最小差異度聚類在異常入侵檢測中的應用

摘要：重點研究了異常入侵檢測系統模型。針對現有模型中存在的對訓練數據要求高、誤報率高等問題，提出了一種基于最小差異度聚類的入侵檢測方法。該方法將區間標量、序數變量、二元變量標稱變量類型的屬性映射到區間[0，1]上，計算每個數據對象之間以及與各個簇的差異度，很好地解決了異常入侵。在檢測已知入侵方面，模型也有不俗表現。

關鍵詞：網絡安全； 入侵檢測； 聚類分析； 差異度

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001-3695(2007)12-0193-03

隨著計算機和網絡技術應用的普及和發展，計算機系統安全越來越受到人們的重視。安全計算機系統是基于計算機機密性、完整性和可用性的實現^[1]。傳統計算機系統的安全是通過設計一定的安全策略，即通過身份認證、訪問控制和審計等技術來保護計算機系統免遭入侵^[2]。但是越來越多的攻擊者利用各種漏洞實施攻擊，通過監控特權進程的系統調用進行攻擊，如系統服務、setuid程序等^[3]。這些應用程序由于具有特殊權限，可以訪問特殊資源，攻擊者利用它們可以實現其破壞或控制系統的目標。

針對網絡中的各種安全威脅，產生了許多關于網絡安全的技術。主要有以下幾類：主機安全技術、身份認證技術、訪問控制技術、加密技術、防火墻技術、安全審計技術、安全管理技術和入侵檢測技術等。入侵檢測是一種比較新興的網絡安全技術。它是一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。正因為如此，入侵檢測可以為網絡提供立體縱深、多層次的安全防御，可以實現防患于未然。

入侵檢測系統主要是采用誤用檢測技術，如模式匹配、協議分析、狀態轉換分析。這些方法均只能準確地檢測已知的入侵行為，并不能檢測未知的入侵行為，具有局限性，所以在入侵檢測中引入聚類分析。聚類分析^[4]是將一組數據對象通過計算它們屬性之間的綜合差別，將差別較小的對象放在一個簇中。如果網絡中的入侵行為與合法行為存在一定的差異，那么采用聚類的方法就可以將網絡中的入侵行為聚集為一簇，從而發現入侵行為。

1異常入侵檢測系統模型

1．1入侵檢測

ID就是對入侵行為的發現^[4]。入侵檢測是基于兩個基本假設，即用戶和程序的行為是可見的；正常行為與入侵行為是可區分的。它通過收集并分析計算機網絡或計算機系統中的若干關鍵點信息，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊過的跡象。因此入侵檢測具有事前預警和事后發覺的功能。這種技術可以大大提高了網絡系統的安全。

如圖1所示，入侵檢測主要包括數據采集、數據分析和響應三個部分。

1．2異常入侵檢測系統模型

異常入侵檢測技術識別主機或網絡中異常的或不尋常行為。它假設攻擊與正常的活動有很大的差別。異常檢測首先收集一段時間操作活動的歷史數據；再建立代表主機、用戶或網絡連接的正常行為描述；然后收集事件數據并使用一些不同的方法來決定所檢測到的事件是否偏離了正常行為模式，從而判斷是否發生了入侵行為。

異常入侵檢測是通過已知來推導未知的技術。目前常用的方法主要是概率統計、神經網絡、數據挖掘中的分類和聚類方法以及人工免疫等。

1．2．1網絡連接記錄的數據結構

通過分析會發現黑客在重新控制目標主機之前，均要與目標主機建立連接。對此，本文提出通過對網絡的連接記錄進行監測建立入侵檢測系統。其目的是為了發現網絡中異常的連接記錄。筆者選擇用于表示網絡連接記錄的結構如表1所示。

1．2．2數據采集模塊設計

對入侵檢測系統來說^[5]，數據采集是系統正常工作的基礎。對于網絡入侵檢測系統，網絡數據截獲模塊就是實現網絡入侵檢測系統高效工作的基礎。在設計整個入侵檢測系統時，必須要有一種好的數據包捕獲機制來保證網絡數據截獲模塊工作穩定可靠，防止漏包，為整個入侵檢測模塊穩定可靠地提供數據，如圖2所示。

1．2．3系統總體設計

遵循入侵檢測系統的標準流程，即數據收集、數據分析、結果處理的流程對網絡數據包進行分析處理。筆者提出基于數據挖掘的異常模式入侵檢測系統。檢測系統（圖3）主要由以下四個部分組成，即數據采集、數據分析、結果處理和用戶界面。

2最小差異度的聚類算法

2．1差異度相關定義

很多聚類算法只考慮元素與類之間的距離，而沒有考慮類大小產生的影響。通過區間標量^[6]、序數變量和二元變量標稱變量類型的屬性映射到區間[0，1]上，然后再對所有屬性計算差異度并按最小差異度進行聚類，這就使得所有屬性的差異度在概念上是一致的^[7]。

從表2中可以看出，基于最小差異度聚類的入侵檢測方法對所有攻擊的檢測率較高，達到了75．57%~79．11%，效果一般；對于DoS攻擊的檢測率最高，達到了87．21%~91．37%；對于PROBE攻擊檢測率也是一般；而對于U2R和R2L的檢測率卻較低。此外，誤報率FR和發現未見攻擊類型的檢測率一般，分別達到了8．02%~13．65%和1．21%~39．54%，但還是說明該入侵檢測方法已經具有了發現未知入侵行為的能力。

4結束語

異常檢測是IDS研究中重要而比較困難的領域。本文研究了異常入侵檢測系統模型，并對模型進行了分析，提出了最小差異度聚類實現異常入侵檢測模型的方法，通過算法進行實現，并采用了KDD Cup1999數據集。數據運行表明，所提出的模型的算法是合理而有效的。

參考文獻：

[1]隆益民.網絡入侵及檢測[J].計算機工程與科學，2001，37(1):27-30.

[2]黃錦，李家濱.防火墻日志信息的入侵檢測研究[J].計算機工程，2001，26(9):115－117.

[3]蘇瑜睿，馮登國.基于非層次聚類的異常檢測模型[C]//中國計算機大會論文集.北京:清華大學出版社，2005.

[4]HAN Jia－wei， KAMBER M.數據挖掘概念與技術[M].范明，孟小峰，等譯.北京:機械工業出版社，2001:222-224.

[5]李波.基于數據挖掘的異常模式入侵檢測研究[D].沈陽:東北大學，2005.

[6]張彬，胡茜.入侵檢測概念、過程分析和部署[J].數據通信，2004(12):45-48.

[7]賀躍，鄭建軍，朱蕾.一種基于熵的連續屬性離散算法[J].計算機應用，2005，25(3):637-638.

[8]蔣盛益，李慶華.基于引力的入侵檢測方法[J].系統仿真學報，2005，17(9):2202-2206.

[9]嚴曉光，褚學征.聚類在網絡入侵的異常檢測中的應用[J].計算機系統應用，2005(10):78-80.

[10]GANTI G J， RAMAKRISHNAN R. CACTUS: clustering categorical data using summaries[C]//Proc of Int Conf Knowledge Discovery and Data Mining. New York: ACM Press， 1999:73-83.

[11]HUANG Zheng－xue. Extensions to the K－means algorithm for clustering large data sets with categorical values[J].Data Mining and Knowledge Discovery， 1998，2:283-304.

[12]伊勝偉，劉旸，魏紅芳.基于數據挖掘的入侵檢測系統智能結構模型[J].計算機工程與設計，2005，26(29):2464-2466，2472.

[13]WARRENDER C， FORREST S， PEARLMUTTER B. Detecting intrusions using system calls alternative data models[C]//Proc of IEEE Symposium on Security and Privacy. Oakland: IEEE Computer Society， 1999:133－145.

[14]楊風召，朱揚勇，施伯樂.IncLOF:動態環境下局部異常的增量挖掘算法[J].計算機研究與發展，2004，41(3):477-484.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”