2024年2月29日发(作者:方淑华)
维普资讯
第34卷 第11期 计算机工程 2008年6月 VoL34 No. Computer Engineering June 2008 ・安全技术・ 文章编号:1000—3428(2008)11—0155—02 文献标识码:A 中图分类号:TP393 基于模糊SOFM的网络入侵检测方法 胡玉荣 (荆楚理工学院计算机系,荆门448000) 摘要:针对目前入侵检测系统误报率过高、检测率不高和对未知入侵检测能力有限的缺陷,提出一种基于模糊SOFM的网络入侵检测方 法,经训练后可形成一个稳定的神经网络系统,有效地识别网络正常行为和异常行为。采用KDD99数据集对系统进行实验,结果表明, 系统在保持误报率低于3%的情况下,入侵检测率最高可以达到92%以上。 关键词:入侵检测;神经网络;模糊技术;自组织特征映射 Method of Network Intrusion Detection Based on Fuzzy SOFM HU Yu-rong (Department of Computer,Jingchu University of Technology,Jingmen 448000) [Abstract]Considering current intrusion detection system with high misinformation rate and low detection rate,this paper applies fuzzy Self- Organizing Feature Map(SOFM)neural network to intrusion detection.After being trained,the fuzzy SOFM network call become a stable nerve network system and identify a network normal and abnormal behavior effectively.Experimental results show that using the KDD99 databases, intrusion detection rate is more than 92%when the misinformation rate is below 3%. [Key words]intursion detection;neural network;fuzzy technology;Self-Organizing Feature Map(SOFM) 1概述 下几个方面构成 :(1)数据预处理,把从网络上获得的数据 目前,在模糊入侵检测系统领域中,研究者们已经作了 包进行处理,以便进一步对数据进行分析;(2)模糊神经网络, 大量的相关工作。文献…提出的FIRE(Fuzzy Intrusion 将预处理后的数据信息作为输入矢量输入到神经网络中,对 Recognition Engine)是一个使用模糊系统来检测网络恶意行 数据信息进一步分析,得到数据信息输出值;(3)聚类分析, 为的网络入侵检测系统,只对特定的攻击行为论证了方法的 根据模糊神经网络的输出值,判断该输出值属于正常行为模 可行性及改进性,并没有给出确切的结果。文献[2]提出的 式还是异常行为模式;f4)响应模块,依据判断的结果决定所 c—Medoids模糊聚类算法,用来建立正常行为的聚类模型,模 要采取的措施,包括报告管理员、切断网络连接等。 型中包括了运用文献[3]的数据集简化方法进行简化的进程、 2.1数据预处理 系统和网络的数据。新数据通过和已有聚类的比较来检测入 入侵检测系统的检测数据来自网络数据包,实际操作时 侵行为。检测模型表现出了较高的检测率,但误报率也很高。 将网卡的接收模式设为混杂模式,截取网络数据包。先将网 Ambareen Siraj等人提出了一个智能入侵检测系统(IIDS) 络数据的所有特征转变成数字特征,然后才能对这些数据进 的检测引擎,它融合了来自各个不同的入侵检测传感器的信 行神经网络的聚类分析。对所有数据进行归一化处理,这样 息,这些传感器都使用了一种人工智能技术 l。此入侵检测 可消除数据不同特征对分类结果的影响差异很大的情况,使 引擎主要是将多源的数据进行融合,在基于专家知识和经验 特征之问处在更加平等的地位,便于进行后面的入侵分析。 产生规则的基础上,利用模糊识别图来进行模糊逻辑推理, 2.2聚类分析 、 完成入侵检测的任务。早期基于神经网络的IDS研究大多采 本文应用聚类方法可以将网络行为模式分成正常行为模 用多层前馈网络BP为基础建模 J,也有多层感知器和 式和异常行为(入侵行为)模式。聚类算法采用模糊c一均值聚 Hamming神经网络参与建模,但都存在自身的限制与不足。。l。 类方法 J。模糊c一均值聚类方法不是将模式分成分明子集, 自组织特征映射(Self-Organizing Feature Map,SOFM)神 而是求出每个模式属于各模类的隶属度。该方法首先随机选 经网络较上述网络的最大优点是无监督学习,用SOFM构建 取若干聚类中心,所有数据点都被赋予对聚类中心一定的模 的系统移植到新环境中,训练数据可以是无标记的 l。与BP 糊隶属度,然后通过迭代方法不断修正聚类中心,迭代过程 神经网络相比,这种自组织自适应的学习能力进一步拓宽了 中以极小化所有数据点到各个聚类中心的距离与隶属度值的 人工神经网络在模式识别、分类方面的应用。 加权和为优化目标。 本文提出将自组织特征映射神经网络和模糊技术相结合 的模糊神经网络用于入侵检测系统,能较充分地发挥2种技 基金项目:国家自然科学基金资助重点项目(60463004);湖北省教育 术的优点,克服神经网络的不足,构造一个较为有效的入侵 厅科研基金资助项目(B200767002);荆楚理工学院自然科学基金资 检测系统。 助项目(ZR200601) 2一种基于模糊SOFM的网络入侵检测方法 作者简介:胡玉荣(197O一),女,硕士,.主研方向:数据挖掘 本文提出的基于模糊神经网络的入侵检测系统主要由以 收稿日期:2007—07—22 E-mail:yuronghu501@sina.com 155~
维普资讯
2.3检测规则 当模糊SOFM神经网络学会了系统正常工作模式后,再 依据相应的检测规则,就能够对偏离系统正常工作的事件作 出反应,进而可以发现一些新的攻击模式,本文提出了以下 检测规则。 假设有神经元集w:{wl, ,…,wMj,其中,子集W :{wl …进行了验证。 (1)为了证织本文所提出的模糊神经网络的可行性和有 效性,本文采用了KDD Cup 1999数据集对系统进行实验。 KDD99的数据集包含几种主要的攻击种类:侦测攻击PROBE (信息收集攻击),拒绝服务攻击DoS(拒绝对系统的合法要 求),获取根用户权限攻击U2R(t ̄认证的以超级用户或根用 户的权限访问系统)。KDD99数据集的数据包括连续属性值、 离敞属性值和符号属性值等多种类型的属性,属性值的变化 范围也各不相同。因此,本文要对数据进行预处理。 (3)将实验数据集分为训练数据集和检测数据集2部分。 ,, 1 }和w2:{ 。, 。,…,wM2 }分别为正常行为特征 类和入侵行为特征类(MI+M2=M),当某一检测数据x输入模 糊SOFM网络中时,本文规定判别函数为 g (x)= ̄o{J x—w刈) k=l’2,一,M =1,2 判别规则为:若g,(x)=I &(x),i=l 2,则X∈W 。 这种判别方法称为最近邻法,也可称为模式匹配法。其 直观理解相当简单,对未知检测样本X,只须比较它与模糊 SOFM网络中的M个已知类别的神经元之间的距离,并决策 x与离它最近的那个神经元同类。这时,若设该最近神经元 为w0,也可把w 称为x的最佳匹配点。若 W ,则判定 先把全部网络数据特征转变为数字特征,然后进行数据预 处理。 (3)根据该数据样本的特征数目,确定模糊SOFM网络的 输入层和输出层神经元个数。根据数据样本中的特征数目, 可以确定模糊SOFM网络的输入层有41个神经元组成。竞 争层神经元个数的选取,直接影响模糊SOFM网络的性能, 数目过多则增加计算量,降低学习速度;数目过少,则有可 能把2个相近模式误判为一个。结合入侵检测的实际情况, 确定竞争层神经元个数为15x15=225。 x为正常行为;若 W ,则判定x为入侵行为。 2.4基于模糊SOFM的网络入侵检测 假设输入模式为n维,输入样本空间{x ,X 一,X },其 中,X =f ,Xk,,…,Xk ), =1,2,…,n,它与输出层神经元的 (4)输入训练数据,对模糊SOFM网络进行学习,然后对 网络的输出结果进行聚类分析。 隶属度函数为{ , ,…, 】,其中,输出层为2维SOFM(M= mxm),输入层与输出层神经元 之间的连接权矢量为 (5)用检测数据进行入侵检测仿真实验。实验中的检测规 则用上文所述规则进行判断。 W =(w1 ,W2 ..,w )’,其算法描述如下: (1)确定n维输入模式{x ,X ..,x }和竞争层神经元个 数M(mxm)。 实验结果主要由IDS的性能指标中的准确性来体现,其 准确性由检测率、误报率和漏报率这3个因素组成。检测率 是发生入侵行为时发出的正确报警数量占所有入侵行为的百 (2)对输入模式的特征值进行预处理,并初始化自组织特 征映射所需的各参数值,如输入模式的归一化处理、归一随 分比;误报率是没有发生入侵行为时发出的报警数量占所有 正常行为的百分比;漏报率即发生入侵行为时没有发出报警 的数量占所有入侵行为的百分比。 由于KDD99数据集的数据量较大,且其本身含有大量 的冗余数据,为了简化计算,本文采用了随机提取记录的方 法来降低数据集的大小,分别提取5 000条 1和10 000条 2记录作为训练数据集;另外,提取4组(T1,丁2,7_3,T4)各 机化处理初始权值w,、最大循环次数、学习速率等。 (3)对输出层神经元进行自组织训练,学习算法采用模糊 化学习算法 可得输入模式的自组织特征映射结果。 (4)对模糊SOFM网络的输出结果进行模糊C一均值聚类, 分成2类:1)正常行为的聚类团;2)异常行为的聚类团。 (5)将检测数据输入到模糊SOFM网络中,并在模糊 SOFM网络中找到它的最佳匹配点wo。 (6)按照检测规则判断,如果属于入侵特征的映射点,则 判断为入侵行为样本点,发出报警,程序结束。 这种算法是在对基于自组织特征映射(SOFM)聚类的网 络入侵检测算法进行了改进的基础上提出的,主要的改进是 2 000条随机记录来分别进行神经网络训练和网络测试。在对 模糊神经网络进行了训练后,分别用4组检测数据集对该网 络进行测试,测试结果见表1和表2。 表1 iIlI练集 1 iIlI练后的实验数据对照表 数据集录总数录总譬 薹 数检出数……… 误报数漏报数一 ,(%) ,(%) “%) 当用SOFM网络对目标空间数据进行特征统计时,引入模糊 化学习算法的思想,形成的模糊SOFM网络可保证更准确地 对数据特征的统计分析,特别是在SOFM通过自学习从数据 中提取行为特征模式时,对某些处于正常和异常行为边界的 特征模式的准确表达是更加有利的。 表2 iIlI练集 2 iIlI练后的实验数据对照表 2.5入侵回应 入侵回应主要是接收来自入侵检测模块的检测结果并进 数据集录总曩数录总 嚣盛误报数检出数…… 数漏…M报数 『(%) ,(%) 『(%) 行相关的处理。入侵回应有多种方法,例如与其他安全技术 相结合进行联动、报告管理员、发出警告信息等。本文采用 了简单的报告管理员的处理方法。 3仿真实验 本实验在Matlab6.5环境下实现入侵检测算法的各功 能,分析了参数变化对检测结果的影响 J。利用该软件进行 入侵检测仿真实验,对基于模糊SOFM的网络入侵检测算法 可以看出,在训练次数相同的情况下,训练集的记录越 多,能识别的数据也越多,检测率越高,误报率越低,这充 分说明了本系统的检测性能很大程度上取决于训练集的性 (下转第159页)
维普资讯
G一暑I 祭露窖嘲 蹈 并没有完全反映出来。 弛 如 30 25 20 十历史平均排各船,8月6日排名 8月13 15 lO 5 0 0 2 4 6 8 10 12 14 16 18 20 22 24 eh(每天的24个小时) (从8月1日0A开始计时) 图3排名曲线比较 图2 8月份靖日流量曲线 5结束语 序贯频繁模式是一种很好的反映网民用网习惯的方式, 使用该模式可以挖掘出流量相关的宏观网络异常。 其主要原因是“魔波”下载木马在流量上影响比较大, 因此在“魔波”来袭且用户没有防护手段的时候显示的异常 更为严重。为此,考虑了一种介于以上两者之间的方法—— 流量排名比较,它相对于序贯频繁模式挖掘更直观,然而在 细节方面反映的问题要差一些;同时它比使用绝对流量更能 参考文献 [1】中国互联网中心.第十次中国互联网络发展状况调查统计报告: 第四部分一一调查结果(下)[EB/OL].(2002—07—10).http://news. xinhuanet.com/ziliao/2003—01/21/content700637.htm. _反映网民的网络习惯。在给24个流量值排序时,每个小时的 流量都对应于一个排名值。训练时期算出不同流量类型的各 小时平均排名值,并在检测阶段把新的排名与历史排名盐线 相比较,这样可以直观地看出流量相对大小关系的异常。 取它们的最大频繁项集,取出有代表性的排名盐线,即 如图3所示的菱形标记盐线(历史平均排名盐线)。同时,取 出8月6日与8月13日的当天排名盐线的最大频繁项集。 由图3可以看出,8月6日的流量排名与历史平均排名 [2】Agrawal R,Srikant R.Mining Sequential Patterns[C]/,'Proc.of the 1lth International Conference on Data Engineering.[S.1.]:1EEE Computer Society Press,1995. [3]Zhao Qiankun,Bhowmick S S.Sequential Pattern Mining:A Survey[R].Singapore:Nanyang Technological University,Techni— cal Report:2003118,2003. [4]瑞星.2006年8月7日“橙色八月”病毒疫情报告[EB/OL]. r2006—08—07).h ̄p:Hk.rising.com.crdChannels/Info/Virus/2006—08— 07/1154934796d36918.shtm1. 几乎相反,从中可以看出8月上旬的流量异常。然而,8月 13日的流量与历史平均排名极为相似,从中并不能反映出8 月13日的流量异常性,它不能从细节上反映出流量的异常。 所以,序贯频繁模式挖掘比起以上2种方法更能反映出流量 的异常。 …………………………………[5】网易科技.瑞星黄色安全警报[EB/OL].(2006—08—15).http://tech. 163.com/06/0815/10/2OIDQJ9400091KUI.htm1. ……………………………… (上接第156页) 能。从实验结果看,本系统在保持误报率低3%的情况下,入 侵检测率最高可以达到92%以上。 将本文的系统与前述的一些系统进行比较,详见表3。 表3不同系统的检测率和误报率比较表 时,使检测率得到一定提高。 参考文献 [1]Dickerson J E,Jusitn J,Koulousoula O,et a1.Fuzzy Intrusion Detection[C]/,'Proc.of IFSA World Congress and the 20th NAFIPS International Conference.Vancouvec British Columbia,Canada: [s.n.],2001. [2]Krishnapuram R,Joshi A,Nasraoui A,et a1.Low—complexity Fuzzy Relational C ̄stering Algorithms for Web Mining[J].IEEE 从表3中可见,本文的系统与FCMdd,NFIDS相比,检 Transactions on Fuzzy Systems,2001,9(4):595—607. 测率较高而误报率却很低,这表明本文的系统有较好的实用 性。训练后的模糊神经网络并不能完全正确识别所有的测试 数据,这说明训练集是不全面的,没有包括所有可能的输入 数据的类型,导致网络对攻击行为识别不清楚;训练不够充 分也是导致识别能力不足的一个关键因素。但训练集是不可 能完备的,因为攻击行为总是不断变化的,所以错误报警也 是不可避免的。 ‘ [3]Anderson E,Bai Z,Bischof C,et a1.LAPACK User’s Guide[M]. Philadelphia,PA,USA:SIAM Press,1999. [4]sira1 A,Vaughn R B,Bridges M.Intrusion Sensor Data Fusion in an Intelligent Intrusion Detection System Architeeture[C]//Proceedings of the 37th Annual Hawaii International Conference on System Sciences.Big Islnd,Hawaiai,USA:[s.n.】,2004. [5]肖道举,毛[6]丛辉,陈晓苏.BP神经网络在入侵检测中的应用[JJ. 华中科技大学学报:自然科学版,2003,31(5):6-8. 爽.面向MATAB工具箱的神经网络理论与应用[M].合肥: 中国科学技术大学出版社,1998. [7]赵振宇,徐用懋.模糊理论和神经网络的基础与应用[M].北京: 清华大学出版社,1996. 4结束语 基于模糊SOFM网络能更准确地提取检测数据的统计特 征,对入侵检测的某些边缘检测率有所提高,这说明对SOFM 进行模糊化改进是有实际作用的。实验表明,本文提出的基 于模糊神经网络的入侵检测方法在未知入侵检测方面是可行 且有效的,具有良好的可扩展性,能在有效降低误检率的同 [8]唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业 出版社,2002. 一】59一
2024年2月29日发(作者:方淑华)
维普资讯
第34卷 第11期 计算机工程 2008年6月 VoL34 No. Computer Engineering June 2008 ・安全技术・ 文章编号:1000—3428(2008)11—0155—02 文献标识码:A 中图分类号:TP393 基于模糊SOFM的网络入侵检测方法 胡玉荣 (荆楚理工学院计算机系,荆门448000) 摘要:针对目前入侵检测系统误报率过高、检测率不高和对未知入侵检测能力有限的缺陷,提出一种基于模糊SOFM的网络入侵检测方 法,经训练后可形成一个稳定的神经网络系统,有效地识别网络正常行为和异常行为。采用KDD99数据集对系统进行实验,结果表明, 系统在保持误报率低于3%的情况下,入侵检测率最高可以达到92%以上。 关键词:入侵检测;神经网络;模糊技术;自组织特征映射 Method of Network Intrusion Detection Based on Fuzzy SOFM HU Yu-rong (Department of Computer,Jingchu University of Technology,Jingmen 448000) [Abstract]Considering current intrusion detection system with high misinformation rate and low detection rate,this paper applies fuzzy Self- Organizing Feature Map(SOFM)neural network to intrusion detection.After being trained,the fuzzy SOFM network call become a stable nerve network system and identify a network normal and abnormal behavior effectively.Experimental results show that using the KDD99 databases, intrusion detection rate is more than 92%when the misinformation rate is below 3%. [Key words]intursion detection;neural network;fuzzy technology;Self-Organizing Feature Map(SOFM) 1概述 下几个方面构成 :(1)数据预处理,把从网络上获得的数据 目前,在模糊入侵检测系统领域中,研究者们已经作了 包进行处理,以便进一步对数据进行分析;(2)模糊神经网络, 大量的相关工作。文献…提出的FIRE(Fuzzy Intrusion 将预处理后的数据信息作为输入矢量输入到神经网络中,对 Recognition Engine)是一个使用模糊系统来检测网络恶意行 数据信息进一步分析,得到数据信息输出值;(3)聚类分析, 为的网络入侵检测系统,只对特定的攻击行为论证了方法的 根据模糊神经网络的输出值,判断该输出值属于正常行为模 可行性及改进性,并没有给出确切的结果。文献[2]提出的 式还是异常行为模式;f4)响应模块,依据判断的结果决定所 c—Medoids模糊聚类算法,用来建立正常行为的聚类模型,模 要采取的措施,包括报告管理员、切断网络连接等。 型中包括了运用文献[3]的数据集简化方法进行简化的进程、 2.1数据预处理 系统和网络的数据。新数据通过和已有聚类的比较来检测入 入侵检测系统的检测数据来自网络数据包,实际操作时 侵行为。检测模型表现出了较高的检测率,但误报率也很高。 将网卡的接收模式设为混杂模式,截取网络数据包。先将网 Ambareen Siraj等人提出了一个智能入侵检测系统(IIDS) 络数据的所有特征转变成数字特征,然后才能对这些数据进 的检测引擎,它融合了来自各个不同的入侵检测传感器的信 行神经网络的聚类分析。对所有数据进行归一化处理,这样 息,这些传感器都使用了一种人工智能技术 l。此入侵检测 可消除数据不同特征对分类结果的影响差异很大的情况,使 引擎主要是将多源的数据进行融合,在基于专家知识和经验 特征之问处在更加平等的地位,便于进行后面的入侵分析。 产生规则的基础上,利用模糊识别图来进行模糊逻辑推理, 2.2聚类分析 、 完成入侵检测的任务。早期基于神经网络的IDS研究大多采 本文应用聚类方法可以将网络行为模式分成正常行为模 用多层前馈网络BP为基础建模 J,也有多层感知器和 式和异常行为(入侵行为)模式。聚类算法采用模糊c一均值聚 Hamming神经网络参与建模,但都存在自身的限制与不足。。l。 类方法 J。模糊c一均值聚类方法不是将模式分成分明子集, 自组织特征映射(Self-Organizing Feature Map,SOFM)神 而是求出每个模式属于各模类的隶属度。该方法首先随机选 经网络较上述网络的最大优点是无监督学习,用SOFM构建 取若干聚类中心,所有数据点都被赋予对聚类中心一定的模 的系统移植到新环境中,训练数据可以是无标记的 l。与BP 糊隶属度,然后通过迭代方法不断修正聚类中心,迭代过程 神经网络相比,这种自组织自适应的学习能力进一步拓宽了 中以极小化所有数据点到各个聚类中心的距离与隶属度值的 人工神经网络在模式识别、分类方面的应用。 加权和为优化目标。 本文提出将自组织特征映射神经网络和模糊技术相结合 的模糊神经网络用于入侵检测系统,能较充分地发挥2种技 基金项目:国家自然科学基金资助重点项目(60463004);湖北省教育 术的优点,克服神经网络的不足,构造一个较为有效的入侵 厅科研基金资助项目(B200767002);荆楚理工学院自然科学基金资 检测系统。 助项目(ZR200601) 2一种基于模糊SOFM的网络入侵检测方法 作者简介:胡玉荣(197O一),女,硕士,.主研方向:数据挖掘 本文提出的基于模糊神经网络的入侵检测系统主要由以 收稿日期:2007—07—22 E-mail:yuronghu501@sina.com 155~
维普资讯
2.3检测规则 当模糊SOFM神经网络学会了系统正常工作模式后,再 依据相应的检测规则,就能够对偏离系统正常工作的事件作 出反应,进而可以发现一些新的攻击模式,本文提出了以下 检测规则。 假设有神经元集w:{wl, ,…,wMj,其中,子集W :{wl …进行了验证。 (1)为了证织本文所提出的模糊神经网络的可行性和有 效性,本文采用了KDD Cup 1999数据集对系统进行实验。 KDD99的数据集包含几种主要的攻击种类:侦测攻击PROBE (信息收集攻击),拒绝服务攻击DoS(拒绝对系统的合法要 求),获取根用户权限攻击U2R(t ̄认证的以超级用户或根用 户的权限访问系统)。KDD99数据集的数据包括连续属性值、 离敞属性值和符号属性值等多种类型的属性,属性值的变化 范围也各不相同。因此,本文要对数据进行预处理。 (3)将实验数据集分为训练数据集和检测数据集2部分。 ,, 1 }和w2:{ 。, 。,…,wM2 }分别为正常行为特征 类和入侵行为特征类(MI+M2=M),当某一检测数据x输入模 糊SOFM网络中时,本文规定判别函数为 g (x)= ̄o{J x—w刈) k=l’2,一,M =1,2 判别规则为:若g,(x)=I &(x),i=l 2,则X∈W 。 这种判别方法称为最近邻法,也可称为模式匹配法。其 直观理解相当简单,对未知检测样本X,只须比较它与模糊 SOFM网络中的M个已知类别的神经元之间的距离,并决策 x与离它最近的那个神经元同类。这时,若设该最近神经元 为w0,也可把w 称为x的最佳匹配点。若 W ,则判定 先把全部网络数据特征转变为数字特征,然后进行数据预 处理。 (3)根据该数据样本的特征数目,确定模糊SOFM网络的 输入层和输出层神经元个数。根据数据样本中的特征数目, 可以确定模糊SOFM网络的输入层有41个神经元组成。竞 争层神经元个数的选取,直接影响模糊SOFM网络的性能, 数目过多则增加计算量,降低学习速度;数目过少,则有可 能把2个相近模式误判为一个。结合入侵检测的实际情况, 确定竞争层神经元个数为15x15=225。 x为正常行为;若 W ,则判定x为入侵行为。 2.4基于模糊SOFM的网络入侵检测 假设输入模式为n维,输入样本空间{x ,X 一,X },其 中,X =f ,Xk,,…,Xk ), =1,2,…,n,它与输出层神经元的 (4)输入训练数据,对模糊SOFM网络进行学习,然后对 网络的输出结果进行聚类分析。 隶属度函数为{ , ,…, 】,其中,输出层为2维SOFM(M= mxm),输入层与输出层神经元 之间的连接权矢量为 (5)用检测数据进行入侵检测仿真实验。实验中的检测规 则用上文所述规则进行判断。 W =(w1 ,W2 ..,w )’,其算法描述如下: (1)确定n维输入模式{x ,X ..,x }和竞争层神经元个 数M(mxm)。 实验结果主要由IDS的性能指标中的准确性来体现,其 准确性由检测率、误报率和漏报率这3个因素组成。检测率 是发生入侵行为时发出的正确报警数量占所有入侵行为的百 (2)对输入模式的特征值进行预处理,并初始化自组织特 征映射所需的各参数值,如输入模式的归一化处理、归一随 分比;误报率是没有发生入侵行为时发出的报警数量占所有 正常行为的百分比;漏报率即发生入侵行为时没有发出报警 的数量占所有入侵行为的百分比。 由于KDD99数据集的数据量较大,且其本身含有大量 的冗余数据,为了简化计算,本文采用了随机提取记录的方 法来降低数据集的大小,分别提取5 000条 1和10 000条 2记录作为训练数据集;另外,提取4组(T1,丁2,7_3,T4)各 机化处理初始权值w,、最大循环次数、学习速率等。 (3)对输出层神经元进行自组织训练,学习算法采用模糊 化学习算法 可得输入模式的自组织特征映射结果。 (4)对模糊SOFM网络的输出结果进行模糊C一均值聚类, 分成2类:1)正常行为的聚类团;2)异常行为的聚类团。 (5)将检测数据输入到模糊SOFM网络中,并在模糊 SOFM网络中找到它的最佳匹配点wo。 (6)按照检测规则判断,如果属于入侵特征的映射点,则 判断为入侵行为样本点,发出报警,程序结束。 这种算法是在对基于自组织特征映射(SOFM)聚类的网 络入侵检测算法进行了改进的基础上提出的,主要的改进是 2 000条随机记录来分别进行神经网络训练和网络测试。在对 模糊神经网络进行了训练后,分别用4组检测数据集对该网 络进行测试,测试结果见表1和表2。 表1 iIlI练集 1 iIlI练后的实验数据对照表 数据集录总数录总譬 薹 数检出数……… 误报数漏报数一 ,(%) ,(%) “%) 当用SOFM网络对目标空间数据进行特征统计时,引入模糊 化学习算法的思想,形成的模糊SOFM网络可保证更准确地 对数据特征的统计分析,特别是在SOFM通过自学习从数据 中提取行为特征模式时,对某些处于正常和异常行为边界的 特征模式的准确表达是更加有利的。 表2 iIlI练集 2 iIlI练后的实验数据对照表 2.5入侵回应 入侵回应主要是接收来自入侵检测模块的检测结果并进 数据集录总曩数录总 嚣盛误报数检出数…… 数漏…M报数 『(%) ,(%) 『(%) 行相关的处理。入侵回应有多种方法,例如与其他安全技术 相结合进行联动、报告管理员、发出警告信息等。本文采用 了简单的报告管理员的处理方法。 3仿真实验 本实验在Matlab6.5环境下实现入侵检测算法的各功 能,分析了参数变化对检测结果的影响 J。利用该软件进行 入侵检测仿真实验,对基于模糊SOFM的网络入侵检测算法 可以看出,在训练次数相同的情况下,训练集的记录越 多,能识别的数据也越多,检测率越高,误报率越低,这充 分说明了本系统的检测性能很大程度上取决于训练集的性 (下转第159页)
维普资讯
G一暑I 祭露窖嘲 蹈 并没有完全反映出来。 弛 如 30 25 20 十历史平均排各船,8月6日排名 8月13 15 lO 5 0 0 2 4 6 8 10 12 14 16 18 20 22 24 eh(每天的24个小时) (从8月1日0A开始计时) 图3排名曲线比较 图2 8月份靖日流量曲线 5结束语 序贯频繁模式是一种很好的反映网民用网习惯的方式, 使用该模式可以挖掘出流量相关的宏观网络异常。 其主要原因是“魔波”下载木马在流量上影响比较大, 因此在“魔波”来袭且用户没有防护手段的时候显示的异常 更为严重。为此,考虑了一种介于以上两者之间的方法—— 流量排名比较,它相对于序贯频繁模式挖掘更直观,然而在 细节方面反映的问题要差一些;同时它比使用绝对流量更能 参考文献 [1】中国互联网中心.第十次中国互联网络发展状况调查统计报告: 第四部分一一调查结果(下)[EB/OL].(2002—07—10).http://news. xinhuanet.com/ziliao/2003—01/21/content700637.htm. _反映网民的网络习惯。在给24个流量值排序时,每个小时的 流量都对应于一个排名值。训练时期算出不同流量类型的各 小时平均排名值,并在检测阶段把新的排名与历史排名盐线 相比较,这样可以直观地看出流量相对大小关系的异常。 取它们的最大频繁项集,取出有代表性的排名盐线,即 如图3所示的菱形标记盐线(历史平均排名盐线)。同时,取 出8月6日与8月13日的当天排名盐线的最大频繁项集。 由图3可以看出,8月6日的流量排名与历史平均排名 [2】Agrawal R,Srikant R.Mining Sequential Patterns[C]/,'Proc.of the 1lth International Conference on Data Engineering.[S.1.]:1EEE Computer Society Press,1995. [3]Zhao Qiankun,Bhowmick S S.Sequential Pattern Mining:A Survey[R].Singapore:Nanyang Technological University,Techni— cal Report:2003118,2003. [4]瑞星.2006年8月7日“橙色八月”病毒疫情报告[EB/OL]. r2006—08—07).h ̄p:Hk.rising.com.crdChannels/Info/Virus/2006—08— 07/1154934796d36918.shtm1. 几乎相反,从中可以看出8月上旬的流量异常。然而,8月 13日的流量与历史平均排名极为相似,从中并不能反映出8 月13日的流量异常性,它不能从细节上反映出流量的异常。 所以,序贯频繁模式挖掘比起以上2种方法更能反映出流量 的异常。 …………………………………[5】网易科技.瑞星黄色安全警报[EB/OL].(2006—08—15).http://tech. 163.com/06/0815/10/2OIDQJ9400091KUI.htm1. ……………………………… (上接第156页) 能。从实验结果看,本系统在保持误报率低3%的情况下,入 侵检测率最高可以达到92%以上。 将本文的系统与前述的一些系统进行比较,详见表3。 表3不同系统的检测率和误报率比较表 时,使检测率得到一定提高。 参考文献 [1]Dickerson J E,Jusitn J,Koulousoula O,et a1.Fuzzy Intrusion Detection[C]/,'Proc.of IFSA World Congress and the 20th NAFIPS International Conference.Vancouvec British Columbia,Canada: [s.n.],2001. [2]Krishnapuram R,Joshi A,Nasraoui A,et a1.Low—complexity Fuzzy Relational C ̄stering Algorithms for Web Mining[J].IEEE 从表3中可见,本文的系统与FCMdd,NFIDS相比,检 Transactions on Fuzzy Systems,2001,9(4):595—607. 测率较高而误报率却很低,这表明本文的系统有较好的实用 性。训练后的模糊神经网络并不能完全正确识别所有的测试 数据,这说明训练集是不全面的,没有包括所有可能的输入 数据的类型,导致网络对攻击行为识别不清楚;训练不够充 分也是导致识别能力不足的一个关键因素。但训练集是不可 能完备的,因为攻击行为总是不断变化的,所以错误报警也 是不可避免的。 ‘ [3]Anderson E,Bai Z,Bischof C,et a1.LAPACK User’s Guide[M]. Philadelphia,PA,USA:SIAM Press,1999. [4]sira1 A,Vaughn R B,Bridges M.Intrusion Sensor Data Fusion in an Intelligent Intrusion Detection System Architeeture[C]//Proceedings of the 37th Annual Hawaii International Conference on System Sciences.Big Islnd,Hawaiai,USA:[s.n.】,2004. [5]肖道举,毛[6]丛辉,陈晓苏.BP神经网络在入侵检测中的应用[JJ. 华中科技大学学报:自然科学版,2003,31(5):6-8. 爽.面向MATAB工具箱的神经网络理论与应用[M].合肥: 中国科学技术大学出版社,1998. [7]赵振宇,徐用懋.模糊理论和神经网络的基础与应用[M].北京: 清华大学出版社,1996. 4结束语 基于模糊SOFM网络能更准确地提取检测数据的统计特 征,对入侵检测的某些边缘检测率有所提高,这说明对SOFM 进行模糊化改进是有实际作用的。实验表明,本文提出的基 于模糊神经网络的入侵检测方法在未知入侵检测方面是可行 且有效的,具有良好的可扩展性,能在有效降低误检率的同 [8]唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业 出版社,2002. 一】59一