一種新型的無(wú)線網(wǎng)絡(luò)入侵檢測(cè)方法-動(dòng)態(tài)自適應(yīng)模板法

靳旭玲 余桂賢 徐亞飛 李光平 薛陽(yáng)

1 北京建筑工程學(xué)院理學(xué)院 北京 100044

2 北京兆方投資控股股份有限公司 北京 100028

3 安徽省皖北煤電集團(tuán)錢(qián)營(yíng)孜煤礦 安徽 234000

4 北京政法職業(yè)學(xué)院 北京 102600

0 前言

無(wú)線網(wǎng)絡(luò)給我們的生活工作帶來(lái)了極大的方便，人們?cè)诶脽o(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)信息共享和信息交流的同時(shí)，無(wú)線網(wǎng)絡(luò)入侵(入侵是指任何試圖危害系統(tǒng)資源的完整性、保密性和可用性的行為或活動(dòng))也給我們帶來(lái)了很大的麻煩，為了保證無(wú)線網(wǎng)絡(luò)的機(jī)密性、完整性和可用性，人們正在研發(fā)無(wú)線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Intrusion Detection system, IDS)。入侵檢測(cè)系統(tǒng)是一個(gè)試圖檢測(cè)到針對(duì)一個(gè)系統(tǒng)或者無(wú)線網(wǎng)絡(luò)的入侵并發(fā)出警報(bào)的系統(tǒng)。它是一項(xiàng)復(fù)雜的工程。入侵檢測(cè)系統(tǒng)檢測(cè)入侵者一般包括四個(gè)步驟：①數(shù)據(jù)收集；②特征提取；③入侵者識(shí)別；④報(bào)告和反應(yīng)。

入侵者識(shí)別是根據(jù)經(jīng)過(guò)提取的特征來(lái)判斷當(dāng)前的行為是不是入侵。這種判斷方法可分為兩大類(lèi)：“異常檢測(cè)”和“誤用檢測(cè)”。誤用檢測(cè)方法是假定所有入侵行為和手段(及其變種)都能過(guò)表達(dá)為一種模式或特征，系統(tǒng)地目標(biāo)就是檢測(cè)主體活動(dòng)是否符合這些模式。異常檢測(cè)方法是首先建立目標(biāo)系統(tǒng)及其用戶的正常活動(dòng)模型，然后基于這個(gè)模型對(duì)系統(tǒng)和用戶的實(shí)際活動(dòng)進(jìn)行審計(jì)，當(dāng)主體活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，則將其視為可疑行為，認(rèn)為主體活動(dòng)(例如一個(gè)程序)有可能是一個(gè)入侵者。由此可見(jiàn)在這兩大類(lèi)方法中，關(guān)鍵是如何和那些已建立的“模式或模型”進(jìn)行比較。這種比較方法可分為兩大類(lèi)。一類(lèi)是建立一些規(guī)則進(jìn)行比較識(shí)別，其缺點(diǎn)是只能識(shí)別已知類(lèi)型的入侵者，但不能識(shí)別未知入侵者；另一類(lèi)則是基于模式識(shí)別的方法，例如，聚類(lèi)分析算法。但是，一般的聚類(lèi)分析結(jié)束后，需要人工確定每類(lèi)代表的含義。本文在分類(lèi)之前，預(yù)先選定一些已知入侵者的模板，把這些模板加入到待分類(lèi)識(shí)別的樣本(入侵者)中去，然后，用聚類(lèi)分析方法把已知模板和待識(shí)別的程序(入侵者或正常程序)一起分類(lèi)。當(dāng)分類(lèi)結(jié)束后，根據(jù)模板所在的類(lèi)，就可知道該類(lèi)是屬于哪個(gè)模板類(lèi)(入侵者類(lèi)型或正常程序)。這樣可省去一般分類(lèi)方法分類(lèi)結(jié)束后，還需人工識(shí)別的麻煩，提高了分類(lèi)的自動(dòng)化程度。同時(shí)，本文研究了一種新的分類(lèi)方法----動(dòng)態(tài)自適應(yīng)模板方法，在分類(lèi)的同時(shí)，也可分出與已知模板(入侵者類(lèi)型或正常程序)不同的新類(lèi)(未知或新的入侵者)。最后，用訓(xùn)練好的動(dòng)態(tài)自適應(yīng)模板方法識(shí)別新型入侵者。實(shí)驗(yàn)表明用該方法檢測(cè)無(wú)線網(wǎng)絡(luò)系統(tǒng)中的新型入侵者的準(zhǔn)確率可達(dá)到98%。

下面對(duì)該方法給以比較詳細(xì)的介紹。

1 動(dòng)態(tài)自適應(yīng)模板方法

動(dòng)態(tài)自適應(yīng)模板方法可以自動(dòng)完成分類(lèi)識(shí)別入侵者，也可以加入一些試探性步驟和人機(jī)交互功能，能自動(dòng)地進(jìn)行類(lèi)的合并和分裂，能吸取中間結(jié)果所得到的經(jīng)驗(yàn)，主要時(shí)在迭代過(guò)程中可將一類(lèi)一分為二，亦可能二類(lèi)合二為一，從而得到類(lèi)數(shù)較合理的聚類(lèi)結(jié)果。這種算法已具有啟發(fā)式的特點(diǎn)。

下面我們給出動(dòng)態(tài)自適應(yīng)模板方法：

(1) 動(dòng)態(tài)自適應(yīng)模板方法的步驟，其基本步驟為：

① 選擇某些初始值—可選不同指標(biāo)，也可在迭代運(yùn)算過(guò)程中人為修改，以將N個(gè)模式樣本按指標(biāo)分配到各個(gè)聚類(lèi)中心去。

② 計(jì)算各類(lèi)中諸樣本的距離函數(shù)等指標(biāo)。

③～⑤按給定的要求，將前一次獲得的聚類(lèi)集進(jìn)行分裂和合并處理(④為分裂處理，⑤為合并處理)，以獲得新的聚類(lèi)中心。

⑥ 再次迭代運(yùn)算，重新計(jì)算各項(xiàng)指標(biāo)，判別聚類(lèi)結(jié)果是否符合要求，經(jīng)過(guò)多次迭代運(yùn)算后，如結(jié)果收斂，運(yùn)算結(jié)束。

(2) ISODATA算法的具體步驟：

已 知樣本集為{x1，x2，...，xN}，將 N 個(gè)模式樣本{x1，x2，...，xN}讀入。

預(yù)選Nc個(gè)初始聚類(lèi)中心它可以不必等于所要求的聚類(lèi)中心的數(shù)目，其初始位置亦可從樣本中任選一些代入。

第一步：規(guī)定下列控制參數(shù)：

預(yù)選：K=期望得到的聚類(lèi)數(shù)，也即預(yù)期的聚類(lèi)中心數(shù)目；

QN=一個(gè)聚類(lèi)中的最少樣本數(shù)，即如少于此數(shù)就不作為一個(gè)獨(dú)立的聚類(lèi)；

Qs=一個(gè)聚類(lèi)域中樣本距離分布的標(biāo)準(zhǔn)偏差參數(shù)；

Qc=合并參數(shù)；

L=每次迭代允許合并的最大聚類(lèi)對(duì)數(shù)；I=允許迭代的次數(shù)。

設(shè)初始的聚類(lèi)數(shù)c和初始的聚類(lèi)中心wi，i=1,2,...,c。

第三步：若有任何一個(gè)Ri，其基數(shù)Ni＜QN，則舍去Ri，并令c=c-1。

計(jì)算更新的均值向量。式中Ni是第 I個(gè)聚類(lèi)的樣本數(shù)目(基數(shù))。

第五步：計(jì)算Ri中的所有樣本距其相應(yīng)的聚類(lèi)中心wi的平均距離

第六步：計(jì)算所有樣本距離其相應(yīng)的聚類(lèi)中心的平均距離：

第七步：(a)若這是最后一次迭代(由參數(shù) I確定)，則置θc=0，轉(zhuǎn)下面第十一步；

(c) 若是偶數(shù)次迭代，或若是c≥2K，則轉(zhuǎn)第(11)步。否則，往下進(jìn)行。

第八步：對(duì)每一個(gè)聚類(lèi)Ri，用下列公式求標(biāo)準(zhǔn)差

第九步：對(duì)每一個(gè)聚類(lèi)，求出具有最大標(biāo)準(zhǔn)偏差的分量

σimax，i=1,2,...,c。

第十步：若對(duì)任一個(gè) σimax，i=1,2,...,c，存在 σimax＞ θ ，并且有：

則把Ri分裂成兩個(gè)聚類(lèi)，其中心相應(yīng)為和，把原來(lái)的wi取消，且令c=c+1。和的計(jì)算如下：

給定一個(gè)α值，0<α≤1，令ri=σimax，則和的距離不同，但又應(yīng)使Ri中的樣本仍然在這兩個(gè)新的集合中。

第十一步：對(duì)于所有的聚類(lèi)中心，計(jì)算兩兩之間的距離：

第十二步：比較Dij和θc，將Dij<θc的值按上升次序排列：

第十三步：從最小的Di1j1開(kāi)始，將距離為Di1j1的兩個(gè)聚類(lèi) 中 心Wi1和Wj1合 并 ， 得 新 的 聚 類(lèi) 中 心并令c= c-1。

第十四步：若這是最后一次迭代，則算法終止。否則，若根據(jù)經(jīng)驗(yàn)需要改變參數(shù)，則轉(zhuǎn)第一步；若不需要改變參數(shù)，則轉(zhuǎn)第二步。本步中，還應(yīng)將迭代計(jì)數(shù)器加1。本算法完畢。

2 應(yīng)用動(dòng)態(tài)自適應(yīng)模板法識(shí)別入侵者

基本做法是將每一個(gè)入侵者樣本與已存的模板——進(jìn)行相似性度量測(cè)量，取距離最小或相關(guān)系數(shù)最大者歸類(lèi)。動(dòng)態(tài)自適應(yīng)模板法的基本思想是原有模板在聚類(lèi)過(guò)程中不斷更新，并且允許在聚類(lèi)分析過(guò)程中構(gòu)成新的模板。具體如下：

(1) 原有模板在聚類(lèi)過(guò)程中不斷更新意思是指當(dāng)某一形態(tài)類(lèi)別t增添了新樣本Xk時(shí)，則以下面的遞推公式對(duì)模板進(jìn)行刷新：

式中Mt,k是第 K次更新的模板向量;Nt,k是歸入第t類(lèi)的樣本數(shù)，所得的新模板是該類(lèi)樣本的平均值。從統(tǒng)計(jì)學(xué)的觀點(diǎn)看，平均值更接近于真值。

(2) 允許在聚類(lèi)分析過(guò)程中構(gòu)成新的模板的意思是對(duì)相似性測(cè)量的結(jié)果設(shè)定一個(gè)閾值，當(dāng)新的入侵者的樣本與原有所有模板的距離均大于這個(gè)閾值時(shí)， 則證明它不屬于已有的任一形態(tài)集，算法將以表達(dá)該入侵者的向量構(gòu)造一個(gè)新的模板。

定義第i個(gè)樣本和第m個(gè)模板之間的距離為：

式中：

下面表1是用該方法分類(lèi)檢測(cè)入侵者的正確率。

3 實(shí)驗(yàn)結(jié)果與討論

表1給出了用動(dòng)態(tài)自適應(yīng)模板方法識(shí)別入侵者的結(jié)果。

表1 用動(dòng)態(tài)自適應(yīng)模板方法識(shí)別入侵者的結(jié)果

由表1可以看出當(dāng)無(wú)線網(wǎng)絡(luò)流量達(dá)到1100Mbit/s時(shí)，幾種不同的入侵檢測(cè)系統(tǒng)(IDS)對(duì)入侵者的正確識(shí)別率是不同的。運(yùn)用動(dòng)態(tài)自適應(yīng)模板方法對(duì)入侵者的正確識(shí)率是最高的，從而證明本文研究的方法是有效的而且是可行的。當(dāng)網(wǎng)絡(luò)流量過(guò)大時(shí)，由于入侵檢測(cè)系統(tǒng)不能及時(shí)處理數(shù)據(jù)包，從而放棄對(duì)該數(shù)據(jù)包的檢測(cè)，導(dǎo)致對(duì)入侵者的正確識(shí)別率降低。

4 結(jié)論

實(shí)驗(yàn)表明用本文提出的運(yùn)用動(dòng)態(tài)自適應(yīng)模板方法檢測(cè)入侵者的正確識(shí)別率是比較高的，從而證明本文研究的方法是有效的而且是可行的。該方法的優(yōu)點(diǎn)在于它能夠檢測(cè)到無(wú)線網(wǎng)絡(luò)系統(tǒng)中的未知類(lèi)型的入侵者，提高了無(wú)線網(wǎng)絡(luò)系統(tǒng)的安全性，它也可檢測(cè)已知類(lèi)型的入侵者。另外該方法識(shí)別入侵者的速度快，特別適合網(wǎng)絡(luò)流量很大時(shí)的入侵檢測(cè)，因?yàn)樗幚硭俣瓤欤粊G棄需要檢測(cè)的數(shù)據(jù)包，從而從另一個(gè)側(cè)面提高了對(duì)入侵者的正確識(shí)別率。

[1] 卿斯?jié)h,蔣建春,馬恒太.入侵檢測(cè)技術(shù)研究綜述[J].通信學(xué)報(bào).2004.

[2] YG.Zhang.Intrusion Detection Techniques for Mobile Wireless Networks[J].Wireless Networks.2003.

[3] YG.Zhang.Feature Deduction and Ensemble design of Intrusion Systems[J].Computers & Security.2004.

[4] WK.LEE.Feature Selection of Intrusion Data using a hybrid genetic algorithm Approach[J].Wireless Networks.2007.