激素調節的克隆選擇聚類在入侵檢測中的應用

白 琳

(西安郵電大學 計算機學院，陜西 西安 710121)

0 引 言

入侵檢測作為一種實時主動的網絡安全防御技術，能夠為網絡系統的正常運行保駕護航。從20世紀80年代首個通用入侵檢測系統模型提出以來，經歷了數十年的發展，眾多學者對其的研究仍方興未艾。伴隨著計算機網絡技術及其應用的飛速發展，面對越來越嚴峻的網絡安全形勢，對入侵檢測產品的性能也提出了更多、更具體的要求：能夠分析復雜、異構的大數據；能夠正確檢測出惡意的、非法的行為；誤報率低；能夠檢測出未知的攻擊。

1 基于聚類的入侵檢測研究現狀

入侵檢測技術手段包括異常檢測技術和誤用檢測技術。異常檢測需要建立代表“正常行為”的模型，再以測量值對其的偏離程度判斷用戶行為是否“異常”。誤用檢測則通過按事先預定義好的異常模式以及觀測到的入侵發生的情況進行模式匹配來進行檢測[1]。因此，異常檢測可以檢測出新的攻擊，所以受到的關注度更高。

現有的大多異常檢測系統，其正常模型的確立都是通過對完全正常的數據集進行訓練而完成的。使得檢測方法依賴于帶標簽的訓練數據，如果某些標簽是錯誤的，“正常模型”的誤差將會很大。尤其在實際網絡環境中，收集和整理出帶標簽的網絡數據工作量大、難度高，所以采用無標簽的網絡數據建立“正常模型”構造無監督異常檢測系統才更可行。

聚類就是一種行之有效的無監督模式分類方法。可以將無標記的樣本集按照某種聚類準則劃分成若干個子集，將相似的樣本盡量歸為一類，不相似的樣本歸為不同類。相似度的度量依靠數據對象描述屬性的取值來確定[2]。傳統聚類方法，如C-均值、模糊C-均值、BIRCH等，可伸縮性較差，只能處理小規模數據，并且依賴聚類原型，容易陷入局部最優，由其構造的入侵檢測系統性能不高。一些進化計算方法以其良好的優化特性用于傳統算法改進，包括遺傳聚類算法、免疫進化聚類[3]以及基于CSA的聚類[4]等。相應構建的入侵檢測系統性能有了不同程度改善，如文獻[5-6]。但是遺傳進化算法易于后期發生早熟，免疫算法的疫苗提取非常依賴先驗知識[7]等缺點都對聚類效果影響較大。隨著智能信息處理技術的不斷發展，對聚類算法的性能指標要求日益增加，除了要保證結果的有效性和可靠性，還需要具有可拓展性、可伸縮性、有效處理噪聲數據或多維、異構數據的能力[1]，以適應復雜網絡環境下數據分析和處理的需求。

生物體的三大系統：神經系統、內分泌系統和免疫系統，彼此之間相互作用、協調、促進，形成了一個有機整體。特別地，內分泌系統中強大的激素調節能力可以有效刺激和調節另外兩個系統的功能。受該生命機理啟發，將激素調節機制加入抗體克隆進化過程，對抗體克隆規模進行動態調整，擴增優秀個體、抑制退化個體。構造基于激素調節的克隆聚類算法，改善聚類的精度、速度及穩定性。

2 人工內分泌系統

2.1 人工內分泌系統

生物體的內分泌系統是一個分布式的調控系統，具有良好的自適應性、自組織性和自學習性，發揮著調控機體新陳代謝和生長發育的重要作用。協同神經系統、免疫系統，維持著生物體的內穩態和內平衡。內分泌系統工作的核心就是激素調節，機體內的各個生理調節功能都要依靠激素進行。長期的生命進化過程使內分泌系統具有十分強大的功能，通過激素的反應、擴散過程進行調節，維持機體的內穩態，為生物體的正常生命活動提供保障[8]。

人工內分泌系統(artificial endocrine system，AES)，指借鑒生物體內分泌系統的信息處理機理，將其應用于計算、控制、通信等領域而形成的模型或系統[9]。

在自然界，機體的內分泌系統和免疫系統之間保持著密切的雙向調控聯結，內分泌激素通過免疫細胞受體使其免疫功能增強或削弱；免疫系統通過細胞因子對內分泌系統發生作用[10]。因此，內分泌系統可以調節免疫功能，而免疫系統可以對其進行應答和反饋，反作用于內分泌系統。借鑒該機理，可以將激素調節作用引入人工免疫系統相關方法，在免疫基因層面對抗體工作進行調控，改進原有算法的性能。

2.2 激素調節機制

2001年，L. S. Farhy提出了激素Hill函數調節規律[11]，即激素分泌的上升調節和下降調節函數。

(1)

(2)

其中，F是Hill調節函數；up表示激素刺激、down表示激素抑制；G是自變量；n(n≥1)是Hill系數，T(T>0)是閾值參數，n和T表示曲線上升或下降的斜率，對應激素刺激或是激素抑制的改變速度。

且Hill函數滿足：

(3)

3 人工免疫系統

人工免疫系統(artificial immune system，AIS)，是模擬生物體免疫系統的工作過程而形成的一種信息處理計算模型。其相關算法主要指克隆選擇算法、人工進化免疫網絡。

3.1 克隆選擇學說

克隆選擇學說的核心是：免疫系統中，在抗原的刺激下，免疫細胞會進行克隆、得以增殖，再通過遺傳、變異等進化操作分化成記憶細胞和多樣性效應細胞。與抗原親合度較低的抗體經過進化學習后，親合度會趨于成熟，所以，克隆選擇的過程實際是面向親合度成熟的過程。具體實現時，通過選擇、交叉、變異等遺傳進化算子和相應群體控制機制來操作。

3.2 克隆選擇算法

克隆選擇算法包含克隆增殖、免疫基因操作以及克隆選擇三步。克隆選擇是由親合度函數指導的抗體群隨機映射，其進化過程表示如下：

(4)

克隆的實質是在一代進化過程中，根據親合度大小，在候選解的附近產生一個變異解群體，以此擴大搜索范圍、增加抗體群多樣性，防止早熟和搜索陷于局部極小值[12]。

4 基于激素調節的克隆選擇聚類

4.1 目標函數

采用下列目標函數作為聚類準則：

(5)

4.2 抗體編碼

設一組聚類原型P為一個抗體，將各組原型所包含的不同特征值組織在一起，再通過其各自取值范圍進行量化，量化結果為k，具體將抗體按式5進行編碼。

Ai(0)=

(6)

其中的各參數依據各原型pi,i∈(1,k)取值。

4.3 親合度函數

親合度函數構造的依據：目標函數越小，聚類效果越好，抗體-抗原親合度越大。

(7)

其中，若f的值越大，抗體就越接近于抗原。

4.4 激素調節克隆算子

將激素調節策略引入克隆選擇算法，利用Hill刺激效應使種群中抗體克隆規模得以擴增，同時利用Hill抑制原理使不良個體較多的種群克隆規模得以削減。由此，通過內分泌激素調控，個體克隆規模自適應調整到最優狀態，更利于群體的進化學習，進而有效收斂。

(1)激素調節的克隆操作。

(8)

(9)

其中，Ii是元素全為1的qi維行向量。

抗體Ai的qi克隆表示為：

1,…,N

(10)

其中，Int(c)表示大于c的最小整數；Nc為與克隆規模相關的值，且大于N。

因此，對于單個抗體，qi的大小取決于f，即抗體的克隆規模完全由親合度決定。

②激素調節。

對于第t-1代種群，其平均親合度表示為：

(11)

種群的多樣性可表示為函數：

(12)

下降規律激素調節函數可表示為：

(13)

可令

(14)

由此，就可以描述出：在當代種群中，個體親合度與上一代的平均親合度間的關系。在此，由函數D(t)和F(t)共同調節個體克隆規模，第t代個體的克隆規模q(t)改進為：

(15)

參數η在實際中根據經驗值而定。

克隆之后，種群變為：

(16)

其核心為變異操作，變異僅作用于克隆后的抗體之上，這樣就可以保留原始種群的有效信息。具體為：

(17)

抗體群經過激素調節的克隆選擇學習后，更新為：A(l+1)=[A1(l+1),…,AN(l+1)]，若A(l+1)中存在Ai(l+1)及Aj(l+1)，滿足f(Ai(l+1))=f(Aj(l+1))=maxf(A(l+1)),i≠j，則隨機產生一個新抗體，同時以概率pi刪除Ai(l+1)、Aj(l+1)其中之一。

基于激素調節的克隆聚類算法(見圖1)中，抗體編碼后進行如上的克隆算子操作，直到聚類原型收斂到最優解，完成聚類分析。

圖1 基于激素調節的克隆聚類算法流程

5 激素調節的克隆聚類入侵檢測方法

5.1 數據預處理

實驗采用KDD CUP99數據集，該數據集包含了9周網絡流量連接記錄，其中7周的訓練數據大約具有500萬條數據量，2周的測試數據大約200萬條數據量。連接記錄具有協議類型、持續時間、標簽等42個參數，分為33個連續屬性、8個離散屬性，第42個參數屬性為標簽，標記了該條記錄是“正常”的，或具體為何種攻擊類型。攻擊類型一共有37種，被分為4大類：拒絕服務攻擊、對本地超級用戶的非法訪問、未經授權的遠程訪問以及掃描與探查。

訓練數據集中共有23個標簽：“正常”和22種攻擊類型。測試集中含有38個標簽：“正常”和37種攻擊類型。其中，有17種攻擊未在訓練集中出現，對其而言，是“未知”攻擊。

對于網絡連接記錄的字符枚舉屬性，將其轉變為離散數值特征值，實驗中用不同的數字來代替字符枚舉屬性值。如：“ftp”協議用“1”代替，“http”協議用“2”代替。

實驗訓練集和測試集構造過程見表1。

為了驗證算法對未知攻擊的檢測性能，構造未知攻擊，指測試集相對于訓練集而言，多出的攻擊種類。

5.2 相異度度量標準

根據KDD CUP99數據具有混合屬性的特點，采用下列相異測度函數：

(18)

表1 實驗數據集

5.3 聚類分析

根據第四節中的激素調節克隆聚類算法對訓練數據集進行聚類分析，得到聚類原型P。訓練集被分為c類，聚類結果見表2和表3。

5.4 正常模型

上述c類子集需要區分出“正常”類或“異常”類，即為不同類貼上標簽。入侵檢測系統基于兩個合理的假設[13-14]：

(1)同類數據在特定的尺度條件下會在特征空間中互相接近，而不同類數據會彼此遠離；

(2)正常行為的數據量要遠遠大于異常行為的數據量。

因此，根據不同子集所包含的數據量便可區分出正常類和異常類。具體的，若某個子集的數據量與樣本數據總量之比不小于ω(0<ω<1)，就將其標記為“正常”，否則為“異常”。這樣，就可以獲得異常檢測中的正常模型，進而可以實現入侵檢測。

表2 類內距結果

表3 類間距結果

5.5 異常檢測

對測試集test1或test2，要想知道其中某個連接記錄xi是否異常，即獲得xi的標簽，先計算xi到每個聚類原型Pj(1≤j≤c)的距離，再找出其中的最短距離d(xi,Pmin)(1≤min≤c)。在5.4小節，每個類都已獲得了標簽，那么第min類的標簽就是xi的標簽。如果d(xi,Pmin)≥μ，xi被判斷為未知攻擊。按照該過程完成對所有測試集數據的檢測。最后計算檢測率和誤警率，以此來評判入侵檢測系統的性能。檢測率指被檢測出來的異常數據占異常數據總數的百分比；誤警率指正常的數據被錯誤的判斷為異常的數目占正常數據總數的百分比。

5.6 實驗結果及分析

將傳統的模糊C均值算法(算法1)、沒有利用激素調節克隆規模的聚類算法(算法2)作為對比算法。樣本的種群規模設為50，克隆規模系數Nc=100，激素調節參數η=2.5，變異概率pm=0.2，死亡概率pi=0.4，選擇最佳個體百分比15%。

三種算法的聚類結果見表2和表3。對于聚類結果，類內距越小、類間距越大，算法性能就越好[15]。

類內距的定義為：

(19)

其中，r為聚類子集個數。

類間距的定義為：

(20)

其中，n為各類所包含的數據個數。

表4給出了入侵檢測結果，每種算法都經過20次獨立實驗，取其檢測率和誤警率平均值反映在表3中。其中，已知入侵指訓練集中存在的22種攻擊；未知入侵詳見表1。

從表2和表3可以看出，基于激素調節的克隆聚類算法性能較高，更精確地反映了樣本在狀態空間的分布情況。在群體克隆操作時，利用內分泌激素調節特性，自適應調整個體的克隆規模，不僅可以增加進化過程中的種群多樣性，同時能夠更好、更多地發揮優秀個體的性能，抑制不良個體對進化學習的影響。使克隆選擇的親合度成熟過程在激素的調控下得到改善，保證聚類算法能夠快速、高效地收斂至全局最優。

表4 檢測結果 %

從表4可以看出，文中算法的檢測效果更加理想，和傳統算法相比，優勢十分明顯，引入了進化策略和各類進化算子，有效激發了聚類的整體尋優性。并且，算法與數據分布無關、對聚類原型無依賴性，可以自適應調整到最佳類別簇。通過構造合理的數據集，驗證了文中算法對大數據集以及未知攻擊的有效檢測性。

6 結束語

在生物體內分泌系統和免疫系統相互作用、協同工作的生命機理啟發下，將人工內分泌系統中激素的調節機制引入由克隆策略指導的聚類準則中進行數據分析。根據抗體親合度成熟程度自適應調節個體克隆規模，以此保證在群體的進化過程中，擴增優秀個體、盡可能發揮其優勢，抑制不良個體、最大程度地減少其對各代進化的影響。使得克隆算子增加自適應性、提高自學習性和穩定性，由此得到的新聚類算法具有更高的全局尋優特性和更快的收斂速度。構造了基于激素調節克隆聚類的異常檢測系統，并在KDD CUP99數據集上進行了對比仿真實驗，實驗效果非常理想，表明檢測系統可行、有效。