一種混合入侵檢測模型

梁本來，楊忠明，蔡昭權

(1.中山職業技術學院 信息工程學院，廣東 中山 528404; 2.廣東科學技術職業學院 計算機工程技術學院，廣東 珠海 519090; 3.惠州學院 科研處，廣東 惠州 516007)

一種混合入侵檢測模型

梁本來1，楊忠明2，蔡昭權3

(1.中山職業技術學院 信息工程學院，廣東 中山 528404; 2.廣東科學技術職業學院 計算機工程技術學院，廣東 珠海 519090; 3.惠州學院 科研處，廣東 惠州 516007)

為了提高入侵檢測模型的準確率，提出一種基于K-均值算法、樸素貝葉斯分類算法和反向傳播神經網絡的混合入侵檢測模型;首先，采用基于分區、無監督式聚類分析的K-均值算法進行數據的聚類處理，得到易于被機器處理和學習的數據集;為了進一步獲取必要的數據屬性，將聚類處理的結果輸入到貝葉斯分類器進行分類;然后，具有較短學習周期的反向傳播神經網絡負責訓練數據分類樣本;最后，基于KDDCUP99數據集，對混合入侵檢測模型進行了仿真實驗，實驗結果表明，通過混合入侵檢測模型，DoS、U2R、R2L和Probe等入侵數據被精準地檢測出;相比其它入侵檢測模型，混合入侵檢測模型取得了較高的準確率和召回率，以及較低的誤報率，具有一定的實用價值。

入侵檢測模型；混合方法；K-均值；樸素貝葉斯；反向傳播神經網絡

0 引言

入侵檢測系統(intrusion detection systems，IDS)的核心是入侵檢測模型(intrusion detection model，IDM)，如何降低IDM的誤報率，提高IDM的準確率是當今IDS的研究熱點，也是本文的研究重點。

IDM主要采用誤用檢測和異常檢測兩類方法[1]，誤用檢測采用已知的入侵方法進行入侵行為的檢測，能夠高準確率地檢測出傳統的入侵行為，但對于較新的入侵行為，漏檢率較高。異常檢測是利用統計學對網絡行為進行特征描述，根據網絡行為的特征進行入侵檢測，適應性較強，能夠檢測出未知的攻擊行為，但該方法需要海量數據進行建模，這在復雜的網絡環境中是不實用的[2]。

為了解決異常檢測方法的局限性，許多研究將數據挖掘方法引入到IDM。學習海量數據會影響分類器的表現性能，包括準確率。因此，使用基本方法時要求在數據分析和學習過程中保持較好的性能。現有的研究中，基于決策樹(decision tree, DT)[3]和樸素貝葉斯(naive bayes, NB)[4]的模型分類精度較高且算法模型較簡單，但由于單一的分類器技術已經很難取得突破，近年來的研究傾向于使用混合分類方法[5]。王輝等提出一種改進樸素貝葉斯分類算法(Improved NB)[6]，該算法在樸素貝葉斯模型的基礎上引入屬性加值算法，通過對分類參數的調控來簡化分類數據的復雜度。該算法的準確率得到了一定提升，但該算法的仿真實驗環境較為簡單，面對復雜多變的網絡數據，如何更合理的分類是該算法改進的目標。

姚濰等人在C4.5-NB算法的基礎[7]上提出基于決策樹與樸素貝葉斯分類的入侵檢測模型H-C4.5-NB[8]，該模型以混合混分類為前提，綜合考慮決策樹和樸素貝葉斯算法的優勢并進行了改進，實驗結果顯示H-C4.5-NB算法能夠在一定程度上降低誤報率，但該方法還有待通過有效的屬性子集提取方法進行進一步完善。

王輝提出一種IKMNB分類模型[9]，該模型采用改進的K-均值(K-means)算法對數據進行聚類，然后運用貝葉斯分類器再次分類。通過仿真實驗驗證了該算法相比樸素貝葉斯提高了檢測率，降低了誤檢率，但該模型缺少同其他分類算法的對比分析。

基于人工神經網絡的模糊聚類方法是采用模糊聚類生成不同的訓練子集，人工神經網絡模型訓練后制定不同的基礎模型[10]。基于改進的反向傳播人工神經網絡(back propagation neural network, BPNN)的入侵檢測系統主要用多層感知器訓練增強彈性反向傳播訓練算法來檢測入侵[11]。實驗結果表明系統的準確率、存儲和時間都比較好，已經實現的系統具備檢測率高達94.7%的分類記錄。

目前國內基于神經網絡的綜合分類IDM的研究并不是太多，其中鄔斌亮提出一種融合K-均值聚類、FNN、SVM的網絡入侵檢測模型(后面簡稱為KFS模型)[12]，該模型利用K均值聚類將原始訓練集分類，然后采用模糊神經網絡訓練對各訓練子集進行訓練，最后采用徑向向量機檢測是否有入侵行為。通過KDD CUP99數據集的實驗驗證，該模型取得了更高的準確率。

本文基于K-均值算法、樸素貝葉斯分類算法和反向傳播神經網絡，提出一種混合入侵檢測模型K-NB-BP(K-means，Naive Bayes and Back-Propagation neural network)。首先，采用基于分區、無監督式聚類分析的K-均值算法進行數據的聚類處理，得到易于被機器算法處理的數據集。同時，為了獲取必要的數據屬性，將聚類處理的結果輸入到貝葉斯分類器進行分類，得到分類后的數據樣本。然后，具有較短學習周期的反向傳播神經網絡負責訓練樣本集。基于KDD CUP99數據集的仿真實驗結果表明，通過貝葉斯分類器，DoS、U2R、R2L和Probe等入侵數據被精準地檢測出。相比Improved NB、H-C4.5-NB、K-NB-BP和KFS模型，K-NB-BP模型取得了較高的準確率和較低的錯誤率，且實驗樣本的召回率較高，具有一定的實際應用價值。

1 K-NB-BP模型的流程

本文提出的混合入侵檢測模型K-NB-BP由3個主要的分類器和聚類方法實現。聚類是基于目標的相似度將目標進行分組。K-均值聚類是一種分區的非監督學習的方法。它將數據視為在空間中有一個位置的物體，且是一個迭代算法，這一步用于聚類或者組合大數據集中的數據。因K-均值聚類的結果比較粗超，采用Naive Bayes分類器獲取必要的數據屬性，這實際上是一種監督策略。在學習階段，采用BPNN訓練分類后的數據樣本集，生成特征向量。

圖1 K-NB-BP模型的流程

Step1：采用KDD CUP99數據集作為數據樣本，系統分析了數據集，并從數據集中重新獲得一些關于訓練數據集的信息，例如訓練集的實際數量、種類的數量、屬性列表和種類分布。

Step2：數據集由無監督分類分析的K-均值算法進行聚類處理，K均值聚類算法是根據種類的數量使輸入數據集聚類。之所以采用K均值聚類算法，是因為在整體的學習方法中，分組的數據比較容易被機器學習算法處理，不參與識別目標類的數據屬性將被去除。

Step3：為了識別出理想類，采用Naive Bayes作為分類器，獲取必要的數據屬性，去除重復的數據屬性，生成分類后的數據樣本。

Step4：因BPNN具有較短的學習周期，被用于訓練Naive Bayes分類器輸出的分類數據樣本集，生成特征向量。

2 K-NB-BP模型的理論分析

2.1 K-均值聚類階段

K-NB-BP模型首先采用基于分區、無監督式聚類分析的K-均值算法進行數據的聚類處理。假設入侵行為的類型數為k，則將包含x個數據的數據集劃分為k個簇，K-均值算法的處理結果是使得同一簇內數據元素相似，而不同簇間數據元素相異，K-均值算法的詳細執行過程參見算法1。

本文使用平方誤差作為目標函數，用以表達聚類效果，選擇歐幾里德距離作為距離的度量，目標函數定義如下：

(1)

因本文仿真實驗采用KDDCUP99的數據集，該數據集包含正常數據和DoS，U2R，R2L和Probe四種類型的攻擊數據，因此通過K-均值聚類處理，訓練集將被劃分為五個數據子集，其中四個入侵數據子集，一個正常數據子集。

2.2 貝葉斯分類階段

K-均值算法的聚類較為簡單高效，但聚類結果較為粗糙，容易造成數據分類的缺損，利用樸素貝葉斯分類可以進行修補。

假設X={X1,X2,...,Xk}，其中Xi是K-均值聚類處理后的數據集，C={C1,C2,...,Ch}為類別屬性。則有如下貝葉斯公式：

(2)

局部貝葉斯網絡的概率公式為：

(3)

令P(Ci|xij)=max{P(Ci|xij)}，其中i=(1,2,...,h)，xij為Xi數據集中的第j個數據。修復xij，將數據xij重新分類到Ci中。

2.3 反向傳播神經網絡階段

在K-均值聚類和NaiveBayes分類后，輸入數據使用BPNN訓練生成必要的特征向量S={Y1,Y2,...,Yk}，其中Yi表示經過樸素貝葉斯修正后第i個數據集，假設經過BPNN算法訓練之后，數據的屬性數目減少到l，Yi={a1,a2,...,al}，在經過第i次BPNN處理之后將會得到數值ai。

為了產生更好的結果，在屬性列表中添加友元參數μij，其公式定義如下：

(4)

3 K-NB-BP方法的仿真描述

實驗采用Matlab 2014b進行仿真，實驗數據采用KDD CUP99數據集，在預處理階段，用到以下變量：

實例的個數In；

屬性的個數An；

分類標簽的個數Cn；

數據集Dm,n；

3.1 K-均值聚類階段

輸入：In，An,Cn,Dm,n；

輸出：新的數據集NewDm,n

方法步驟如下：

從Dm,n中讀取所有實例

For 每個實例In

[索引，標簽]=K-均值(Dm,n,Cn, 歐式距離)

End for

用新索引號創建新的數組和標簽類

NewDm,n

3.2 貝葉斯分類階段

該過程提供了聚類數據的提取結果。

輸入：NewDm,n，迭代次數N

輸出：分類后的數據集Pm,n

方法步驟如下：

Forj= 0 toAn

A[j] =unique (NewDm,n)//去除類似的數據

End for

Fori=0 toN

Fork=0 toAn

If A[k].length( )=1

Pm,n= removecolumn[k] //去除重復的數據屬性

End if

End for

End for

Model=NaiveBayes.fit(Dm,n, NewDm,n[:,N])/創建一個樸素貝葉斯分類器對象

Pm,n= Model. predict(NewDm,n)//對待判樣本進行分類

返回Pm,n

3.3 反向傳播神經網絡階段

BPNN被用于訓練Naive Bayes分類器輸出的數據樣本集，生成特征向量。

輸入：分類后的數據集Pm,n，仿真時間周期Tm,n

輸出：ClassList[.]

方法步驟如下：

P’n,m= transpose(Pm,n)//倒置數據集

Net = Newff (P’n,m)//建立網絡對象，初始化神經網絡

Net = train (net,I,O)//進行網絡訓練

ClassList [ ]= sim(net,Tm,n)//網絡預測輸出

4 仿真實驗結果分析

4.1 仿真實驗環境及數據

實驗采用Matlab 2014b進行仿真，服務器采用HP ProLiant ML10，內存8 G，3 100 MHz主頻四核CPU，WIN 7操作系統。

實驗數據采用KDD CUP99數據集，該數據集是對MIT Lincoln實驗室1998年提出的DARPA入侵檢測評估數據集的擴充。本實驗使用約20%的kddcup.data.gz數據子集用作訓練集，測試數據使用corrected.gz。數據集中連接記錄包含22種攻擊類型，所有攻擊行為基本上被分為4大類：DoS，U2R，R2L和Probe，具體實驗數據集描述如表1所示。

表1 實驗所用數據集

4.2 實驗評估公式

AN：輸入樣本的總數

DN：入侵樣本的總數

RDN：正確檢測到的入侵樣本總數

RAN：正確檢測到的樣本總數(包含入侵樣本和非入侵樣本)

EN：被誤報為入侵樣本的總數

ZN：正常樣本的總數

定義如下實驗評估公式：

召回率=(RDN/DN)*100%

(5)

準確率=(RAN/AN) *100%

(6)

誤報率= (EN/ ZN) *100%

(7)

4.3 準確率與誤報率的實驗對比

將本文提出的混合入侵檢測模型K-NB-BP與Improved NB、H-C4.5-NB、 IKMNB和KFS四種入侵檢測模型的準確率和誤報率進行了詳細實驗對比，具體結果如圖2、圖3所示。

圖2 準確率的對比

準確率的對比如圖2所示，X軸數值為以實驗樣本數量的千分之一，Y軸數值為準確率的一百倍。總體上，隨著數據樣本數量的增加，5種入侵檢測模型的準確率均呈上升趨勢。具體分析實驗結果如下：

1)實驗樣本數量從50×103增加到到100×103時，5種入侵檢測模型的準確率相差不大。

2)實驗樣本數量從100×103增加到200×103時，K-NB-BP和KFS模型的準確率幾乎相同，但相比其余模型已經有了較為明顯的優勢。

3)數據樣本數量從200×103增加到500×103時，K-NB-BP、KFS和 IKMNB模型的準確率上升趨勢較為明顯，但K-NB-BP模型的準確率一直都是最高的。

4)實驗樣本數量從500×103增加到600×103時，5種模型的準確率都趨于穩定，但K-NB-BP模型的準確率相比其余4種模型優勢明顯。

圖3 誤報率的對比

誤報率的對比如圖3所示，X軸數值為實驗樣本的數量的千分之一，Y軸數值為誤報率的一百倍。總體上，隨著數據樣本數量的增加，5種入侵檢測模型的誤報率均呈下降趨勢，但K-NB-BP模型的誤報率一直處于相對較低的位置。具體分析實驗結果如下：

1)實驗樣本數量從50×103增加到到100×103時，5種模型的誤報率相差不大，但K-NB-BP模型的誤報率相對較低。

2)實驗樣本數量從100×103增加到400×103時，K-NB-BP模型誤報率較低的優勢逐漸明顯。

3)實驗樣本數量從400×103增加到600×103時，5種入侵檢測模型的誤報率都趨于穩定，但K-NB-BP模型的誤報率一直處于最低的位置。

4.4 不同攻擊類型樣本的召回率的對比

為了更全面地進行評估K-NB-BP模型的性能，同Improved NB、H-C4.5-NB、 IKMNB和KFS 4種入侵檢測模型進行數據樣本召回率的實驗對比，實驗結果如圖4所示。

圖4 不同攻擊類型數據召回率的對比

圖4中X軸表示不同的攻擊類型，Y軸數值為樣本召回率的一百倍。具體分析實驗結果如下：

1)對于DoS和Probe攻擊類型，5種入侵檢測模型的樣本召回率都比較高，且相差不大，但K-NB-BP模型的樣本召回率稍占優勢。

2)對于R2L和U2R攻擊類型，IKMNB、KFS和K-NB-BP模型的召回率相比其余兩種入侵檢測模型優勢明顯。其中，對于R2L攻擊類型數據，IKMNB模型的召回率提升約30%，KFS和K-NB-BP模型的召回率提升約40%。對于U2R攻擊類型數據，IKMNB模型的召回率提升20%，KFS和K-NB-BP模型的召回率提升約30%。但K-NB-BP模型的召回率相比IKMNB模型優勢不明顯，而且對R2L攻擊類型數據的召回率只有50%左右，對U2R攻擊類型數據的召回率也只有近40%。主要原因是在KDD CUP99數據集中，R2L和U2R類別的數據樣本本身就少，且這類入侵在行為模式上與正常數據較為接近，這也間接反映了數據樣本的質量對入侵檢測模型性能的影響。

5 結論

本文通過研究及改進常見的入侵檢測模型，提出一種基于K-均值聚類算法、貝葉斯分類算法和反向傳播神經網絡混合入侵檢測模型K-NB-BP。為了評估所提出入侵檢測模型的性能，采用KDD CUP99數據集作為測試數據，利用MATLAB 2014b進行仿真，實驗結果表明，K-NB-BP模型相比Improved NB、H-C4.5-NB、 IKMNB和KFS模型，可以取得相對較高的準確率和較低的誤報率，而且不同攻擊類型數據樣本的召回率相對較高。因此，K-NB-BP模型對于改進現有的入侵檢測模型有一定的實際應用價值。

但K-NB-BP模型仍需要從海量的數據樣本中進行模式檢測和實時識別，這是一個很耗時的問題。作者今后的研究重點是提高入侵檢測模型準確率和召回率的同時降低算法的復雜度。

[1] 劉長騫. K均值算法改進及在網絡入侵檢測中的應用[J].計算機仿真,2011,28(3):190-193.

[2] Om H, Kundu A, A Hybrid system for reducing the false alarm rate of anomaly intrusion detection system[A]. International Conference on Recent Advances in Information Technology[C]. 2012:131-136.

[3] Shabtai A, Fiedel Y, Kanonov U, et al. Google Android:a comprehensive security assessment[J]. IEEE Security & Privacy, 2010, 8(2):35-44.

[4] Deshmukh D H, Ghorpade T, Padiya P. Intrusion detection system by improved preprocessing methods and Naive Bayes classifier using NSL-KDD99 Dataset[A].Proceedings of the 2014 International Conference on Electronics and Communication Systems[C]．Piscataway: IEEE Press, 2014:1-7.

[5] Tsai C F, Hsu Y F, Lin C Y, et al．Intrusion detection by machine learning[R]. Expert Systems with Applications,2009, 36(10): 11994-12000.

[6] 王 輝,陳泓予,劉淑芬.基于改進樸素貝葉斯算法的入侵檢測系統[J]. 計算機科學, 2014,41(4):111-119.

[7] Jiang L, Li C, Wu J, et al．A combined classification algorithm based on C4.5 and NB[A]. ISICA 2008:Proceedings of the third International Symposium on Advances in Computation and Intelligence[C]. LNCV 5370．Berlin: Springer-Verlag, 2008, 5370:350-359.

[8] 姚 濰,王 娟,張勝利.基于決策樹與樸素貝葉斯分類的入侵檢測模型[J]. 計算機應用, 2015, 35(10):2883-2885.

[9] 王 輝,崔靜靜,劉淑芬.基于IKMNB分類算法在入侵檢測中的應用[J].計算機應用研究,2014,31(12):3673-3681.

[10] Wang G, Hao J X, Ma J, et al. A new approach to intrusion detection using Artificial Neural Networks and fuzzy clustering[J]. Expert Systems with Applications, 2010, 37(9): 6225-6232.

[11] Naoum R S, Abid N A, AlSultani Z N. An enhanced resilient backpropagation artificial neural network for intrusion detection system[J]. International Journal of Computer Science and Network Security, 2012,12(3):11-16.

[12] 鄔斌亮,熊 琭.融合K-均值聚類、FNN、SVM的網絡入侵檢測模型[J].計算機應用與軟件,2014,31(5):312-315.

OneMixedIntrusionDetectionModel

LiangBenlai1,YangZhongming2,CaiZhaoquan3

(1.College of Information Engineering , Zhongshan Polytechnic, Zhongshan 528404, China; 2.Computer Engineering Technical College, Guangdong Institute of Science and Technology, Zhuhai 519090, China; 3.Research Department, Huizhou University, Huizhou 516007, China)

One mixed intrusion detection model which combined with K-means algorithm, Naive Bayes algorithm and Back-Propagation neural network, was proposed to improve the accuracy of intrusion detection model. In this model, as a partition-based, unsupervised cluster analysis method, K-means method was firstly used to obtain the data sets that can be easily processed and learned by machine learning algorithm. Then, the outcomes of clustering were processed by Bayes classifier to get the essentical data attributes.. Next, filter data samples learning was implemented by Back Propagation Neural Network, which was able to learn the patterns with less number of training cycles. Finally, the mixed intrusion detection model was validated by experiments on KDD CUP99’s datasets. Attacks as DoS, U2R, R2L and Probe were detected via the mixed intrusion detection model. The simulation experiments results show that the higher accuracy rate, recall rate and lower error rate were obtained by the mixed intrusion detection model compared with other models. Furthermore, this mixed intrusion detection model also demonstrates some value of practical application.

intrusion detection model; mixed method; K-means; naive Bayes; back-propagation neural network

2017-01-24；

2017-02-19。

國家自然科學基金項目(61170193)；廣東省自然科學基金項目(S2013010013432)；中山市社會公益科技研究項目(2016B2142)。

梁本來(1983-)，男，山東濟寧人，碩士，講師，CCF會員(66132M),主要從事信息安全,網絡路由方向的研究。

楊忠明(1980-)，男，廣東茂名人，碩士，副教授，CCF會員(16038M)，主要從事信息安全方向的研究。

1671-4598(2017)04-0225-04DOI：10.16526/j.cnki.11-4762/tp

TP

A

蔡昭權(1970-)，男，廣東省陸豐人，碩士，教授，CCF會員(E2006137S)，主要從事計算機網絡方向的研究。