一種面向新型入侵的獲取和分類方法

朱磊，王飛，徐本連

（常熟理工學院電氣與自動化工程學院，江蘇常熟 215500）

一種面向新型入侵的獲取和分類方法

朱磊，王飛，徐本連

（常熟理工學院電氣與自動化工程學院，江蘇常熟 215500）

針對網絡異常檢測方法對新型入侵提供信息不足的缺點，提出一種面向新型入侵的獲取和分類方法.首先，通過異常檢測方法捕獲入侵，然后利用匹配過濾機制篩除已知入侵，最后將獲取的新型入侵作為聚類模塊的輸入，通過聚類及提出的類別獲取算法對新型入侵做進一步分類匹配，從而獲得其類別信息.最后，采用KDDCUP99數據集進行實驗仿真，結果表明該檢測方法具有較好的檢測率和較低的誤報率，并且該方法對于識別并分類新型入侵是有效的.

異常檢測；分類映射；信息獲取

1 引言

計算機網絡的復雜性、可訪問性和開放性使得網絡信息安全成為全球關注的重要問題.特別是隨著網絡的廣泛應用，政府信息和軍事數據在網絡上的傳播對網絡安全提出了更高的要求.入侵檢測系統（intru?sion detection system，IDS）是網絡安全控制中最為核心的技術之一，是對傳統網絡安全技術有力的補充.入侵檢測根據其采用的技術分為：誤用（Misuse）檢測和異常（Anomaly）檢測[1].由于新型攻擊的不斷增長以及攻擊技術的不斷改進使得異常檢測方法在入侵檢測技術中占據了越來越重要的位置，日益成為研究的重點[2-3].異常檢測方法在不斷地被研究和改進的同時卻忽略掉了其另一個重要的不足：異常檢測雖然能檢測到新型的入侵，卻無法判斷檢測到的異常是否是新型入侵，因此更加不能對新型入侵給出更多有效的信息，如入侵所屬類型等.這是因為異常檢測的方法是一種通過確定“自我”來辨別“非我”的檢測手段，這種“非我”即是異常的檢測方法能夠檢測新型威脅，但不能判斷其是否為新型攻擊的方法也無法給出其攻擊類型等有用信息.基于以上原因，為了既能夠檢測新型入侵又能夠獲得入侵的更多信息，以增強異常檢測系統的實用性和響應性，本文提出了一種面向新型入侵的獲取和分類方法.

本文提出的檢測方法目的是檢測并獲得新型入侵，進一步再將新型入侵劃歸到入侵的基本類型，從而獲得其基本類型和行為目的等信息.目的是能夠檢測新型的安全威脅，檢測方法采用了異常檢測方法，由兩個功能模塊完成：異常檢測模塊和基于擴展需要的新型入侵的獲取和分類模塊.首先，異常檢測模塊對網絡連接進行異常檢測，然后將檢測捕獲的異常作為后續模塊的輸入以獲取新型入侵及其基本類型信息，進一步對新型入侵進行分類和擴展信息庫（更新），從而增強對新型入侵的檢控能力.

2 檢測模型

本文提出的檢測模型包括兩個功能模塊：異常檢測模塊和信息獲取模塊.異常檢測模塊包括數據預處理和二分類兩個部分，信息獲取模塊包括入侵過濾和新型入侵類別獲取兩個部分.其流程如圖1所示.

為了實現新型入侵的檢測和識別，首先要采用異常檢測方法實現對象的二分類，將檢測對象分成正常行為類和異常行為類，從而可以將正常行為放行，而異常行為作為后續模塊的輸入，檢測得到的異常通過一種過濾機制實現已知入侵的過濾，進而剩下的入侵則被認定為新型入侵，最后的聚類模塊實現未知入侵的映射，通過映射的方法找到新型入侵的類別信息.

異常檢測方法的選取選擇了分類識別方法中使用最為廣泛的支持向量機（Support Vector Machine，SVM），支持向量機作為模式識別中重要的學習和分類方法，已經被應用到入侵檢測中.入侵檢測的本質是分類問題，是通過檢測將正常行為與異常行為分開.但IDS中用于分類的數據比較復雜，體現在高維性、小樣本性和不可分性幾個方面.SVM是在小樣本學習的基礎上發展起來的分類器，適用于小樣本數據，且對高維數據不敏感，能用于密度估計和孤立點的發現.因此，適用于入侵檢測領域高維異構不均衡數據集的分類及其設計和異常發現[4-5].

為了捕獲新型入侵和對其分類，首先需要對已知入侵進行過濾，已知的入侵過濾由一類支持向量機（One Class Support Vector Machine，OC-SVM）完成.一類支持向量機是設某一類樣本數據在特征空間中具有一定的概率分布，通過構建描述樣本概率分布的二值模型來判斷待測試的樣本在特征空間是否服從該模型分布，也就是該待測的數據是否屬于該類[6].入侵檢測中，采用OC-SVM對網絡樣本集進行訓練，獲得一個區域，區域內的樣本隸屬于該類，區域外的一般稱為孤立點（outlier）.本文中，選用已知入侵作為訓練樣本，獲得已知入侵的涵蓋區域，因此，由異常檢測模塊獲得的異常通過OC-SVM分類器進行分類匹配，落入已知入侵涵蓋區域的網絡連接可直接作為確定的入侵輸出，落在區域外的連接則是新型的入侵，通過這種辦法過濾已知入侵從而獲得新型入侵.

最后，獲得的新型入侵通過映射進行分類以獲得其基本類別信息和行為目的，新型入侵的歸類由自組織映射（Self-Organizing Map，SOM）和類別獲取算法共同完成.

自組織映射完成新型入侵的映射，利用SOM良好的映射機理將新型入侵映射到確定的已知入侵類中，從而確定新型入侵的入侵類別信息.

SOM是神經網絡，以競爭學習規則進行訓練，對刺激反應最強烈的神經元贏得競爭.在競爭中獲勝的神經元獲得以后對這種刺激響應的權力[7].在訓練階段，SOM將輸入向量映射到輸出網格上與該向量距離（就歐氏距離而言）最近的神經元上[7].為了更好地對進入的異常連接進行劃分，SOM部分的訓練僅使用入侵數據集.采用入侵數據進行訓練的神經元對應的是各種類型的入侵，因此當檢測到的異常作為輸入進入到SOM學習器，通過查看其映射所對應神經元就可以得到該新型入侵所隸屬的攻擊類型，進而得到其更多有效的信息.

圖1 檢測系統流程圖

對于異常連接的類別信息獲取采用歸類標識的方法給出，每一個進入的連接通過分析研究其所歸屬的類別來獲得其有價值的信息.具體的，網絡攻擊類型分為4大類：Dos，Probe，R2L，U2R，每個大類內又包含多種攻擊，雖然攻擊名稱各異但是最終目的或采用的手段是相似的，因此知道一個攻擊隸屬于某一種攻擊類型則能夠獲得該攻擊可能的行為以及其行為目的，即只要能夠得到進入的異常連接所隸屬的類別則可獲取該異常連接的行為目的及行為特征等信息，同時擴展到對新型入侵的更多信息的獲取，如隸屬類別，行為目的等[8].

為了能夠獲取異常連接的類別信息，需要先對輸出網格神經元貼標簽，然后對進入的異常連接進行檢查，查看其所映射的輸出神經元上，再查看該神經元的標簽從而獲得異常連接的類（標簽）[8].使用文獻[8]中提出的兩個算法分別實現標簽的獲得和類別的映射，完成新型入侵的類別信息獲取.

通過算法可以獲得進入的異常連接所屬類型，進而可以分析獲得有價值的信息.

3 實驗

實驗選擇入侵檢測領域中權威的測試數據集KDD?CUP99[9]，該數據集是麻省理工學院Lincoln實驗室仿真美國空軍局域網環境而建立的網絡流量測試數據集.數據集包含多種網絡環境下的模擬入侵，包含了前文提到的4大類入侵方式（見表1）.本文從“10%ofKDDCUP99”選取數據集分別作為訓練集train和測試集test.

表2對訓練集和測試集五大類網絡連接樣本的數量進行了統計，由于本文的檢測系統的目的是識別和分類未知入侵，所以在測試集test中加入了300條Unknow的樣本作為未知入侵.

對于加入測試集test的Unknow樣本的種類與數量，如表3所示，被選取為未知入侵的樣本類型在訓練集train中均不會出現.

根據數據的特性及實驗的需要，對數據進行以下處理：分類屬性特征的量化；標準化處理.量化的過程有多種，在實驗中選擇將字符串型屬性與數值對應，如protocol type：ic?mp-1；tcp-2；udp-3；others-4；不改變原數據集的維度，即不增加計算的復雜度.

標準化處理：

表1 訓練集train和測試集test樣本的選取

設有n個樣本，每個樣本有d項特征（變量），待觀測數據xij(i=1,2,…,n;j=1,…,d)，每個樣本為xi=(xi1,xi2,…,xid)，一維屬性為xj=(x1j,x2j,…,xij)T，選擇對樣本按維標準化，xmin與xmax分別為一維屬性xj的最小值與最大值，則標準化的x′j為

3.1 基于SVM的異常檢測性能

因為參數的選擇并沒有先驗知識，必須通過一定的過程進行參數選擇，目的是確定好的（c，g）使得分類器能正確地預測測試集數據，有較高的分類準確率.確保在選好的參數情況下能正確地對數據分類，并得到最優的檢測率，以及最低的虛檢率和漏檢率.

對應測試集test中，正常樣本數量為2031，異常樣本數量為7895，計算四種（c，g）情況下的虛警率與漏警率，見表5.

綜上所述，在檢測率盡量高的情況下，我們追求虛檢率和漏檢率都盡量的低.在虛警率相差不大的情況下，（c，g）=（10000，0.01）時，檢測的各項指標分類準確度、漏警率以及檢測率均有更好的表現，故可以確定（c，g）=（10000，0.01）為最優參數值.

3.2 基于OC-SVM的未知入侵獲取性能

此模塊由四個一類支持向量機（OC-SVM）串行連接，每一個OC-SVM均可看做一種類型攻擊的信息庫.因此，對四個OC-SVM分別用訓練集中DoS、Probe、R2L和U2R樣本進行訓練獲得檢測器模型，對輸入的入侵樣本依次匹配和過濾，匹配則直接輸出；當通過四個OC-SVM均被判為不匹配，則認為這條入侵樣本為未知的新型入侵.

但需要注意的是，OC-SVM的檢測效果受到兩個方面的影響一方面在于OC-SVM受限于自身的檢測性能，而另一方面訓練樣本的不足也導致檢出率較低，由于數據集中R2L和U2R的數量很少所以無法獲得充足的數據樣本進行訓練.實驗中OC-SVM同樣選取RBF核函數，通過實驗選取參數如下：

表2 訓練集train和測試集test的樣本數量

表3 測試集test中的未知入侵的種類與數量

表6為4個OC-SVM在已選定的參數下的檢測性能，包括虛警率、漏警率以及檢測率三種指標.

從表6中可以看出，受到OC-SVM的性能限制，這四個一類支持向量機會有較高的虛警和漏警，而對R2L進行檢測的OC-SVM受到樣本容量過少的影響，對已知型R2L有大量漏檢，但為了保證未知入侵的樣本不被誤檢，可以進入未知入侵信息獲取模塊，所以仍以分類準確率最優為選擇標準.

3.3 基于SOM的信息獲取性能

對于OC-SVM檢測性能不高的弱點，SOM對其是有效的補充，未被檢出過濾的連接進入SOM分類模塊，通過SOM可以進一步對其進行分類，因此，SOM不僅是對未知入侵的獲取與分類，同時也是對一類分類器的補充.

對于上一級模塊輸入進信息獲取模塊的未知入侵樣本，SOM分類效果記錄在表7中.在已選定的OC-SVM參數下，以如下數據作為SOM仿真參數：

輸出神經元網格為方形；迭代次數1000；η0=0.1；σ0=輸出網格的邊長.

表4 在不同c，g的情況下的檢測精確度

表6 OC-SVM的檢測性能

由表7決定選擇σ0=9作為SOM參數，圖2給出了SOM圖示，圖中以2，3，4，5依次標記DoS、Probe、R2L、U2R.

由于R2L、U2R兩類的訓練樣本較少，且受到本文數據量化方式——將占比較少的屬性歸為‘other’類的影響，降低了部分樣本的特異性，所以SOM對數量較少的R2L、U2R類的未知入侵的檢測效果不理想.但對于數量較大的DoS、Probe類的未知入侵，本文設計的SOM分類器還是可以識別，并獲得其攻擊信息的.

3.4 綜合表現與分析

綜合以上圖表中的各項指標，本系統的異常檢測模塊可以較好地完成正常/異常識別，在之后的未知入侵獲取以及信息獲取模塊，當樣本容量足夠時，其檢測性能良好，對未知入侵識別和分類可以完成，但對于訓練樣本較少的攻擊類型，效果并不理想.這一方面是受到訓練樣本容量的限制，以及一類支持向量機的性能局限，另一方面是本文量化方法降低了部分數據樣本的特異性，影響了檢測效果.

整個系統采用分步模塊化處理，將復雜的問題簡化，每個模塊僅負責單一功能，降低了計算復雜度.其中模塊一基于SVM進行異常檢測，僅完成對網絡連接的正常/異常識別，以此實現入侵檢測系統在網絡安全中最基本的功能，即阻隔入侵，保護用戶不受窺探與攻擊；模塊二基于串行連接的OC-SVM進行對未知入侵的獲取，此模塊以四個OC-SVM作為已知入侵的信息庫，對模塊一檢測出的異常連接匹配和過濾，將無法識別的異常連接認定為未知入侵，縮小了對未知入侵的檢測范圍；模塊三基于SOM對未知入侵完成入侵信息的獲取，完成本系統設計的初衷，即在完成入侵檢測的同時，獲取未知入侵的樣本及信息.同時，更為重要的意義在于，當獲得足夠數量的未知入侵樣本后，可以再利用這些樣本對信息庫（模塊二）進行更新，加強系統檢測性能.

表7 攻擊分類性能

圖2 SOM分類示意圖

4 結論

本文提出了一種面向新型入侵的獲取和分類方法，采用分步的方法分別完成網絡的異常檢測、新型入侵的獲取和分類，進而可以通過對入侵所屬類的研究獲得該新型入侵更多有效信息.檢測方法首先采用支持向量機算法執行異常檢測，采用單純的異常檢測方法能夠避免系統趨向于檢測已知攻擊，這提高了檢測器對新型入侵的檢測性能，異常檢測之后獲得的異常連接通過由OC-SVM和SOM共同組成的新型入侵的獲取和分類模塊完成對異常連接的匹配過濾、映射和分類.已知入侵通過匹配的方法直接輸出，對新型入侵的信息獲取通過映射和分類獲取算法完成.獲得的新型入侵的類別信息通過反饋更新可以擴展信息庫，增強系統對于入侵的響應能力尤其是對新型入侵的響應能力.仿真實驗表明該系統在具有較高的檢測率和較低的誤報率的情況下可有效獲取進入的異常和新型入侵的信息.

[1]Shelly Xiaonan Wu,Wolfgang Banzhaf.The use of computational intelligence in intrusion detection systems:A review.[J].Applied SoftComputing,2010,10:1-35.

[2]Chih-Fong Tsai a,Yu-Feng Hsu b,Chia-Ying Lin c,et al.Intrusion detection by machine learning:A review[J].Expert Systemswith Applications,2009,36:11994-12000.

[3]WEIYu-xin,WU Mu-qing.KFDA and clustering based multiclass SVM for intrusion detection[J].The Journal of China University of Postsand Telecommunications,2008,15(1):123-128.

[4]Taeshik Shon,Jongsub Moon.A hybrid machine learning approach to network anomaly detection[J].Information Sciences,2007, 177:3799-3821.

[5]Rachid Beghdad.Critical study ofneuralnetworks in detecting intrusions[J].Computers&Security,2008,27(5-6):168-175.

[6]Giacinto G,PerdisciR,Rio M D,et al.Intrusion detection in computer networks by amodular ensemble of one-class classifiers[J]. Information Fusion,2008,9(1):69-82.

[7]Kayacik H G,Zincir-Heywood A N,Heywood M I,etal.On the Capability ofan SOM based Intrusion Detection System[C].2003 In?ternational JointConference on Neural Networks,Oregon,USA,2003:1808-1813.

[8]王飛.入侵檢測分類器設計及其融合技術研究[D].南京：南京理工大學，2011.

[9]Pfahringer B.W inning entry of the kddcup99 classifier learning contest[EB/OL].http://www.acm.org/sigs/sigkdd/kddcup/,1999.

A Method of the Capture and Classification of New Intrusions

ZHU Lei,WANG Fei,XU Ben-lian
(School of Electrical and Automation Engineering,Changshu Institute of Technology,Changshu 215500,China)

In view of less useful information for new intrusions that can be obtained by anomaly detection,a method of the capture and classification of new intrusion is proposed.First,an anomaly intrusion detection meth?od is used to find intrusions.Second,pattern matching plays a role in filtering out the known intrusions,and the remaining new intrusions are regarded as the input to clustering module,through which further classification is carried out.As a result,the valid information about its class is obtained.Finally,based on the experiment simu?lation,which uses data set KDDCUP99,the results show that the detection method has a better detection rate and low false alarm rate,and that themethod to identify and classify the new intrusions is valid.

anomaly detection;classification map;information acquisition

TP309

A

1008-2794（2012）08-0103-06

2012-06-13

朱磊（1990—），男，江蘇漣水人，常熟理工學院電氣與自動化工程學院自動化專業學生.

王飛（1977—），男，山東濱州人，講師，博士，研究方向：模式識別、信息安全，E-mai:wangleea@yahoo.com.cn.