基于粗糙集的分布式網絡異常檢測方法研究

張艷敏+楊娜

摘要：隨著互聯網應用技術的發展，網絡安全問題一直是人們重點關注的問題。網絡入侵的檢測可以分為對網絡誤用的檢測和對網絡異常的檢測，網絡誤用檢測僅僅適用于已知類型的網絡攻擊，對于新型攻擊行為無法達到檢測目的，而網絡異常檢測則可以通過模型判別出攻擊行為，具有更精確的檢測精度和更廣泛的檢測范圍。傳統的網絡異常檢測方法檢測效率較低，需要處理的數據量較大，為此本文提出一種采用支持向量機的基于粗糙集的分布式網絡異常檢測方法，采用該方法對KDD99數據集中的數據進行了仿真實驗。結果表明，該方法可以對網絡異常進行及時的檢測，在保證檢測精度的同時，可以有效縮短檢測時間，網絡異常檢測性能良好。

關鍵詞：粗糙集；分布式；網絡異常檢測；支持向量機

引言

當前互聯網應用技術的發展日漸趨于成熟，各種基于互聯網技術的應用程序逐步融合到人們的日常生活當中。由于互聯網的普及性和使用的頻繁性，網絡安全問題面臨著巨大挑戰。網絡攻擊嚴重影響了使用者對計算機網絡的使用，嚴重時甚至會造成不可挽回的巨大的經濟損失。目前經常采用的安全防護方法是防火墻技術，但隨著網絡攻擊手段和類型的多樣性變化，單一的防火墻技術已無法滿足現有網絡安全要求。在防火墻后設置第二道安全保障，即網絡入侵檢測，可以有效地解決這個問題。網絡入侵的檢測可以分為對網絡誤用的檢測和對網絡異常的檢測，前者僅僅適用于已知類型的網絡攻擊，無法對新出現的網絡攻擊形式進行檢測，而后者則可以通過模型判別出攻擊行為，具有更精確的檢測精度和更廣泛的檢測范圍。本文提出了一種采用支持向量機（SVM）的基于粗糙集的分布式網絡異常檢測方法，對檢測時間和精度進行了研究。

1基于粗糙集的檢測方法

1.1粗糙集

粗糙集作為一種對不完整性、不確定性進行描述的數學手段，在數據挖掘中得到普遍應用。這種理論可以對精確性、一致性和完整性較差的信息進行高效處理并分析，進而發掘出隱藏的知識和規律。粗糙集理論的一個信息系統由四元組進行表述，如式1所示：

假定X U，R屬于U上等價，那么A=（U，R）則為近似的空間，可以得到X的R上近似和下近似，分別如式2和式3所示：

假設P和S在U中的關系為等價，S為P的正域，以

1.2支持向量機

支持向量機（SVM）分為線性支持向量機和非線性支持向量機，當訓練樣本為線性時，分類判別函數如式6所示：

式中a是拉格朗日乘子。

對于非線性的分類，核函數K（X，X）與輸入空間變化到高維特征空間后的內積，而函數w：X-F則表示非線性的輸入空間映射到高維特征空間。將式6重寫可得式7：

1.3檢測方法的原理

本實驗采取的檢測方法其原理是利用粗糙集約簡數據，獲取條件最小的屬性集，由此對訓練樣本進行約簡獲得新訓練樣本，歸一化處理后以SVM訓練，之后仍采用上述屬性集約簡測試樣本獲取新樣本，歸一化后以已經完成訓練的SVM檢測。具體過程為首先對數據進行離散化處理，之后基于約簡算法約簡訓練樣本獲取新樣本，構建檢測模型，獲得測試數據集，最后采用完成訓練的檢測模型預測數據集。

2檢測系統的結構

圖1所示為基于粗糙集的分布式網絡異常檢測系統的結構圖，其結構由網絡內呈現分布式的節點和網絡外部的服務器構成。外部服務器包括控制、數據挖掘規則和日志等。對于網內節點來說，其主要作用是保存不同種類的異常檢測，各節點協作通過對進出該子網的流量進行分析，進而識別出異常行為，將結果發送至日志服務器，當異常現象嚴重時，由節點發出警報。同時分析器以外部挖掘規則庫為依據定時更新本身規則庫，然后反饋檢測結果至日志服務器。網絡外部的挖掘數據規則服務器將基于粗糙集的規則進行保存，而控制服務器則負責運行整個網絡。

3結果分析

本實驗采用的數據選自KDD99數據集為采用量約占總數據量的10%左右，主要選取了5種類型，分別為Normal、Probe、Dos、R2L和U2R等。表1基于粗糙集的分布式網絡異常檢測方法和傳統方法的檢測結果，與傳統方法相比，采用本實驗提出的方法進行網絡異常檢測，在訓練和檢測方面的耗時均較小，這是因為本方法的特征維度數目較少，導致SVM需要處理的計算量減少，從而縮短了耗費的時間；對于檢測率方面采用本實驗提出的方法，Dos、R2L和U2R三種類型的攻擊檢測率高于傳統方法，這是由于粗糙集特征簡約可以去掉冗余的樣本特征，因而檢測精度較高。圖2為兩種方法的迭代次數和預測精度之間的關系圖，從圖中可以看出，隨著迭代次數的增加兩種方法的預測精度均有所上升，但基于粗糙集的分布式網絡異常檢測方法預測精度要高于傳統方法，當迭代次數超過100次后預測精度趨于平緩，而傳統方法在迭代次數超過100次后，預測精度仍有波動。

4結束語

本文提出采用支持向量機（SVM）的基于粗糙集的分布式網絡異常檢測方法，對KDD99數據集中的數據進行仿真，與傳統方法相比在樣本訓練時間和檢測時間方面均有縮短，同時在檢測精度方面也有所提高。從結果分析中可以看出，本文提出的方法具有良好的分布式網絡異常檢測性能，是一種快速有效的網絡異常檢測方法。