模糊數據挖掘和遺傳算法的網絡入侵檢測方法

摘 要 本文旨在設計出整套嶄新網絡入侵檢測系統來表明遺傳算法、模糊數據挖掘技術檢測網絡入侵具有有效性。該系統綜合運用了在模糊數據挖掘技術和專家系統的基礎上的異常檢測和濫用監測兩種模式。本文首先簡要介紹了新式入侵檢測系統的體系結構，隨后從模糊邏輯、數據挖掘這兩方面對模糊數據挖掘技術下的異常檢測進行分析，說明模糊邏輯頻率集可使入侵檢測誤判率降低。最后用遺傳算法對模糊數據隸屬函數進行調整，證明遺傳算法在識別各種入侵類型時十分有效。

【關鍵詞】遺傳算法 數據挖掘 檢測方法

網絡入侵檢測通常氛圍異常檢測和濫用檢測兩種方法，濫用檢測技術通常是以專家知識鑒別入侵出現與否，這就導致它檢測偽裝后入侵模式和新入侵模式的檢出率較低。為此，人們嘗試采用異常檢測技術處理該問題，采取異常檢測會檢測出同正常行為有別的行為，并發布相應警報。

1 新式入侵檢測系統的體系構造

故此，我們向模糊邏輯理論轉變檢測理念。事實上，模糊邏輯理論十分適合解決網絡入侵檢測難題。

（1）模糊邏輯中擁有大量定量特性可以對應網絡入侵檢測的特征；

（2）用模糊邏輯理論對網絡入侵檢測問題進行處理安全性會更高。

本文中我們運用模糊邏輯來使數據挖掘技術性能增強，并以此創建新智能入侵檢測系統，并且將模糊數據挖掘技術和遺傳算法技術運用在其中。

將一個新式、智能的網絡入侵檢測系統設計和創建出來是我們的終極目標，該系統應具備靈活、精準、及時、分布性等特性，不會由于極小的差別就會出現檢測失誤，且擁有適應新狀況的能力。

該種新式的系統體系結構在邏輯模糊論的基礎上，機器學習組件對網絡系統的正常行為展開學習。最后，采用模糊和非模糊這兩種頻率集儲存正常行為。

審計試驗監測數據時采用異常入侵檢測模塊，且在對比正常行為和新行為之后判定出異常是否產生。假若與提供的闕值相比，模式集合相近度低，就可以判定為異常行為產生，則系統就要將這一入侵警告發出。

作為使用模糊集合和專家知識這兩種規則的濫用入侵檢測模塊，要使新行為匹配已知的攻擊行為，從而對新行為是否為入侵行為做出判斷。

該系統不但可以綜合運用異常檢測和濫用檢測模式，而且可使用模糊邏輯方式。在各檢測模塊中，運用模糊邏輯，能夠更為靈活、敏捷的判定入侵行為之規則，使其遭受損壞的概率大幅降低。

系統在機器學習組件的支持下能夠很快的與新環境相適應，實行該檢測方式時可視作入侵檢測模塊集合。而某入侵檢測模塊不但能對一種入侵類型進行處理，還能處理融合若干入侵的類型。而若干個入侵檢測模塊彼此協作可對繁瑣入侵行為進行檢測，該種協作式檢測具有松耦合的特性，它們依然相對獨立的展開作業，模塊不同運用的方式也有較大差異。比如，某模塊入侵檢測基本規則可設定為專家系統，而另外模塊在進行入侵檢測時可運用神經網絡分類器展開。該種松耦合形式的協作，對系統擴張的抑制有益，也就是在持續增加入侵行為種類時，可采用各模塊間的恰當協作來抑制，不用再增添新檢測模塊。

通信模塊是決策和入侵檢測這兩大模塊的橋梁，而某一入侵檢測是否激活或者對各模給出的評估結果進行整合則取決于決策模塊。

2 在模糊數據挖掘基礎上的異常檢測

在龐大數據中將有用信息挖掘出來是數據挖掘技術應履行的職能。模糊邏輯集合論在該技術協助下，更為靈活的滿足入侵檢測要求。

2.1 模糊邏輯

在對入侵檢測功能進行履行的過程中，能進行兩秒內“目的各異的IP地址”數目進行檢測，下面就這一數據對以下規則進行編制：

If“秒內“目的各異的IP地址”數目”為高；

Then該異常狀況就此生成；

在標準集合邏輯論之下，務必要確定目的IP地址數目最高的是哪個分類器，應當離散規劃典型地址的可能值，各集合則是由相應的范圍代表。并且其中各值隸屬度則是由Y軸表示。比如：“10”這一值比該集合“低”，那么集合隸屬度就是1，然而之于“高”集合和“中”集合來說，0就是其隸屬度。

在模糊集合邏輯論中，某數據的一部分或者全部隸屬于若干個類種，也就是隸屬度不是唯一性。比如“9”這一值要比該集合“低”，而0.35是其隸屬度，然而之于集合“中”卻有0.7的隸屬度。在該例子中，分段線性函數是模糊集合隸屬函數種類。運用模糊邏輯屬于，模糊變量是目的端口數目，其在模糊集合的整個集合中，不但有在中、低區間的可能，還有可能出現在高區間。

2.2 數據挖掘

2.2.1 關聯規則

為了方便表明關聯規則，運用零售行業中的審計數據間的相關性進行闡釋。比如，消費者在購買飲料A的同時還會采購薯片B，進而就能夠用A—>B的形式進行兩種零售食品的關聯。假設四分之一的銷售者同時購買兩種物品，這就會有一般的消費者在買完薯片后再去買薯片。那么S=0.25是A—>B的支持度，而可信度C則為0.5。在文獻[1]中，對某一迅速推測算法在進行關聯規則挖掘進行表述，該算法只要有最小的支撐度和可信度這兩個闕值即可。然而受到挖掘的規則關聯程度維持與否取決于這兩個闕值。

2.2.2 模糊關聯規則

為了運用文獻[1]中的迅速使用在關聯規則挖掘的推測算法，應當將定量變量向離散的類別劃分。這就需要對敏銳的“邊界問題”進行考量，即即便是改變極小的數值就會使類別產生巨變。故此，在資料[2]中引入模糊關聯規則定義來處理該問題。在該資料中，準許某值對若干個模糊集合的支撐度發揮作用。

在該次研究的系統中，我們修復了資料[2]中的算法，也就是將歸一化因數引入來保證所有處理均只進行一次計算。而本文研究的系統采用模糊關聯規則對某審計數據集合進行挖掘的詳細案例為：{FN=低，SN=低}—>{RN=低}，s=0.49，c=0.924，然而在該例子中，SYN標記量用SN表示，FIN標記量用FN表示，RST在第二階段標記量用RST表示。

假若將全套審計數據確定后，系統能從本組數據中將模糊管理規則之集合挖掘出來，而此類規則是精準對該集合的行為模式的描繪。

在異常檢測過程中，首先在未入侵的數據中將規則性的一個集合挖掘出來，作為表述正常行為模式的集合，可視其為參照集合。當對某組數是否屬于入侵行為進行檢測時，應當將新數據集合相應的規則集合同參照集合間展開相近度核算，假若有較低的相近度就意味著這一集合為異常行為，同時發布警報。

而入侵未發生和入侵發生后的規則集合分別對比參考集合得出的相近性結果，可在表1中看出它們具有差異性。

設定本次模糊規則集合中最小支撐度和可信度分別為0.1和0.6。有入侵網絡1是仿真端口掃描入侵網絡，而有入侵網絡2則是仿真IP展開欺騙型入侵。

2.2.3 頻率集

在參考資料[1]中，頻率集是以產生率最小為基礎、在事件序列中找出的最具簡潔性序列頻率集的一種算法。而在審計數據中對暫時模式問題進行頻繁表征就使用了該辦法。在本系統中，我們在對參考資料[1]的方式進行改良的基礎上展開模糊頻率集的挖掘。在參考資料[2]中，[t，t]這一事件窗格內產生的事件序列則是P（e1，e2……，ek）這一集合。假若在該這一時間間隔的子區間中沒有產生事件，則視該集合為最小。提供某一窗口闕值，在某一事件序列中，在所有比事件窗口間隔小的發生率最小之和為頻率P（e1，e2……，ek）。故此，如果提供的頻率闕值最小，假若頻率P/n比最小頻率要大或者等于最小頻率，那么P（e1，e2……，ek）的集合就是頻繁集合。

2.2.4 模糊頻率集

在本次所使用的系統中，是綜合頻率集和模糊邏輯之后進行運用。與過去使用方法相比，本次所使用的方法改良了最小發生率。以下就是本次研究中對模糊頻率集規則展開挖掘的其中某一實例。

{E1比PN為低，E2比PN為中}->{E3比PN為中}，其中s為0.108，c為0.854，w為10秒，在這個例子中E1、E2、E3是按著順序出現的事件，各種目標端口在兩秒鐘之內的端口數則是PN。為確保本次方法準確，還分別使用模糊和非模糊這兩種頻率集對入侵檢測誤判率進行檢測。而結果可知模糊邏輯頻率集可降低入侵誤判率。

3 遺傳算法對模糊集合隸屬函數的調整

遺傳算法是對優化問題進行處理的常見方式，在模糊集合中使用時，遺傳算法的各個體對象涵蓋了隸屬函數的參數序列，能夠采用其使參照規則幾何與入侵行為相近度降低、與正常行為的相近度提升，采用遺傳算法對適當的函數進行定義之后，一旦處理某一入侵數據與參考數據高相似度的失敗時，那么該函數就會得到某正常數據高相似與參考數據，遺傳算法采用逐步進行好解決辦法個體對象群體，實現最后最佳目標。在圖1中是遺傳算法調整適應度函數的整個流程。

在圖1中呈現了采用遺傳算法是如何改變適應度函數值的。最頂端的一條線是適應度最好的個體，我們一直保留一代至下一代中最佳個體，故此，最好個體的適應度值在群體中絕對不會降低。中間線則展現出群體均適應度，說明該群體所有適應度呈現出持續提升的態勢，一直到其趨于穩定為止。最低的線則表述了適應度最差的個體適應度水平，應當持續運用交叉、突變的遺傳作業將變量引入到群體中。

從審計痕跡中要想掌握哪項能夠將最理想的信息供給入侵檢測一般難度較大，確定最理想項的流程在機器學習領域叫做特征選擇。在若干實驗之后，運用遺傳算法在各種入侵行為的最佳指標對軌跡進行審計，將調整和估測模糊變量的隸屬函數篩選出來。根據挖掘規則各種結果為據：規則一：特征篩選和最優化均無，規則二無特征篩選只有最優化；規則三，特征篩選和最優化均有。這三種結果說明遺傳算法對隸屬函數進行調整時，均可以對入侵檢測的整套特征值進行篩選，同時得知遺傳算法能識別出各種入侵種類的特性。

4 結論

數據挖掘技術與模糊邏輯進行有機融合之后，將整套新式系統方略提供給網絡入侵檢測。該系統的結構不但對異常檢測給以支持而且在濫用檢測中使用，不但可以在個人工作站中使用，而且在復雜網絡同樣適用。非模糊和模糊規則均可用使用該系統進行檢測。另外，還可以運用遺傳算法對系統中運用模糊變量的隸屬函數進行調整，且篩選最具成效的特殊入侵的特征集合，因此遺傳算法和模糊數據挖掘的網絡入侵檢測法值得廣泛推行。

（通訊作者：賈婧鎣）

參考文獻

[1]王晟，趙壁芳.基于模糊數據挖掘和遺傳算法的網絡入侵檢測技術[J].計算機測量與控制，2012（03）：660-663.

[2]蔡文君.基于數據挖掘的入侵檢測方法研究[D].長沙：中南大學，2008.

作者簡介

呂峰（1978-），男，云南省昆明市人。碩士學位。現為云南中醫學院信息技術學院副教授。研究方向為中醫藥與教育信息化、醫學高等教育、數據挖掘與云計算、智能醫療系統設計。

葉東海（1978-），男，云南省昆明市人。博士學位?，F為云南中醫學院信息技術學院講師。研究方向為中醫藥計算機教育、中醫藥信息挖掘。

楊宏（1977-），男，云南省昭通市人。碩士學位。現為云南中醫學院信息技術學院副教授。研究方向為計算機網絡、多媒體及數據庫的教學及研究。

通訊作者簡介

賈婧鎣（1979-），女，四川省瀘州市人。碩士研究生學歷?，F為云南中醫學院信息技術學院講師。研究方向為中醫藥數掘挖掘、思想政治教育。

作者單位

云南中醫學院信息技術學院 云南省昆明市 650500