網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)性能研究

馬 愷

（遼寧對(duì)外經(jīng)貿(mào)學(xué)院，遼寧 大連 116052）

1 引言

隨著越來(lái)越多的信息被存儲(chǔ)在網(wǎng)絡(luò)中,計(jì)算機(jī)網(wǎng)絡(luò)的安全也越來(lái)越受到人們重視,變得越來(lái)越重要.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的構(gòu)建成了一個(gè)包含計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵技術(shù).最早的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是基于專(zhuān)門(mén)的檢測(cè)方法,手工編寫(xiě)代碼.這些入侵檢測(cè)系統(tǒng)對(duì)發(fā)生在網(wǎng)絡(luò)中的已知的入侵行為提前編寫(xiě)代碼,予以檢測(cè),包含計(jì)算機(jī)網(wǎng)絡(luò)的安全.這些方法的主要問(wèn)題是不能檢測(cè)到新出現(xiàn)的網(wǎng)絡(luò)入侵行為和攻擊行為.為了解決這一問(wèn)題,基于數(shù)據(jù)挖掘方法構(gòu)建的入侵檢測(cè)模型的方法受到學(xué)者們的廣泛的關(guān)注.基于數(shù)據(jù)挖掘方法的入侵檢測(cè)模型從已知攻擊行為和正常行為中得到入侵行為的范式,從而發(fā)現(xiàn)未知的入侵行為.而且,這類(lèi)模型比手工編寫(xiě)代碼的模型更快速,自動(dòng)化程度更高.數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)系統(tǒng)中得到了很好的發(fā)展,已經(jīng)出現(xiàn)了許多高性能的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng).然而,僅用數(shù)據(jù)挖掘技術(shù)是不能實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署的,雖然基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)有更好的檢測(cè)性能和概括能力,在實(shí)施和部署這些入侵檢測(cè)系統(tǒng)時(shí),仍然存在一些問(wèn)題.

這些問(wèn)題大體上可以分為三類(lèi),分別是檢測(cè)性能問(wèn)題,時(shí)效問(wèn)題和可用性問(wèn)題.通常情況下,基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng),尤其是異常檢測(cè)系統(tǒng),有比手工編碼系統(tǒng)高的假正率,這降低了基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)在真實(shí)環(huán)境中的可用性.另外,由于這類(lèi)系統(tǒng)需要在訓(xùn)練集和實(shí)際數(shù)據(jù)上進(jìn)行大量的計(jì)算,在實(shí)時(shí)環(huán)境下,該類(lèi)系統(tǒng)效率較低.基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)還需要大量的訓(xùn)練數(shù)據(jù),這些訓(xùn)練數(shù)據(jù)需要進(jìn)行標(biāo)識(shí),用于分類(lèi)器的構(gòu)建,標(biāo)識(shí)這些數(shù)據(jù)也是一個(gè)很費(fèi)時(shí)的工作.

本文主要研究使用數(shù)據(jù)挖掘技術(shù)構(gòu)建入侵檢測(cè)系統(tǒng)框架，探討實(shí)時(shí)的基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)的布置,給出一些改善入侵檢測(cè)系統(tǒng)的精度和效率以及可用性的方法,建立更高效的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng).

2 基本概念

入侵檢測(cè)是指對(duì)入侵行為進(jìn)行監(jiān)測(cè)，發(fā)覺(jué)正在實(shí)施的入侵行為.它通過(guò)對(duì)節(jié)點(diǎn)上收集到的信息進(jìn)行分析，發(fā)現(xiàn)網(wǎng)絡(luò)及系統(tǒng)中存在的違反安全策略的動(dòng)作和受到攻擊的行為，在對(duì)網(wǎng)絡(luò)性能不造成影響的情況下，監(jiān)測(cè)網(wǎng)絡(luò)，有效保護(hù)系統(tǒng)，防御對(duì)系統(tǒng)的內(nèi)部攻擊、外部攻擊以及誤操作等入侵行為.入侵檢測(cè)方法還能提供針對(duì)這些攻擊的一些具體的防護(hù)手段，例如對(duì)入侵證據(jù)的記錄、斷開(kāi)網(wǎng)絡(luò)連接等，是網(wǎng)絡(luò)安全的重要組成部分之一.

入侵檢測(cè)系統(tǒng)是按照一定的安全策略建立入侵檢測(cè)措施，并發(fā)現(xiàn)入侵行為的軟硬件構(gòu)成的安全保障結(jié)構(gòu).入侵檢測(cè)系統(tǒng)能識(shí)別入侵攻擊，對(duì)檢測(cè)到的入侵動(dòng)作和攻擊動(dòng)作有提醒及防御功能.

入侵檢測(cè)系統(tǒng)的抽象模型是由Denning D E在1987年提出的[1]，該文首次將入侵檢測(cè)作為一種計(jì)算機(jī)系統(tǒng)安全防御措施，是入侵檢測(cè)發(fā)展史上的重要理論模型.文中提出的模型獨(dú)立于具體的系統(tǒng)、應(yīng)用環(huán)境、系統(tǒng)健壯性以及入侵類(lèi)型無(wú)關(guān)，提出的是一個(gè)針對(duì)通用入侵檢測(cè)的框架，對(duì)設(shè)計(jì)具體的入侵檢測(cè)應(yīng)用系統(tǒng)有指導(dǎo)意義.

該抽象模型有六個(gè)主要的組成部分，分別是主題、對(duì)象、審計(jì)數(shù)據(jù)、活動(dòng)描繪、異常記錄和行為規(guī)則.其中，主題是由目標(biāo)系統(tǒng)中的某一個(gè)活動(dòng)的發(fā)起人給出的，在應(yīng)用中就是正常用戶(hù).對(duì)象是被系統(tǒng)管理的資源，如文件、命令集和設(shè)備等.審計(jì)數(shù)據(jù)是記錄目標(biāo)系統(tǒng)對(duì)于主題在對(duì)象上的行為做出的反應(yīng).活動(dòng)描繪以主題在對(duì)象上的行為特性來(lái)自動(dòng)構(gòu)建.異常記錄時(shí)在檢測(cè)到異常時(shí)，做出的相關(guān)記錄.行為規(guī)則在一些條件滿(mǎn)足時(shí)，執(zhí)行的行為，如更新活動(dòng)描繪，檢測(cè)異常行為，生成反饋報(bào)告等.這個(gè)模型可以看成是一個(gè)基于規(guī)則模式匹配的系統(tǒng).當(dāng)一個(gè)審計(jì)數(shù)據(jù)生成后，與活動(dòng)描繪進(jìn)行匹配，根據(jù)匹配后的類(lèi)型信息，確定應(yīng)用哪個(gè)規(guī)則來(lái)更新活動(dòng)描述，檢查異常行為，并報(bào)告異常.

根據(jù)檢查技術(shù)的不同，可以將入侵檢測(cè)分為誤用檢測(cè)(misuse detection)和異常檢測(cè)(anomaly detection)兩類(lèi).誤用檢測(cè)運(yùn)用已知攻擊方法，提前定義好入侵模式，通過(guò)判斷已經(jīng)定義好的入侵模式是否出現(xiàn)，實(shí)現(xiàn)入侵檢測(cè)，因此也被稱(chēng)為特征檢測(cè)[2].誤用檢測(cè)是依據(jù)已有的具體特征庫(kù)，對(duì)入侵模式進(jìn)行判斷，能準(zhǔn)確地發(fā)現(xiàn)特征庫(kù)中已記錄的入侵模式，檢測(cè)準(zhǔn)確率高.但是誤用檢測(cè)無(wú)法檢測(cè)到特征庫(kù)里不存在的入侵模式，即無(wú)法檢測(cè)出新的攻擊或者現(xiàn)有攻擊的變種，這成為誤用檢測(cè)的一個(gè)致命的弱點(diǎn).異常檢測(cè)不依賴(lài)于已有的入侵模式的特征庫(kù)，它根據(jù)使用者的行為或資源使用狀況，來(lái)判斷入侵行為的發(fā)生.異常檢測(cè)可以解決誤用檢測(cè)中的問(wèn)題，發(fā)現(xiàn)未知的攻擊模式，但是該方法可能會(huì)把正常行為判斷為入侵行為，誤報(bào)率較高.

使用網(wǎng)絡(luò)數(shù)據(jù)來(lái)分析入侵行為，按照使用的數(shù)據(jù)的不同，可以分為基于網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)和基于網(wǎng)絡(luò)連接記錄的檢測(cè)兩種[3].基于網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)主要檢查網(wǎng)絡(luò)中傳輸?shù)拿恳粋€(gè)網(wǎng)絡(luò)數(shù)據(jù)包，分析數(shù)據(jù)包中的協(xié)議字段以及負(fù)載內(nèi)容，查看這些數(shù)據(jù)中是否出現(xiàn)違背協(xié)議或者包含異常負(fù)載內(nèi)容.基于網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)能從報(bào)文級(jí)別，實(shí)時(shí)發(fā)現(xiàn)入侵，對(duì)入侵實(shí)現(xiàn)實(shí)時(shí)反饋，但這種檢測(cè)方法需要處理的數(shù)據(jù)量較大，可能會(huì)出現(xiàn)同時(shí)也丟包現(xiàn)象.另外，單個(gè)數(shù)據(jù)包的信息較少，且各包之間沒(méi)有關(guān)聯(lián)，僅僅使用這些數(shù)據(jù)包很難實(shí)現(xiàn)有效的異常檢測(cè).而基于網(wǎng)絡(luò)連接記錄的異常檢測(cè)把網(wǎng)絡(luò)傳輸數(shù)據(jù)還原成基于傳輸層的連接記錄，這些連接記錄反應(yīng)了網(wǎng)絡(luò)會(huì)話(huà)期間多個(gè)方面的內(nèi)容特征，包括網(wǎng)絡(luò)傳送的字節(jié)數(shù)、建立的文件數(shù)、嘗試口令的次數(shù)、錯(cuò)誤分片的次數(shù)、嘗試命令的次數(shù)等等，可以通過(guò)這些信息區(qū)分出連接是否正常.比如，正常情況下的網(wǎng)絡(luò)連接，不會(huì)出現(xiàn)反復(fù)猜測(cè)口令的狀況，因此嘗試口令次數(shù)的屬性值應(yīng)該是很小的，當(dāng)該屬性值較大時(shí)，就很可能是一種通過(guò)口令猜測(cè)實(shí)現(xiàn)惡意入侵的行為.

3 入侵檢測(cè)系統(tǒng)的精度

一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的檢測(cè)攻擊行為可以用精度來(lái)度量.精度主要用兩個(gè)衡量指標(biāo),一個(gè)是檢測(cè)率,一個(gè)是假正率.檢測(cè)率是系統(tǒng)檢測(cè)到的攻擊行為的比率,而假正率是將正常行為誤判成入侵行為的比率.這兩個(gè)比率可以通過(guò)在數(shù)據(jù)集上測(cè)試系統(tǒng)而獲得.二者的大小可以通過(guò)設(shè)置進(jìn)行互相轉(zhuǎn)換,用不同參數(shù)值可以創(chuàng)建一個(gè)ROC曲線(xiàn),檢查兩個(gè)入侵檢測(cè)系統(tǒng)的ROC曲線(xiàn)可以比較二者的精確度[4].在實(shí)際應(yīng)用中,由于只有假正率低的的檢測(cè)系統(tǒng)才是有用的,因此,對(duì)應(yīng)于可以接受的低假正率的少部分ROC曲線(xiàn)才是真正值得關(guān)注的.

為了提高基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)的精確度,本節(jié)提出一些獨(dú)立的技術(shù),包括基于審計(jì)數(shù)據(jù)提取特征的一般框架,生成用于降低假正率的人工異常的異常檢測(cè)方法和聯(lián)合異常檢測(cè)模型和誤用檢測(cè)模型的方法.

3.1 特征提取

對(duì)入侵進(jìn)行檢測(cè)有兩個(gè)前提假設(shè),一個(gè)是系統(tǒng)的行為是可觀察到的,另一個(gè)是不同的證據(jù)可以用來(lái)區(qū)分正常行為和入侵行為.能被觀察到的原始數(shù)據(jù)稱(chēng)為審計(jì)數(shù)據(jù),而從原始的審計(jì)數(shù)據(jù)中抽取出的證據(jù)被稱(chēng)為特征,可以使用這些特征建立入侵檢測(cè)模型,對(duì)入侵行為進(jìn)行估計(jì).特征提取就是決定從原始審計(jì)數(shù)據(jù)中抽取什么樣的證據(jù)能對(duì)分析入侵行為最有效的過(guò)程.因此,特征提取是構(gòu)建入侵檢測(cè)系統(tǒng)的一個(gè)關(guān)鍵步驟.也就是說(shuō),正常審計(jì)記錄與入侵行為的審計(jì)記錄對(duì)應(yīng)的特征值顯著不同的特征集合是提高入侵檢測(cè)的精度的關(guān)鍵.

為了獲得這些關(guān)鍵的特征,對(duì)一些原有的數(shù)據(jù)挖掘方法進(jìn)行改進(jìn),使其能從原始的審計(jì)數(shù)據(jù)中實(shí)現(xiàn)特征的選擇和構(gòu)建.首先,對(duì)原始審計(jì)數(shù)據(jù)進(jìn)行處理,使它們成為包含基本特征的分離的記錄.例如,在網(wǎng)絡(luò)傳輸中,時(shí)間戳,時(shí)間間隔,傳輸源IP和目的地IP,端口等等.然后在這些數(shù)據(jù)上應(yīng)用頻繁模式挖掘算法,獲得能描述特征之間的關(guān)系的頻繁模式和在多條記錄中頻繁出現(xiàn)的事件.正常行為的一致模式和與入侵行為相關(guān)聯(lián)的獨(dú)特的模式會(huì)被識(shí)別出來(lái),并用來(lái)建立關(guān)于網(wǎng)絡(luò)連接記錄的額外的特征.使用這種方法建立的特征能清晰地識(shí)別正常行為中的入侵行為.

算法可以描述如下.

該算法從語(yǔ)法上描述和分析了一個(gè)頻繁情節(jié),并用求個(gè)數(shù)、百分比及平均來(lái)構(gòu)建統(tǒng)計(jì)特征,并在某個(gè)時(shí)間窗口內(nèi)來(lái)衡量規(guī)則的特征,能提高基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)的精度.

3.2 人工異常數(shù)據(jù)生成

在采用機(jī)器學(xué)習(xí)方法來(lái)實(shí)現(xiàn)異常檢測(cè)時(shí),存在著一個(gè)難題,在于讓學(xué)習(xí)算法找到已知類(lèi)和未知類(lèi)之間邊界.由于在訓(xùn)練集中,沒(méi)有異常行為的實(shí)例,一個(gè)機(jī)器學(xué)習(xí)算法不會(huì)在已知數(shù)據(jù)和異常數(shù)據(jù)之間指定一個(gè)邊界.因此,提供一種人工異常數(shù)據(jù)生成技術(shù),讓傳統(tǒng)的學(xué)習(xí)算法能檢測(cè)到異常行為.生成的人工異常數(shù)據(jù)被插入到訓(xùn)練集里,用于幫助傳統(tǒng)的學(xué)習(xí)算法發(fā)現(xiàn)原始數(shù)據(jù)集里的邊界.所有的人工異常數(shù)據(jù)的類(lèi)別標(biāo)簽定義為異常.生成人工異常數(shù)據(jù)的依據(jù)是“最近缺失”,即與已知數(shù)據(jù)最接近且不在數(shù)據(jù)集里的實(shí)例,作為人工異常數(shù)據(jù)出現(xiàn).因?yàn)榧僭O(shè)訓(xùn)練集里的數(shù)據(jù)是有代表性的,所有與已知數(shù)據(jù)最近但缺失的數(shù)據(jù)被假設(shè)為異常數(shù)據(jù),作為人工異常數(shù)據(jù)生成.

由于無(wú)法確切地知道已知數(shù)據(jù)實(shí)例和異常數(shù)據(jù)實(shí)例的真正邊界,假設(shè)邊界與存在的已知數(shù)據(jù)很接近.為了生成與已知數(shù)據(jù)很接近的人工異常數(shù)據(jù),一種啟發(fā)式的方法是改變一個(gè)特征的屬性值為未出現(xiàn)于該數(shù)據(jù)集里的屬性值,并保持其他特征的屬性值不變.一些實(shí)例空間中的已知數(shù)據(jù)區(qū)域可能是稀疏的,可以將稀疏區(qū)域看作海洋中的一個(gè)小島嶼,而將密集區(qū)域看作一個(gè)大島嶼.為了避免過(guò)擬合,學(xué)習(xí)算法通常傾向于發(fā)現(xiàn)更多通用模型.而在入侵檢測(cè)中,數(shù)據(jù)集里只有已知數(shù)據(jù),因此在預(yù)測(cè)這些已知類(lèi)時(shí),需要阻止模型過(guò)于通用.也就是說(shuō),需要避免多個(gè)稀疏區(qū)域被劃入一組形成一個(gè)密集區(qū)域,以生成單個(gè)覆蓋所有稀疏區(qū)域的大區(qū)域的情況發(fā)生.可以在這些稀疏區(qū)域的周?chē)扇斯ぎ惓?shù)據(jù),并讓學(xué)習(xí)算法發(fā)現(xiàn)指定的能從其他實(shí)例空間中區(qū)分出這些稀疏區(qū)域的邊界.換言之,生成的人工異常數(shù)據(jù)就是要能放大這些稀疏區(qū)域.

稀疏區(qū)域可以從每個(gè)特征的非頻繁值中找到,為了放大稀疏區(qū)域,需要在稀疏區(qū)域周?chē)罁?jù)稀疏度生成合適數(shù)量的人工異常數(shù)據(jù).3.3 異常檢測(cè)和誤用檢測(cè)的結(jié)合

在有些研究中,異常檢測(cè)和誤用檢測(cè)被認(rèn)為是兩個(gè)獨(dú)立的問(wèn)題.異常檢測(cè)算法通常針對(duì)正常數(shù)據(jù)進(jìn)行訓(xùn)練,而誤用檢測(cè)則通常在標(biāo)注為正常和入侵兩類(lèi)標(biāo)簽的數(shù)據(jù)上進(jìn)行訓(xùn)練.直觀上看,一個(gè)結(jié)合異常檢測(cè)和誤用檢測(cè)的優(yōu)點(diǎn)的算法會(huì)有更好的檢測(cè)效果.因此,在生成人工異常數(shù)據(jù)的基礎(chǔ)上,設(shè)計(jì)一個(gè)能實(shí)現(xiàn)異常檢測(cè)和誤用檢測(cè)的模型.這就使得傳統(tǒng)的有監(jiān)督的指導(dǎo)學(xué)習(xí)算法可以使用,同時(shí)實(shí)現(xiàn)對(duì)異常行為和誤用行為的檢測(cè).算法在包含正常記錄和對(duì)應(yīng)入侵行為的記錄的數(shù)據(jù)集上,訓(xùn)練一個(gè)單一的模型,另外,也生成人工異常數(shù)據(jù),并在這個(gè)聯(lián)合數(shù)據(jù)集上,訓(xùn)練算法模型,這種模型能同時(shí)檢測(cè)異常和誤用.

結(jié)合誤用檢測(cè)和異常檢測(cè)的學(xué)習(xí),會(huì)得到一個(gè)規(guī)則集合.這個(gè)集合里有能將一個(gè)網(wǎng)絡(luò)連接分類(lèi)成正常的規(guī)則,也有能區(qū)分已知入侵類(lèi)別的規(guī)則.為了估計(jì)這種結(jié)合方法的效果,將入侵行為劃分為一些簇.通過(guò)逐漸增加簇到數(shù)據(jù)集里并生成人工異常數(shù)據(jù),創(chuàng)建出多個(gè)數(shù)據(jù)集.以此來(lái)模擬真實(shí)世界中,發(fā)現(xiàn)新的入侵并將其合并到數(shù)據(jù)集的過(guò)程.在這個(gè)數(shù)據(jù)集上學(xué)習(xí)到的模型,包含能識(shí)別訓(xùn)練集里的已知入侵行為的誤用規(guī)則,未知入侵行為的異常規(guī)則,以及特征化正常行為的規(guī)則.

4 入侵檢測(cè)系統(tǒng)的效率和可用性

4.1 入侵檢測(cè)系統(tǒng)的效率

數(shù)據(jù)挖掘在入侵檢測(cè)系統(tǒng)的典型應(yīng)用是實(shí)現(xiàn)線(xiàn)下入侵檢測(cè)系統(tǒng),因?yàn)閷W(xué)習(xí)算法需要處理的大量的審計(jì)數(shù)據(jù).而效率更高的入侵檢測(cè)系統(tǒng)應(yīng)該能在入侵行為發(fā)生時(shí)就發(fā)現(xiàn)異常,實(shí)現(xiàn)實(shí)時(shí)的在線(xiàn)入侵檢測(cè)功能,保障網(wǎng)絡(luò)的安全[5].與線(xiàn)下入侵檢測(cè)系統(tǒng)相比,實(shí)時(shí)系統(tǒng)最主要的目標(biāo)是盡可能早地發(fā)現(xiàn)入侵行為,因此,系統(tǒng)構(gòu)造的模型的效率是一個(gè)非常重要的因素.

由于現(xiàn)有的很多基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)是使用線(xiàn)下數(shù)據(jù)來(lái)學(xué)習(xí),構(gòu)建入侵模型,也就是說(shuō)當(dāng)一個(gè)事件被檢驗(yàn)時(shí),和這個(gè)事件有關(guān)的所有行為都已經(jīng)發(fā)生了,這些行為對(duì)應(yīng)的所有特征都包含有意義能用于模型檢查的值.因此,若直接將這些模型用于實(shí)時(shí)環(huán)境下,就會(huì)出現(xiàn)一個(gè)事件發(fā)生后,不會(huì)被檢查,直到與這個(gè)事件相關(guān)的所有行為都發(fā)生以后,對(duì)所有的相關(guān)信息進(jìn)行整合,才能對(duì)該事件進(jìn)行檢測(cè).這就意味著入侵檢測(cè)被耽擱了,這會(huì)導(dǎo)致無(wú)法及時(shí)發(fā)現(xiàn)某些攻擊行為,如DoS攻擊等.因此,檢查與計(jì)算每個(gè)特征有關(guān)的時(shí)間延遲從而實(shí)現(xiàn)模型的估計(jì)效率是很有必要的.一個(gè)特征的時(shí)間延遲不僅包括計(jì)算特征的時(shí)間而且包括等待其就緒的時(shí)間.但是,從時(shí)間消耗的角度看,主要關(guān)注計(jì)算時(shí)間.根據(jù)特征構(gòu)建方法,可以將網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的特征分成不同的時(shí)間消耗水平,并為不同水平的消耗設(shè)置一個(gè)具體的值以方便時(shí)間消耗的估計(jì).

為了減少計(jì)算時(shí)間的消耗,被檢查的規(guī)則在保證滿(mǎn)足需要的精度下,要盡可能經(jīng)常使用時(shí)間消耗水平低的特征.可以使用多規(guī)則集方法,每個(gè)規(guī)則集使用不同時(shí)間消耗水平的特征.系統(tǒng)先用低時(shí)間消耗的規(guī)則集進(jìn)行檢測(cè),當(dāng)?shù)蜁r(shí)間消耗的規(guī)則集不能滿(mǎn)足預(yù)測(cè)的精度需求時(shí),再使用高時(shí)間消耗的規(guī)則集.采用這種規(guī)則檢測(cè)方法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能適應(yīng)實(shí)時(shí)檢測(cè)的需求.系統(tǒng)用一個(gè)感知器從原始網(wǎng)絡(luò)通信數(shù)據(jù)中抽取原始的特征建立連接記錄,然后計(jì)算主要特征,將特征按時(shí)間消耗水平進(jìn)行分類(lèi),用低時(shí)間消耗的規(guī)則集先進(jìn)行估計(jì),若不能滿(mǎn)足精度要求,則再用高時(shí)間消耗的規(guī)則進(jìn)行預(yù)測(cè).

4.2 入侵檢測(cè)系統(tǒng)的可用性

基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)需要用大量的訓(xùn)練集來(lái)獲得判斷行為類(lèi)別的分類(lèi)器,這就使得系統(tǒng)需要管理訓(xùn)練數(shù)據(jù)和歷史數(shù)據(jù),而且,一旦有新數(shù)據(jù)被分析,則需要更新模型,另外,訓(xùn)練數(shù)據(jù)集是大量的有標(biāo)簽的數(shù)據(jù),因此這種系統(tǒng)的復(fù)雜性較高.為了提高系統(tǒng)的可用性,需要減少更新模型的數(shù)據(jù)量,以及降低對(duì)訓(xùn)練數(shù)據(jù)的需求量.

為了能檢測(cè)到新建立的模型,用全部分類(lèi)器作為通用的但相互獨(dú)立的模型來(lái)適應(yīng)現(xiàn)有的模型,這樣既可以提高學(xué)習(xí)算法的效率,又可以改善系統(tǒng)部署的性能.在實(shí)際應(yīng)用中,一旦發(fā)現(xiàn)了一個(gè)新類(lèi)型的入侵模式,就需要快速調(diào)整現(xiàn)有的檢測(cè)模型,做出一個(gè)臨時(shí)改進(jìn)的模型使其能檢測(cè)新發(fā)現(xiàn)的入侵,盡管可能無(wú)法發(fā)現(xiàn)全部的新攻擊行為.同時(shí),需要花費(fèi)較長(zhǎng)時(shí)間,重新計(jì)算檢測(cè)模型,以得到能發(fā)現(xiàn)所有新入侵行為的更新后的檢測(cè)模型,然后替換掉臨時(shí)的改進(jìn)模型.為了簡(jiǎn)化模型更新的內(nèi)容和步驟,可以為新的入侵行為生成一個(gè)輕量級(jí)的分類(lèi)器,保持原有模型的主要部分不變,對(duì)于一個(gè)新到的連接記錄,可以先用原有模型進(jìn)行檢測(cè),若未發(fā)現(xiàn)異常,則再用新生成的分類(lèi)器進(jìn)行檢測(cè).最終的預(yù)測(cè)結(jié)果是綜合兩個(gè)模型結(jié)果的函數(shù)值.這樣,僅對(duì)更新數(shù)據(jù)計(jì)算新的分類(lèi)器比計(jì)算所有的數(shù)據(jù)生成新的整體模型要更有效用.

創(chuàng)建有效用的檢測(cè)系統(tǒng),需要在包含大量有標(biāo)簽數(shù)據(jù)的訓(xùn)練集上訓(xùn)練算法,這也是檢測(cè)系統(tǒng)部署的一個(gè)主要困難.對(duì)于誤用檢測(cè)系統(tǒng),訓(xùn)練集的數(shù)據(jù)要被精確的標(biāo)記為正常行為或攻擊行為.對(duì)于異常檢測(cè)系統(tǒng),訓(xùn)練集的數(shù)據(jù)只需被驗(yàn)證是正常行為即可.但是,這兩種系統(tǒng),為標(biāo)記訓(xùn)練集所花費(fèi)的消耗基本是相同的,而數(shù)據(jù)采集是依據(jù)具體的環(huán)境來(lái)實(shí)現(xiàn)的,因此,應(yīng)用于不同環(huán)境的每個(gè)系統(tǒng)都需要進(jìn)行這種數(shù)據(jù)標(biāo)注工作,會(huì)消耗大量的人力物力.當(dāng)采用無(wú)須標(biāo)注的數(shù)據(jù)集作為訓(xùn)練集進(jìn)行學(xué)習(xí)時(shí),會(huì)降低部署檢測(cè)系統(tǒng)的消耗.無(wú)監(jiān)督學(xué)習(xí)算法能在無(wú)標(biāo)簽的數(shù)據(jù)集上進(jìn)行學(xué)習(xí),獲得分類(lèi)器.無(wú)監(jiān)督學(xué)習(xí)異常檢測(cè)算法主要基于兩個(gè)假設(shè),一是異常行為的數(shù)量相對(duì)于正常行為的數(shù)量來(lái)說(shuō),是非常少的,這樣就意味著攻擊行為在整體行為中占的比例非常小;另一個(gè)是異常行為與正常行為的表現(xiàn)不同,攻擊行為和正常行為對(duì)資源的使用有很大不同.這樣,可以把異常行為看作正常行為的異常點(diǎn),將異常檢測(cè)轉(zhuǎn)換為離群點(diǎn)檢測(cè)問(wèn)題,采用無(wú)監(jiān)督學(xué)習(xí)算法來(lái)解決.

5 結(jié)束語(yǔ)

入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)監(jiān)控等多個(gè)領(lǐng)域里發(fā)揮了越來(lái)越重要的作用，入侵檢測(cè)系統(tǒng)的構(gòu)建對(duì)入侵檢測(cè)的效果有至關(guān)重要的作用.本文探討提高基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)性能的一些方法.分別在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的精度、效率和可用性三個(gè)主要方面分析限制當(dāng)前的系統(tǒng)性能的主要原因,并提出一些改進(jìn)的方法.在未來(lái)的工作中，將繼續(xù)探索提高入侵檢測(cè)模型的效用的技術(shù).