jù)集。

對(duì)正常攻擊類型和新型攻擊類型進(jìn)行實(shí)驗(yàn)比對(duì)，證明該方法對(duì)新型攻擊類型有良好的檢測(cè)率；對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行子網(wǎng)拓展比對(duì)，證明該方法對(duì)子網(wǎng)拓展規(guī)模具有可控性。

6 結(jié)束語

本文在增量式 GHSOM 神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)模型深入研究的基礎(chǔ)上，結(jié)合DS理論提出了基于證據(jù)推理理論的GHSOM神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)方法，當(dāng)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)展時(shí)，首先處理大量數(shù)據(jù)不確定性中的隨機(jī)性和模糊性問題，可以在噪音環(huán)境下保持良好的檢測(cè)率，此外通過證據(jù)融合理論縮小神經(jīng)元數(shù)據(jù)集，有效控制網(wǎng)絡(luò)的動(dòng)態(tài)增長(zhǎng)。通過模擬實(shí)驗(yàn)對(duì)該方法進(jìn)行了驗(yàn)證和評(píng)估，證實(shí)了方法的有效性和可行性，不足的地方在于未結(jié)合實(shí)際網(wǎng)絡(luò)的大數(shù)據(jù)環(huán)境下進(jìn)行比對(duì)，對(duì)可能出現(xiàn)數(shù)據(jù)隨機(jī)性和數(shù)據(jù)短時(shí)間膨脹未進(jìn)行深入探討，這也將是研究工作的下一個(gè)重點(diǎn)。

[1] LUO Z Y, YOU B, XU J Z,et al. Attack graph algorithm in the application of intrusion detection system[J]. International Journal of Security and its Applications，2013, (9): 249-256.

[2] LUO Z Y, YOU B, YU G H,et al. Research of intrusive intention self-recognition algorithm based on three-tier attack graph[J]. ICIC Express Letters, Part B: Applications, 2015, (1): 1575-1580.

[3] 陽(yáng)時(shí)來,楊雅輝,沈晴霓,等. 一種基于半監(jiān)督GHSOM的入侵檢測(cè)方法[J]. 計(jì)算機(jī)研究與發(fā)展, 2013, 50(11): 2375-2382.YANG S L, YANG Y H, SHEN Q N,et al. A method of intrusion detection based on semi-supervised GHSOM[J]. Journal of Computer Research and Development, 2013, 50(11): 2375-2382.

[4] 楊雅輝,姜電波,沈晴霓,等. 基于改進(jìn)的GHSOM的入侵檢測(cè)研究[J].通信學(xué)報(bào), 2011, 32(1): 121-126.YANG Y H, JIANG D B, SHEN Q N,et al. Research on intrusion detection based on an improved GHSOM[J]. Journal on Communications,2011, 32(1):121-126.

[5] ZELL A, BAYER H, BAUKNECHT H. Similarity analysis of molecules with self-organizing surfaces—an extension of the self- organizing map[A]. Proceedings of the International Conference on Neural Networks[C]. 1994. 719-724.

[6] DENG D, KASABOV N.ESOM: an algorithm to evolve selforganizing maps from on-line data streams[A]. Proceedings of the International Joint Conference on Neural Networks[C]. 2000. 38.

[7] 楊雅輝, 黃海珍, 沈晴霓, 等. 基于增量式 GHSOM 神經(jīng)網(wǎng)絡(luò)模型的入侵檢測(cè)研究[J]. 計(jì)算機(jī)學(xué)報(bào), 2014, 37(5): 1216-1224.YANG Y H, HUANG H Z, SHEN Q N,et al. Research on intrusion detection based on incremental GHSOM[J]. Chinese Journal of Computers, 2014, 37(5):1216-1224.

[8] 李玲玲, 馬東娟, 王成山, 等. DS證據(jù)理論沖突處理新方法[J]. 計(jì)算機(jī)應(yīng)用研究, 2011, 28(12): 4528-4531.LI L L, MA D J, WANG C S,et al. New method for conflict evidence processing in DS theory[J]. Application Research of Computers, 2011,28(12):4528-4531.

[9] 邱望仁,劉曉東. 基于證據(jù)理論的模糊時(shí)間序列預(yù)測(cè)模型[J]. 控制與決策, 2012, 27(1): 99-103.QIU W R, LIU X D. Fuzzy time series model for forecasting based on Dempster-Shafer theory[J]. Control and Decision, 2012, 27(1):99-103.

[10] 杜元偉,石方園,楊娜. 基于證據(jù)理論/層次分析法的貝葉斯網(wǎng)絡(luò)建模方法[J]. 計(jì)算機(jī)應(yīng)用, 2015, 35(1): 140-146, 151.DU Y W, SHI F Y, YANG N. Construction method for Bayesian network based on Dempster-Shafer/analytic hierarchy process[J]. Journal of Computer Applications, 2015, 35(1):140-146, 151.