基于多標記學習改進算法的入侵檢測系統研究

陶 雯,王杉杉,李榮雨

(1．江蘇第二師范學院數學與信息技術學院，江蘇 南京 210013；2．南京工業大學計算機科學與技術學院，江蘇 南京 211816)

基于多標記學習改進算法的入侵檢測系統研究

陶 雯1,王杉杉2,李榮雨2

(1．江蘇第二師范學院數學與信息技術學院，江蘇 南京 210013；2．南京工業大學計算機科學與技術學院，江蘇 南京 211816)

針對企業信息化系統存在的問題，分析了當前網絡安全存在的誤報和漏報現象，對海量信息分析代價大、無法預知安全策略內容、系統自身安全等方面問題作了探討，設計并建立了基于多標記學習改進算法的入侵檢測系統模型。該模型主要包括數據采集、數據預處理、算法檢測及響應處理等模塊。在設計好基于多標記學習改進算法的入侵檢測系統后，將該系統部署到原有系統中，并檢測入侵數據，數據檢測監控界面顯示入侵檢測系統的檢測結果。針對未處理的網絡連接記錄，系統管理員可通過手動方式判斷其是否為攻擊行為；而對于異常的數據，系統會將此類型的攻擊行為添加到樣本庫中。算法在適當的時間通過新的樣本庫來完善分類器。該模型在不改變原有信息化系統工作的基礎上，實現了入侵檢測系統的應用。

多標記學習； 樣本庫； 入侵檢測； 類別權重； 企業信息系統； 分類器

0 引言

企業信息系統包括兩個部分，一部分是OA辦公類系統，另一部分是業務類系統，包括企業資源計劃系統、人力資源管理系統、客戶管理系統等。隨著企業信息化建設的不斷推進，信息系統不斷擴大，企業的業務數據逐漸積累。來自外部的攻擊行為嚴重威脅著企業內部機密，如何協調好企業信息安全的內憂外患，是目前大部分企業網站亟待解決的問題。入侵檢測系統[1-3]不僅能夠檢測系統外部的攻擊行為，同時也能對系統內部的攻擊行為有很好的防御效果，但是現有入侵檢測技術還存在很多不足之處，主要體現在誤報和漏報、海量信息分析代價大、無法預知安全策略、系統自身安全問題等方面內容[4]。

本文通過對企業信息化系統的研究，建立基于多標記學習改進算法[5]的入侵檢測系統模型，并對基于該模型的入侵檢測系統進行了詳細設計，在不改變原有信息化系統工作的基礎上，實現了入侵檢測系統的應用。

1 基于多標記學習改進算法的入侵檢測系統

基于多標記學習改進算法的入侵檢測系統流程如圖1所示。流程主要實現數據采集、數據處理、入侵檢測等功能。

圖1 系統流程圖

如圖1所示，系統首先在網絡接入點建立數據采集通道，然后由數據采集單元捕捉經過此節點的數據流，并對數據流進行清洗，從捕捉到的數據流中提取網絡連接記錄，對所有網絡連接的特征信息進行提取。同時，對提取的相關信息進行預處理，得到作為多標記學習改進算法的輸入形式數據，然后利用分類器預測輸入的數據，最后將預測結果進行傳輸，送到決策響應單元，進而執行相應操作。

1.1 結合類別權重及多示例的多標記學習改進算法

多標記學習[6]是目前機器學習的重要研究方向。其已經成為文本分類[7-9]、生物信息學[10]、圖像視頻自動標注[11-13]等領域應用最為廣泛的算法之一。現階段，多標記學習算法已經應用到入侵檢測系統[14]中。

W1(xi,σ)=

(1)

(2)

(3)

式中：Ni為具有類別cl示例的標記集；U為待學習樣本集合；Ul為具有類別cl的示例集合；α、β分別為局部和全局調整系數；τ為懲罰臨界值，數值范圍為[0,1]。

1.2 數據采集單元

數據采集單元采用Libpcap/TCPdump數據包嗅探器作為數據采集的工具，它能靈活地獲取網絡中的數據包信息，并對數據包中的信息作簡要的協議分析，最終以統一的形式輸出數據包信息。下面對Libpcap及TCPdump的工作機制作簡要分析。

Libpcap，即數據包捕獲函數庫。Libpcap用于對網絡端口的掃描，作為數據接收機制。Libpcap中的主要函數如下。

pcap_lookupdev()

//主要用于查找網絡設備。

pcap_open_live()

//主要利用描述字來操作相應設備要求。

pcap_compile()

//編譯用戶制定的過略策略。

pcap_setfilter()

//用于過濾器的設置。

pcap_loop()和pcap_dispatch()

//對數據包進行捕獲后處理。

pcap_next()和pcap_next_ex()

//可用來捕獲數據包。

pcap_close()

//用于關閉網絡設備，釋放資源。

Libpcap數據包捕獲流程如圖2所示。

TCPdump是嗅探軟件，用于截獲網絡分組，使用Libpcap作為其底層庫，能夠實時監控和抓取網絡上流過的數據包。將TCPdump放在網關上捕獲通過網關的數據包信息。捕獲的數據保存為TCPdump格式，這些數據經過清洗和預處理之后，才可以作為模型中多標記學習改進算法的輸入數據。

圖2 Libpcap數據包捕獲流程圖

1.3 數據清洗及預處理單元

數據采集單元采集到的數據，不能直接用于多標記學習算法分類器的輸入，需要對捕獲的數據進行清洗和預處理。

一般采集到的源數據中通常包含一些無用的噪聲數據或者無關數據，因此需要對其進行篩選，借助數據的處理來實現數據的清洗或去除空白數據。此外，對于每一條采集的原始數據，通常會包含一些關聯性很小的數據特征屬性，甚至是沒有關聯的。這些屬性會增大數據分析空間的維度，影響檢測系統的檢測實時性與效率，最終影響檢測的準確性。所以在原始數據基礎上采用特征選擇方式，以最大限度減少數據特征屬性，進而對檢測空間維度予以降低。本文選取網絡連接中的一些關鍵特征作為學習樣本屬性，每個數據連接保留25個描述特征。

數據預處理包括數據符號化數據和數據標準化處理。每條數據的特征屬性中都包含3個符號屬性：protocol-type、service和flag。其中：protocol-type屬性包含tcp、udp和icmp；service包含9種屬性，分別為http、private、urp_i、smtp、ftp_data、ecr_i、domain_u、other、others；flag包含有4種屬性，分別為sf、rej、so、others。為了能將數據作為算法的輸入，必須對數據進一步處理，將字符型的數據進行如下定義。

protocol-type：tcp=1，udp=2，icmp=3

service：http=1，private=2，urp_i=3，smtp=4，

ftp_data=5，ecr_i=6，domain_u=7，other=8，others=9

flag：sf=1，rej=2，so=3，others=4

數據經過數值化處理之后，所有的特征屬性均轉化為數值。因為數據中連續型的特種屬性均存在差異化的度量標準，所以應標準化處理數據特征屬性，具體變換如下：

(4)

(5)

(6)

經過標準化處理后，所有特征屬性的值在[-1,1]之間，消除了屬性之間度量標準不同的影響，本文使用離差標準化對標準化的數據進行線性變換，使其結果值在[0,1]之間，其公式如下：

(7)

原始數據通過清洗、預處理步驟之后可以作為多標記學習改進算法分類器的輸入，作為算法的檢測對象。對于訓練樣本數據，數據的特征屬性部分處理同樣經過數據清洗和預處理步驟，另外還需要對樣本數據進行標注。本文將正常數據標記為(+1，-1)，其余入侵數據標記為(-1，+1)。數據標記后則可作為算法的訓練樣本。

1.4 入侵檢測算法單元

將多標記學習改進算法應用到入侵檢測中，應當根據入侵檢測評價標準來改進該算法。改進算法主要是修改主程序中對該算法性能評價指標部分，增加入侵檢測的評價指標函數檢測率和誤報率來驗證入侵檢測的性能。修改之后的算法可以面向入侵檢測。

多標記學習算法單元分為示例分化階段和樣本訓練階段。

示例分化階段是多標記學習算法的核心階段，算法在輸入空間中對樣本示例包含的數據信息進行深度挖掘。通過一個描述數據重要度的權重函數及自適應懲罰策略，最終將輸入空間中單個樣本示例轉化為示例包形式。

示例分化階段將輸入空間的單示例形式化地轉化為示例包形式，轉化后的數據包作為多標記學習改進算法真正學習數據。

1.5 響應及處理單元

當算法單元分類器檢測到入侵攻擊行為時，系統會給出警報或對攻擊行為采取一些處理措施，響應機制包括以下幾種。

①自動終止攻擊。當系統檢測到當前網絡訪問連接是一個攻擊行為時，則會自動命令系統斷開當前的網絡連接，不需要外部設備的支持(如防火墻)。

②與防火墻聯動。當系統檢測到攻擊行為，本身無法斷開攻擊行為的網絡連接時，系統向防火墻發出警報，通知防火墻對連接會話進行阻斷或切斷，防火墻處理完成后會進行結果反饋。

③隔離系統。入侵檢測系統為了避免攻擊行為對企業系統的攻擊，會把系統從網絡中暫時隔離。

④通知管理員。如果系統上述響應失敗，會通過郵件形式向管理員發出警告或者向管理員平臺發出簡單網絡管理協議(simple network management protocol,SNMP)消息，系統管理員對警告信息作出應急處理。

2 入侵檢測系統整合應用

在設計好基于多標記學習改進算法的入侵檢測系統后，需要將此系統部署到原有系統中，并檢測入侵數據。

2.1 數據采集

為了全面采集經過系統的網絡數據，采集數據時，需要把計算機網卡的工作模式設定為混雜模式。采集數據抓包工具為Wireshark。使用Libpcap的Windows版本Winpcap作為接口抓取網絡數據。

界面中上部分為包的概要信息，包括采集序列、采集時間、訪問的源地址、目標地址、協議類型、包長等信息。中間部分為包的詳細信息，包括Frame、Ethernet II、Internet Protocol Version 4、Transmission Control Protocol、Hypertext Transfer Protocol。Frame為物理層數據幀概況，Ethernet II為數據鏈路層以太網幀頭部信息、Internet Protocol Version 4為網絡層IP包頭部信息、Transmission Control Protocol為傳輸層的數據段頭部信息、Hypertext Transfer Protocol為應用層的信息。

采集到的數據保存在統一的文件中，并需要對這些原始數據進行清洗。原始數據包中包含一些網絡連接特征的連接記錄。針對入侵檢測需要的信息對連接記錄數據進行特征提取，輸出一條對應的連接記錄，這些記錄包含：時間戳(timestamp)、持續連接時間duration、連接服務類型service、源主機(src_host)、目標主機(dst_host)、連接狀態標志(flag)等。最終將處理完的數據存數文本數據庫中，作為入侵檢測系統的輸入數據。

2.2 數據檢測

采集到的原始數據經過清洗及特征提取后，再經過數值化和標準化處理后作為檢測單元的輸入數據。檢測單元讀取文本數據庫中的網絡數據作為輸入。檢測數據是否為入侵行為，系統提供了對數據檢測的監控可視化界面。

數據檢測監控界面顯示入侵檢測系統的檢測結果，分別為“正常”、“異常”和“未處理”三種檢測參考結果。針對未處理的網絡連接記錄，系統管理員可以通過手動方式判斷其是否為攻擊行為；而對于異常的數據，系統會將此類型的攻擊行為添加到樣本庫中，算法在適當的時間通過新的樣本庫來完善分類器。

3 結束語

本文針對企業信息化系統存在的問題，分析了當前網絡安全存在的誤報和漏報、海量信息分析代價大、無法預知未知的安全策略內容、系統自身安全問題等方面，建立基于多標記學習改進算法的入侵檢測系統模型，并對該模型進行了詳細設計。該數據分類模型主要包括數據采集、數據清洗、數據預處理和結果響應。在設計好基于多標記學習改進算法的入侵檢測系統后，將該系統部署到原有系統中，并檢測入侵數據。數據檢測監控界面顯示檢測結果，根據檢測結果顯示檢測參考結果，展示了該入侵檢測系統的應用價值。

[1] WENKE L,SALVATORE J.Data mining approaches for intrusion detection[C]//Proceedings of the 7th USENIX Security Symposium San Antonio,1998.

[2] LEE W,STOLFO S J,MOK K W.A data mining framework for building intrusion detection models[C]//Proceedings of the IEEE Symposium on Security & Privacy,1999:120-132.

[3] LEE W,STOLFO S J,ESKIN E,et al.Real Time Data Mining-Based Intrusion Detection[C]// DARPA Information Survivability Conference& Exposition II.2001,89-100.

[4] 牛承珍.關于入侵檢測技術及其應用的研究[J].軟件導刊,2010,9(1):142-147.

[5] 楊小健,王杉杉,李榮雨.一種結合類別權重及多示例的多標記學習改進算法[J].小型微型計算機系統,2017,38(4):857-862.

[6] TSOUMAKAS G,KATAKIS I,VLAHAVAS I.Mining multi-label data[M].Data Mining & Knowledge Discovery Handbook,US:Springer,2010:667-685.

[7] LI L,WANG M,ZHANG L,et al.Learning semantic similarity for multi-label text categorization [C]//Chinese Lexical Semantics Lecture Notes in Computer Science,2014:260-269.

[8] JIANG J Y,TSAI S C,LEE S J.FSKNN:multi-label text categorization based on fuzzy similarity and k nearest neighbors[J].Expert Systems with Applications,2012,39(3):2813-2821.[9] 高嘉偉,梁吉業,劉楊磊,等.一種基于Tri-training的半監督多標記學習文檔分類算法[J].中文信息學報,2015,29(1):104-110.

[10]ZHANG M L,ZHOU Z.Multi label neural networks with applications to functional genomics and text categorization[J].IEEE Trans action on Knowledge and Data Engineering,2006,18(10):1338-1351.

[11]WANG C,YAN S,ZHANG L,et al.Multi-label sparse coding for automatic image annotation[C]//IEEE Conference on Computer Vision and Pattern Recognition,2009:1643- 1650.

[12]WU B,LYU S,HU B G,et al.Multi-label learning with missing labels for image annotation and facial action unitrecognition[J].Pattern Recognition,2015,48(7):2279-2289.

[13]YU Y,PEDRYCZ W,MIAO D.Neighborhood rough sets based multi-label classification for automatic image annotation[J].International Journal of Approximate Reasoning,2013,54(9):1373-1387.

[14]錢燕燕,李永忠,章雷,等.一種多標記學習入侵檢測算法[J].合肥工業大學學報(自然科學版),2015(7):929-933.

[15]ZHOU Z H,ZHANG M L,HUANG S J,et al.Multi-instance multi-label learning[J].Artificial Intelligence,2012,176(1):2291-2320.

StudyontheIntrusionDetectionSystemBasedonImprovedMulti-LabelLearningAlgorithm

TAO WEN1，WANG Shanshan2，LI Rongyu2

(1.College of Mathematics and Information Technology,Jiangsu Second Normal University,Nanjing 210013,China;2.College of Computer Science and Technology,Nanjing Tech University,Nanjing 211816,China)

Considering the problems existing in enterprise information system,the phenomenon of false positives and omission in network safety are analyzed,and many aspects of problems are discussed,such as the high cost of mass information analysis,unpredictable and unknown content of security policy,and own safety of security system,etc.，and the intrusion detection model based on improved multi-label learning algorithm is designed and established.The model mainly consists of the modules for data acquisition,data pre-processing,algorithm detection and response processing,etc.Having been designed the intrusion detection model based on improved multi-label learning algorithm,this system is deployed into the original system,to detect intrusion data; the detection results of the intrusion system are displayed by the monitoring interface.According to the unprocessed network connection records,the system administrators can manually judge whether it is aggressive behavior or not; for the abnormal data,the system will add this kind of aggressive behavior into the sample library.The algorithm will improve the classifier at the right time through the new sample library.Without changing original information system,the model realizes the application of the intrusion detection system.

Multi-label learning； Sample library； Intrusion detection； Class weights； Enterprise information system； Classifier

TH-39;TP309

： A

10.16086/j.cnki.issn1000-0380.201709014

修改稿收到日期:2017-04-06

江蘇省教育廳自然科學基金資助項目 (12KJB510007)

陶雯(1979—)，女，碩士，講師，主要從事人工智能與優化方向的研究。E-mail:awen_tao@163.com。