基于孤立點檢測的自適應入侵檢測技術研究

王小芬+張海娜

摘 要：在對網絡進行傳統入侵檢測時，主要就是從那些已知的攻擊數據中對攻擊數據的規則和特征模式進行提取，提取之后再根據這些規則和特征模式進行相應的匹配。因為采用這種入侵檢測技術是在已知的攻擊數據基礎上提出規則和特征模式的，所以在面對比較新的不斷持續變化的攻擊時，這種入侵檢測技術就不能夠發揮出最基本的作用。面對這樣的情況，在研究入侵檢測技術時，重點就是基于數據挖掘的入侵檢測技術，文章主要研究的就是基于孤立點檢測的自適應入侵檢測技術。

關鍵詞：數據挖掘；孤立點檢測；自適應；入侵檢測技術

中圖分類號：TP309 文獻標識碼：A 文章編號：1006-8937（2014）14-0004-02

在網絡動態的安全技術當中，網絡入侵檢測技術是其中的一項核心技術，入侵檢測技術主要就是收集計算機網絡系統當中很多關鍵點的相關信息，然后對這些信息進行分析和研究，主要目的是對網絡進行監測，同時也不會影響到網絡正常使用的性能，最終對網絡進行實時和有效的保護。現在的入侵檢測技術主要是基于特征的誤用檢測以及基于異常的檢測這樣兩中。基于異常的檢測主要就是通過檢測系統的異常行為從而來發現那些不了解的攻擊。從目前的情況來說基于異常的檢測還存在很多需要去解決的問題，但是如果能夠把準確率以及性能這些主要的問題解決了，那么基于異常的檢測肯定能夠在入侵檢測系統當中發揮更加重要的作用。正是因為這樣才需要仔細的研究基于異常的入侵檢測技術。因為入侵檢測系統在實際的工作當中整個環境是在不斷的發生著變化，那么在建立入侵檢測模式就應該要讓它們能夠很好的去自動適應這些變化的環境，這樣性能才能夠保持的比較好。

1 對系統基本原理的分析

基于誤用的入侵檢測技術在實際的檢測過程當中只能夠對那些已知的攻擊進行檢測，對于那些已知攻擊的變異和未知的攻擊就不能夠有效的檢測出來。為了能夠有效的解決這個問題現在主要采用的辦法就是在入侵檢測過程當中充分的利用數據挖掘的分析方法，然后建立起一種基于數據挖掘的入侵檢測模式。在解決這些問題的時候采用數據挖掘技術的話能夠有很多種的方法，比如序列分析、聚類分析、關聯分析、孤立點分析、挖掘粗糙集以及分類等。在數據挖掘當中分類算法現在的應用比較成熟，但是在面對不斷變化的動態環境時這種算法卻不能夠很好的適應，而挖掘粗糙集的算法則比較的復雜，所以如果應用到入侵檢測技術當中的話也將會受到很多的限制。所以本文主要就是采用了關聯分析、孤立點分析以及異常檢測技術來構建起了自適應的入侵檢測模式。

1.1 在異常檢測當中對孤立點挖掘技術的充分利用

異常檢測其實就是基于行為的一種入侵檢測技術，在建立輪廓模型的時候主要就是根據網絡、用戶、系統以及程序的正常行為來完成的，對于那些和正常行為偏差比較大的行為都可以看成是異常行為。在進行異常檢測的時候，需要在網絡、用戶以及系統正常使用一定的時間之后收集相關的信息，那么在建立正常行為模式的時候就可以根據收集到的這些相關信息來完成。在實際的檢測過程當中，可以根據某些度量來對這些信息的偏差程度進行計算。首先對于異常檢測當中孤立點挖掘算法的分析。在數據挖掘技術當中孤立點的挖掘算法是非常重要的一個發展方向，它主要就是從很多比較復雜的數據當中，去挖掘出藏匿在小部分異常數據當中和一般正常數據模式不一樣的那些數據模式。在對孤立點進行實際描述的時候可以這樣來進行：首先需要給定一個集合，這個集合當中包含了很多的數據或者對象，同時對于預計孤立點的數量也應該要確定，這樣就能夠很好的發現和剩下的一些數據相比較有明顯區別的數據個數。孤立點挖掘計算其實可以看成是兩個問題：第一個問題是在給定的這個數據集合當中對什么樣的數據可以看成是不一樣的進行定義；第二個就是要找出一種比較合理和有效的方法來對這些孤立點進行挖掘。其次就是對基于入侵檢測的孤立點算法的分析。在入侵檢測技術當中，進行孤立點挖掘算法的時候就需要保證計算的準確性以及時效性，而孤立點挖掘算法的復雜度可以看成是O（n2），如果在實際的入侵檢測技術當中直接采用這種復雜度的話，那么肯定會對入侵檢測技術的時效性產生非常嚴重的影響，那么這樣就只能夠改進上面講到的這種孤立點挖掘算法的時效性。而且在網絡當中數據是在一直不斷變化的，所以在本文的研究當中采用的孤立點挖掘算法主要是基于定長動態滑動窗口，那么在實際的計算過程當中，可以假設窗口的長度是保持不變的為w個數據包，滑動長度的單位則可以假設為i個數據包，那么當新的i個數據包到達的時候，窗口就會相應的向前移動一個單位長度的距離，如果對R矩陣當中的第1列到第i列進行更新的話，同時其他的相關數據不變，那么就能夠得到孤立點挖掘算法的復雜度就為O（n）。

1.2 對自適應入侵檢測系統的基本原理分析

最開始的入侵檢測技術在實際的檢測過程當中需要先對已知的訓練集進行訓練，在經過一定的訓練之后就能夠得到一個靜態的檢測模型，在對新的數據進行入侵判斷的時候主要就是通過這個靜態的檢測模型來完成的。因為網絡環境相對比較復雜和多變，所以這種靜態的檢測模型就不能夠很好的去適應這樣的網絡環境。面對這樣的情況就需要建立起自適應的入侵檢測技術，這樣當網絡環境在不斷變化的時候，入侵檢測模型也能夠根據這些變化去自己學習和適應，最終來對那些未知的入侵行為進行識別。

在采用前面講述到的孤立點挖掘算法找出了網絡環境當中的異常孤立點之后，如果馬上就對這些異常的孤立點進行關聯分析的話，那么在設置關聯分析算法當中的閾值就會比較的困難，同時采用關聯分析最后得到的結構對于網絡當中的異常數據包檢測的作用也不能夠有效的發揮出來，出現這些問題的主要原因就是因為在網絡當中的攻擊形式非常的多。所以在找出網絡環境當中的異常孤立點之后，就需要對這些孤立點按照攻擊類型的不同進行聚類，在進行關聯分析的時候則需要根據聚類之后的每一類來完成，這樣就能夠有效的挖掘出攻擊網絡異常數據包當中各種不同的潛在入侵模式，然后就可以得到相應的關聯規則集，在通過一定的轉換之后，就能夠把這些關聯規則集轉變成為入侵檢測系統具體的規則語法，然后添加到相應的規則庫當中，入侵檢測系統當中的檢測引擎就能夠直接使用這些規則語法，最終就能夠有效的達到只適應的目的。endprint

2 實驗及結果分析

2.1 在異常檢測當中采用孤立點數據挖掘算法的相關實

驗分析

在進行這個實驗的時候主要采用的就是KDD99的UCI數據集來對孤立點挖掘算法的有效性進行驗證。在KDD99的UCI數據集當中每一項記錄都是通過41個連續或者是離散的屬性來進行描述的，比如協議的類型、持續的時間等，同時對于它所屬的哪種類型也有具體的標注，入侵的攻擊類型主要就包括了Probe、R2L、U2R以及DoS。為了能夠有效的對孤立點挖掘算法對不同攻擊類型的檢測效果進行分析，那么在具體的實驗過程當中需要從KDD99的UCI數據集中選擇5組數據來作為實驗的樣本，其中4組分別就是4種不同攻擊類別的單個攻擊實驗，而最后一組則是混合了4種攻擊類型的實驗，在每一組實驗樣本當中有5 000個入侵記錄和10 000個正常記錄。在KDD99的UCI數據集中并不是每一個數據屬性對實驗都有比較大的幫助，在經過了相關的專家和學者分析之后可以發現，其中只有13中屬性對實驗比較的重要，在這些屬性當中包括了數值型和符號型。在實際的實驗過程當中，可以根據實際情況對閾值參數分別設為6、8、9、10，和11，窗口的滑動單位長度為10，窗口的寬度為1 000，具體的實驗結果見表1。

從表中能夠比較清楚的發現，對于Probe、DoS這兩種入侵攻擊類型來說，孤立點挖掘算法都取得了比較好的檢測結果，但是對R2L、U2R來說檢測的效果卻不是很好，這其實和現實基本是一樣的。R2L、U2R攻擊在實際的入侵攻擊當中種類比較的多，而且很多U2R在攻擊的過程當中都是偽裝成合法的用戶進行攻擊，這樣就造成了U2R的數據包和正常的數據包比較相似，那么在進行算法檢測的時候就會有一定的難度。雖然對R2L、U2R的檢測率不高，但是如果和其他的檢測方法進行比較的話，就能夠發現這種檢測方法的優點。

2.2 對自適應的入侵檢測系統進行相關的實驗分析

在對自適應的入侵檢測系統進行相關的實驗我們主要采用了IDS Snort來作為相關的實驗平臺，而在實際的測試過程當中則主要是通過IDS Snort的模擬攻擊工具來完成的。IDS Snort其實就是一個比較常用的基于誤用檢測的入侵檢測系統，這種入侵檢測系統具有比較好的擴展性以及開源輕量級，在進行實驗之前，需要把關聯分析模塊以及孤立點挖掘模塊當成是智能檢測的模塊通過插件的方式嵌入到IDS Snort平臺當中，這樣IDS Snort平臺就能夠對那些未知的工具進行檢測。在試驗的過程當中需要對日志記錄通過特征提取器來進行分析，在新的系統當中能夠產生關聯的規則，這樣就能夠很好的證明這種系統能夠對未知攻擊和已知變種的攻擊進行檢測。

3 結 語

基于孤立點檢測的自適應的算法在入侵檢測技術當中的應用具有很多的優點，它能夠有效的檢測出那些未知的攻擊以及已知變種的攻擊，能夠更好的對網絡進行實時的保護。經過相關的實驗之后可以發現，基于孤立點檢測的自適應入侵檢測技術所檢測出的數據報告非常的準確，這樣入侵檢測服務的質量也能夠得到很大程度的提高。

參考文獻：

[1] 李珺.基于孤立點挖掘的入侵檢測技術在網絡安全中的應用[J].信息安全與技術，2012，（7）.

[2] 景波，劉瑩，黃兵.基于孤立點檢測的工作流研究[J].計算機工程，2008，（22）.

[3] 黃斌，史亮，姜青山，等.基于孤立點挖掘的入侵檢測技術[J].計算機工程，2008，（3）.

[4] 孟浩.孤立點挖掘技術在入侵檢測中的應用研究[D].大連：大連海事大學，2007.

[5] 吳楠楠.孤立點挖掘技術在異常檢測中的應用研究[D].廈門：廈門大學，2007.

[6] 楊程程，黃斌.一種基于孤立點挖掘的入侵檢測技術[J].現代電子技術，2010，（11）.

[7] 劉積芬.網絡入侵檢測關鍵技術研究[D].上海：東華大學，2013.endprint

2 實驗及結果分析

2.1 在異常檢測當中采用孤立點數據挖掘算法的相關實

驗分析

在進行這個實驗的時候主要采用的就是KDD99的UCI數據集來對孤立點挖掘算法的有效性進行驗證。在KDD99的UCI數據集當中每一項記錄都是通過41個連續或者是離散的屬性來進行描述的，比如協議的類型、持續的時間等，同時對于它所屬的哪種類型也有具體的標注，入侵的攻擊類型主要就包括了Probe、R2L、U2R以及DoS。為了能夠有效的對孤立點挖掘算法對不同攻擊類型的檢測效果進行分析，那么在具體的實驗過程當中需要從KDD99的UCI數據集中選擇5組數據來作為實驗的樣本，其中4組分別就是4種不同攻擊類別的單個攻擊實驗，而最后一組則是混合了4種攻擊類型的實驗，在每一組實驗樣本當中有5 000個入侵記錄和10 000個正常記錄。在KDD99的UCI數據集中并不是每一個數據屬性對實驗都有比較大的幫助，在經過了相關的專家和學者分析之后可以發現，其中只有13中屬性對實驗比較的重要，在這些屬性當中包括了數值型和符號型。在實際的實驗過程當中，可以根據實際情況對閾值參數分別設為6、8、9、10，和11，窗口的滑動單位長度為10，窗口的寬度為1 000，具體的實驗結果見表1。

從表中能夠比較清楚的發現，對于Probe、DoS這兩種入侵攻擊類型來說，孤立點挖掘算法都取得了比較好的檢測結果，但是對R2L、U2R來說檢測的效果卻不是很好，這其實和現實基本是一樣的。R2L、U2R攻擊在實際的入侵攻擊當中種類比較的多，而且很多U2R在攻擊的過程當中都是偽裝成合法的用戶進行攻擊，這樣就造成了U2R的數據包和正常的數據包比較相似，那么在進行算法檢測的時候就會有一定的難度。雖然對R2L、U2R的檢測率不高，但是如果和其他的檢測方法進行比較的話，就能夠發現這種檢測方法的優點。

2.2 對自適應的入侵檢測系統進行相關的實驗分析

在對自適應的入侵檢測系統進行相關的實驗我們主要采用了IDS Snort來作為相關的實驗平臺，而在實際的測試過程當中則主要是通過IDS Snort的模擬攻擊工具來完成的。IDS Snort其實就是一個比較常用的基于誤用檢測的入侵檢測系統，這種入侵檢測系統具有比較好的擴展性以及開源輕量級，在進行實驗之前，需要把關聯分析模塊以及孤立點挖掘模塊當成是智能檢測的模塊通過插件的方式嵌入到IDS Snort平臺當中，這樣IDS Snort平臺就能夠對那些未知的工具進行檢測。在試驗的過程當中需要對日志記錄通過特征提取器來進行分析，在新的系統當中能夠產生關聯的規則，這樣就能夠很好的證明這種系統能夠對未知攻擊和已知變種的攻擊進行檢測。

3 結 語

基于孤立點檢測的自適應的算法在入侵檢測技術當中的應用具有很多的優點，它能夠有效的檢測出那些未知的攻擊以及已知變種的攻擊，能夠更好的對網絡進行實時的保護。經過相關的實驗之后可以發現，基于孤立點檢測的自適應入侵檢測技術所檢測出的數據報告非常的準確，這樣入侵檢測服務的質量也能夠得到很大程度的提高。

參考文獻：

[1] 李珺.基于孤立點挖掘的入侵檢測技術在網絡安全中的應用[J].信息安全與技術，2012，（7）.

[2] 景波，劉瑩，黃兵.基于孤立點檢測的工作流研究[J].計算機工程，2008，（22）.

[3] 黃斌，史亮，姜青山，等.基于孤立點挖掘的入侵檢測技術[J].計算機工程，2008，（3）.

[4] 孟浩.孤立點挖掘技術在入侵檢測中的應用研究[D].大連：大連海事大學，2007.

[5] 吳楠楠.孤立點挖掘技術在異常檢測中的應用研究[D].廈門：廈門大學，2007.

[6] 楊程程，黃斌.一種基于孤立點挖掘的入侵檢測技術[J].現代電子技術，2010，（11）.

[7] 劉積芬.網絡入侵檢測關鍵技術研究[D].上海：東華大學，2013.endprint

2 實驗及結果分析

2.1 在異常檢測當中采用孤立點數據挖掘算法的相關實

驗分析

在進行這個實驗的時候主要采用的就是KDD99的UCI數據集來對孤立點挖掘算法的有效性進行驗證。在KDD99的UCI數據集當中每一項記錄都是通過41個連續或者是離散的屬性來進行描述的，比如協議的類型、持續的時間等，同時對于它所屬的哪種類型也有具體的標注，入侵的攻擊類型主要就包括了Probe、R2L、U2R以及DoS。為了能夠有效的對孤立點挖掘算法對不同攻擊類型的檢測效果進行分析，那么在具體的實驗過程當中需要從KDD99的UCI數據集中選擇5組數據來作為實驗的樣本，其中4組分別就是4種不同攻擊類別的單個攻擊實驗，而最后一組則是混合了4種攻擊類型的實驗，在每一組實驗樣本當中有5 000個入侵記錄和10 000個正常記錄。在KDD99的UCI數據集中并不是每一個數據屬性對實驗都有比較大的幫助，在經過了相關的專家和學者分析之后可以發現，其中只有13中屬性對實驗比較的重要，在這些屬性當中包括了數值型和符號型。在實際的實驗過程當中，可以根據實際情況對閾值參數分別設為6、8、9、10，和11，窗口的滑動單位長度為10，窗口的寬度為1 000，具體的實驗結果見表1。

從表中能夠比較清楚的發現，對于Probe、DoS這兩種入侵攻擊類型來說，孤立點挖掘算法都取得了比較好的檢測結果，但是對R2L、U2R來說檢測的效果卻不是很好，這其實和現實基本是一樣的。R2L、U2R攻擊在實際的入侵攻擊當中種類比較的多，而且很多U2R在攻擊的過程當中都是偽裝成合法的用戶進行攻擊，這樣就造成了U2R的數據包和正常的數據包比較相似，那么在進行算法檢測的時候就會有一定的難度。雖然對R2L、U2R的檢測率不高，但是如果和其他的檢測方法進行比較的話，就能夠發現這種檢測方法的優點。

2.2 對自適應的入侵檢測系統進行相關的實驗分析

在對自適應的入侵檢測系統進行相關的實驗我們主要采用了IDS Snort來作為相關的實驗平臺，而在實際的測試過程當中則主要是通過IDS Snort的模擬攻擊工具來完成的。IDS Snort其實就是一個比較常用的基于誤用檢測的入侵檢測系統，這種入侵檢測系統具有比較好的擴展性以及開源輕量級，在進行實驗之前，需要把關聯分析模塊以及孤立點挖掘模塊當成是智能檢測的模塊通過插件的方式嵌入到IDS Snort平臺當中，這樣IDS Snort平臺就能夠對那些未知的工具進行檢測。在試驗的過程當中需要對日志記錄通過特征提取器來進行分析，在新的系統當中能夠產生關聯的規則，這樣就能夠很好的證明這種系統能夠對未知攻擊和已知變種的攻擊進行檢測。

3 結 語

基于孤立點檢測的自適應的算法在入侵檢測技術當中的應用具有很多的優點，它能夠有效的檢測出那些未知的攻擊以及已知變種的攻擊，能夠更好的對網絡進行實時的保護。經過相關的實驗之后可以發現，基于孤立點檢測的自適應入侵檢測技術所檢測出的數據報告非常的準確，這樣入侵檢測服務的質量也能夠得到很大程度的提高。

參考文獻：

[1] 李珺.基于孤立點挖掘的入侵檢測技術在網絡安全中的應用[J].信息安全與技術，2012，（7）.

[2] 景波，劉瑩，黃兵.基于孤立點檢測的工作流研究[J].計算機工程，2008，（22）.

[3] 黃斌，史亮，姜青山，等.基于孤立點挖掘的入侵檢測技術[J].計算機工程，2008，（3）.

[4] 孟浩.孤立點挖掘技術在入侵檢測中的應用研究[D].大連：大連海事大學，2007.

[5] 吳楠楠.孤立點挖掘技術在異常檢測中的應用研究[D].廈門：廈門大學，2007.

[6] 楊程程，黃斌.一種基于孤立點挖掘的入侵檢測技術[J].現代電子技術，2010，（11）.

[7] 劉積芬.網絡入侵檢測關鍵技術研究[D].上海：東華大學，2013.endprint