基于孤立点检测的自适应入侵检测技术研究

王小芬+张海娜

摘 要：在对网络进行传统入侵检测时，主要就是从那些已知的攻击数据中对攻击数据的规则和特征模式进行提取，提取之后再根据这些规则和特征模式进行相应的匹配。因为采用这种入侵检测技术是在已知的攻击数据基础上提出规则和特征模式的，所以在面对比较新的不断持续变化的攻击时，这种入侵检测技术就不能够发挥出最基本的作用。面对这样的情况，在研究入侵检测技术时，重点就是基于数据挖掘的入侵检测技术，文章主要研究的就是基于孤立点检测的自适应入侵检测技术。

关键词：数据挖掘；孤立点检测；自适应；入侵检测技术

中图分类号：TP309 文献标识码：A 文章编号：1006-8937（2014）14-0004-02

在网络动态的安全技术当中，网络入侵检测技术是其中的一项核心技术，入侵检测技术主要就是收集计算机网络系统当中很多关键点的相关信息，然后对这些信息进行分析和研究，主要目的是对网络进行监测，同时也不会影响到网络正常使用的性能，最终对网络进行实时和有效的保护。现在的入侵检测技术主要是基于特征的误用检测以及基于异常的检测这样两中。基于异常的检测主要就是通过检测系统的异常行为从而来发现那些不了解的攻击。从目前的情况来说基于异常的检测还存在很多需要去解决的问题，但是如果能够把准确率以及性能这些主要的问题解决了，那么基于异常的检测肯定能够在入侵检测系统当中发挥更加重要的作用。正是因为这样才需要仔细的研究基于异常的入侵检测技术。因为入侵检测系统在实际的工作当中整个环境是在不断的发生着变化，那么在建立入侵检测模式就应该要让它们能够很好的去自动适应这些变化的环境，这样性能才能够保持的比较好。

1 对系统基本原理的分析

基于误用的入侵检测技术在实际的检测过程当中只能够对那些已知的攻击进行检测，对于那些已知攻击的变异和未知的攻击就不能够有效的检测出来。为了能够有效的解决这个问题现在主要采用的办法就是在入侵检测过程当中充分的利用数据挖掘的分析方法，然后建立起一种基于数据挖掘的入侵检测模式。在解决这些问题的时候采用数据挖掘技术的话能够有很多种的方法，比如序列分析、聚类分析、关联分析、孤立点分析、挖掘粗糙集以及分类等。在数据挖掘当中分类算法现在的应用比较成熟，但是在面对不断变化的动态环境时这种算法却不能够很好的适应，而挖掘粗糙集的算法则比较的复杂，所以如果应用到入侵检测技术当中的话也将会受到很多的限制。所以本文主要就是采用了关联分析、孤立点分析以及异常检测技术来构建起了自适应的入侵检测模式。

1.1 在异常检测当中对孤立点挖掘技术的充分利用

异常检测其实就是基于行为的一种入侵检测技术，在建立轮廓模型的时候主要就是根据网络、用户、系统以及程序的正常行为来完成的，对于那些和正常行为偏差比较大的行为都可以看成是异常行为。在进行异常检测的时候，需要在网络、用户以及系统正常使用一定的时间之后收集相关的信息，那么在建立正常行为模式的时候就可以根据收集到的这些相关信息来完成。在实际的检测过程当中，可以根据某些度量来对这些信息的偏差程度进行计算。首先对于异常检测当中孤立点挖掘算法的分析。在数据挖掘技术当中孤立点的挖掘算法是非常重要的一个发展方向，它主要就是从很多比较复杂的数据当中，去挖掘出藏匿在小部分异常数据当中和一般正常数据模式不一样的那些数据模式。在对孤立点进行实际描述的时候可以这样来进行：首先需要给定一个集合，这个集合当中包含了很多的数据或者对象，同时对于预计孤立点的数量也应该要确定，这样就能够很好的发现和剩下的一些数据相比较有明显区别的数据个数。孤立点挖掘计算其实可以看成是两个问题：第一个问题是在给定的这个数据集合当中对什么样的数据可以看成是不一样的进行定义；第二个就是要找出一种比较合理和有效的方法来对这些孤立点进行挖掘。其次就是对基于入侵检测的孤立点算法的分析。在入侵检测技术当中，进行孤立点挖掘算法的时候就需要保证计算的准确性以及时效性，而孤立点挖掘算法的复杂度可以看成是O（n2），如果在实际的入侵检测技术当中直接采用这种复杂度的话，那么肯定会对入侵检测技术的时效性产生非常严重的影响，那么这样就只能够改进上面讲到的这种孤立点挖掘算法的时效性。而且在网络当中数据是在一直不断变化的，所以在本文的研究当中采用的孤立点挖掘算法主要是基于定长动态滑动窗口，那么在实际的计算过程当中，可以假设窗口的长度是保持不变的为w个数据包，滑动长度的单位则可以假设为i个数据包，那么当新的i个数据包到达的时候，窗口就会相应的向前移动一个单位长度的距离，如果对R矩阵当中的第1列到第i列进行更新的话，同时其他的相关数据不变，那么就能够得到孤立点挖掘算法的复杂度就为O（n）。

1.2 对自适应入侵检测系统的基本原理分析

最开始的入侵检测技术在实际的检测过程当中需要先对已知的训练集进行训练，在经过一定的训练之后就能够得到一个静态的检测模型，在对新的数据进行入侵判断的时候主要就是通过这个静态的检测模型来完成的。因为网络环境相对比较复杂和多变，所以这种静态的检测模型就不能够很好的去适应这样的网络环境。面对这样的情况就需要建立起自适应的入侵检测技术，这样当网络环境在不断变化的时候，入侵检测模型也能够根据这些变化去自己学习和适应，最终来对那些未知的入侵行为进行识别。

在采用前面讲述到的孤立点挖掘算法找出了网络环境当中的异常孤立点之后，如果马上就对这些异常的孤立点进行关联分析的话，那么在设置关联分析算法当中的阈值就会比较的困难，同时采用关联分析最后得到的结构对于网络当中的异常数据包检测的作用也不能够有效的发挥出来，出现这些问题的主要原因就是因为在网络当中的攻击形式非常的多。所以在找出网络环境当中的异常孤立点之后，就需要对这些孤立点按照攻击类型的不同进行聚类，在进行关联分析的时候则需要根据聚类之后的每一类来完成，这样就能够有效的挖掘出攻击网络异常数据包当中各种不同的潜在入侵模式，然后就可以得到相应的关联规则集，在通过一定的转换之后，就能够把这些关联规则集转变成为入侵检测系统具体的规则语法，然后添加到相应的规则库当中，入侵检测系统当中的检测引擎就能够直接使用这些规则语法，最终就能够有效的达到只适应的目的。endprint

2 实验及结果分析

2.1 在异常检测当中采用孤立点数据挖掘算法的相关实

验分析

在进行这个实验的时候主要采用的就是KDD99的UCI数据集来对孤立点挖掘算法的有效性进行验证。在KDD99的UCI数据集当中每一项记录都是通过41个连续或者是离散的属性来进行描述的，比如协议的类型、持续的时间等，同时对于它所属的哪种类型也有具体的标注，入侵的攻击类型主要就包括了Probe、R2L、U2R以及DoS。为了能够有效的对孤立点挖掘算法对不同攻击类型的检测效果进行分析，那么在具体的实验过程当中需要从KDD99的UCI数据集中选择5组数据来作为实验的样本，其中4组分别就是4种不同攻击类别的单个攻击实验，而最后一组则是混合了4种攻击类型的实验，在每一组实验样本当中有5 000个入侵记录和10 000个正常记录。在KDD99的UCI数据集中并不是每一个数据属性对实验都有比较大的帮助，在经过了相关的专家和学者分析之后可以发现，其中只有13中属性对实验比较的重要，在这些属性当中包括了数值型和符号型。在实际的实验过程当中，可以根据实际情况对阈值参数分别设为6、8、9、10，和11，窗口的滑动单位长度为10，窗口的宽度为1 000，具体的实验结果见表1。

从表中能够比较清楚的发现，对于Probe、DoS这两种入侵攻击类型来说，孤立点挖掘算法都取得了比较好的检测结果，但是对R2L、U2R来说检测的效果却不是很好，这其实和现实基本是一样的。R2L、U2R攻击在实际的入侵攻击当中种类比较的多，而且很多U2R在攻击的过程当中都是伪装成合法的用户进行攻击，这样就造成了U2R的数据包和正常的数据包比较相似，那么在进行算法检测的时候就会有一定的难度。虽然对R2L、U2R的检测率不高，但是如果和其他的检测方法进行比较的话，就能够发现这种检测方法的优点。

2.2 对自适应的入侵检测系统进行相关的实验分析

在对自适应的入侵检测系统进行相关的实验我们主要采用了IDS Snort来作为相关的实验平台，而在实际的测试过程当中则主要是通过IDS Snort的模拟攻击工具来完成的。IDS Snort其实就是一个比较常用的基于误用检测的入侵检测系统，这种入侵检测系统具有比较好的扩展性以及开源轻量级，在进行实验之前，需要把关联分析模块以及孤立点挖掘模块当成是智能检测的模块通过插件的方式嵌入到IDS Snort平台当中，这样IDS Snort平台就能够对那些未知的工具进行检测。在试验的过程当中需要对日志记录通过特征提取器来进行分析，在新的系统当中能够产生关联的规则，这样就能够很好的证明这种系统能够对未知攻击和已知变种的攻击进行检测。

3 结 语

基于孤立点检测的自适应的算法在入侵检测技术当中的应用具有很多的优点，它能够有效的检测出那些未知的攻击以及已知变种的攻击，能够更好的对网络进行实时的保护。经过相关的实验之后可以发现，基于孤立点检测的自适应入侵检测技术所检测出的数据报告非常的准确，这样入侵检测服务的质量也能够得到很大程度的提高。

参考文献：

[1] 李珺.基于孤立点挖掘的入侵检测技术在网络安全中的应用[J].信息安全与技术，2012，（7）.

[2] 景波，刘莹，黄兵.基于孤立点检测的工作流研究[J].计算机工程，2008，（22）.

[3] 黄斌，史亮，姜青山，等.基于孤立点挖掘的入侵检测技术[J].计算机工程，2008，（3）.

[4] 孟浩.孤立点挖掘技术在入侵检测中的应用研究[D].大连：大连海事大学，2007.

[5] 吴楠楠.孤立点挖掘技术在异常检测中的应用研究[D].厦门：厦门大学，2007.

[6] 杨程程，黄斌.一种基于孤立点挖掘的入侵检测技术[J].现代电子技术，2010，（11）.

[7] 刘积芬.网络入侵检测关键技术研究[D].上海：东华大学，2013.endprint

2 实验及结果分析

2.1 在异常检测当中采用孤立点数据挖掘算法的相关实

验分析

在进行这个实验的时候主要采用的就是KDD99的UCI数据集来对孤立点挖掘算法的有效性进行验证。在KDD99的UCI数据集当中每一项记录都是通过41个连续或者是离散的属性来进行描述的，比如协议的类型、持续的时间等，同时对于它所属的哪种类型也有具体的标注，入侵的攻击类型主要就包括了Probe、R2L、U2R以及DoS。为了能够有效的对孤立点挖掘算法对不同攻击类型的检测效果进行分析，那么在具体的实验过程当中需要从KDD99的UCI数据集中选择5组数据来作为实验的样本，其中4组分别就是4种不同攻击类别的单个攻击实验，而最后一组则是混合了4种攻击类型的实验，在每一组实验样本当中有5 000个入侵记录和10 000个正常记录。在KDD99的UCI数据集中并不是每一个数据属性对实验都有比较大的帮助，在经过了相关的专家和学者分析之后可以发现，其中只有13中属性对实验比较的重要，在这些属性当中包括了数值型和符号型。在实际的实验过程当中，可以根据实际情况对阈值参数分别设为6、8、9、10，和11，窗口的滑动单位长度为10，窗口的宽度为1 000，具体的实验结果见表1。

从表中能够比较清楚的发现，对于Probe、DoS这两种入侵攻击类型来说，孤立点挖掘算法都取得了比较好的检测结果，但是对R2L、U2R来说检测的效果却不是很好，这其实和现实基本是一样的。R2L、U2R攻击在实际的入侵攻击当中种类比较的多，而且很多U2R在攻击的过程当中都是伪装成合法的用户进行攻击，这样就造成了U2R的数据包和正常的数据包比较相似，那么在进行算法检测的时候就会有一定的难度。虽然对R2L、U2R的检测率不高，但是如果和其他的检测方法进行比较的话，就能够发现这种检测方法的优点。

2.2 对自适应的入侵检测系统进行相关的实验分析

在对自适应的入侵检测系统进行相关的实验我们主要采用了IDS Snort来作为相关的实验平台，而在实际的测试过程当中则主要是通过IDS Snort的模拟攻击工具来完成的。IDS Snort其实就是一个比较常用的基于误用检测的入侵检测系统，这种入侵检测系统具有比较好的扩展性以及开源轻量级，在进行实验之前，需要把关联分析模块以及孤立点挖掘模块当成是智能检测的模块通过插件的方式嵌入到IDS Snort平台当中，这样IDS Snort平台就能够对那些未知的工具进行检测。在试验的过程当中需要对日志记录通过特征提取器来进行分析，在新的系统当中能够产生关联的规则，这样就能够很好的证明这种系统能够对未知攻击和已知变种的攻击进行检测。

3 结 语

基于孤立点检测的自适应的算法在入侵检测技术当中的应用具有很多的优点，它能够有效的检测出那些未知的攻击以及已知变种的攻击，能够更好的对网络进行实时的保护。经过相关的实验之后可以发现，基于孤立点检测的自适应入侵检测技术所检测出的数据报告非常的准确，这样入侵检测服务的质量也能够得到很大程度的提高。

参考文献：

[1] 李珺.基于孤立点挖掘的入侵检测技术在网络安全中的应用[J].信息安全与技术，2012，（7）.

[2] 景波，刘莹，黄兵.基于孤立点检测的工作流研究[J].计算机工程，2008，（22）.

[3] 黄斌，史亮，姜青山，等.基于孤立点挖掘的入侵检测技术[J].计算机工程，2008，（3）.

[4] 孟浩.孤立点挖掘技术在入侵检测中的应用研究[D].大连：大连海事大学，2007.

[5] 吴楠楠.孤立点挖掘技术在异常检测中的应用研究[D].厦门：厦门大学，2007.

[6] 杨程程，黄斌.一种基于孤立点挖掘的入侵检测技术[J].现代电子技术，2010，（11）.

[7] 刘积芬.网络入侵检测关键技术研究[D].上海：东华大学，2013.endprint

2 实验及结果分析

2.1 在异常检测当中采用孤立点数据挖掘算法的相关实

验分析

在进行这个实验的时候主要采用的就是KDD99的UCI数据集来对孤立点挖掘算法的有效性进行验证。在KDD99的UCI数据集当中每一项记录都是通过41个连续或者是离散的属性来进行描述的，比如协议的类型、持续的时间等，同时对于它所属的哪种类型也有具体的标注，入侵的攻击类型主要就包括了Probe、R2L、U2R以及DoS。为了能够有效的对孤立点挖掘算法对不同攻击类型的检测效果进行分析，那么在具体的实验过程当中需要从KDD99的UCI数据集中选择5组数据来作为实验的样本，其中4组分别就是4种不同攻击类别的单个攻击实验，而最后一组则是混合了4种攻击类型的实验，在每一组实验样本当中有5 000个入侵记录和10 000个正常记录。在KDD99的UCI数据集中并不是每一个数据属性对实验都有比较大的帮助，在经过了相关的专家和学者分析之后可以发现，其中只有13中属性对实验比较的重要，在这些属性当中包括了数值型和符号型。在实际的实验过程当中，可以根据实际情况对阈值参数分别设为6、8、9、10，和11，窗口的滑动单位长度为10，窗口的宽度为1 000，具体的实验结果见表1。

从表中能够比较清楚的发现，对于Probe、DoS这两种入侵攻击类型来说，孤立点挖掘算法都取得了比较好的检测结果，但是对R2L、U2R来说检测的效果却不是很好，这其实和现实基本是一样的。R2L、U2R攻击在实际的入侵攻击当中种类比较的多，而且很多U2R在攻击的过程当中都是伪装成合法的用户进行攻击，这样就造成了U2R的数据包和正常的数据包比较相似，那么在进行算法检测的时候就会有一定的难度。虽然对R2L、U2R的检测率不高，但是如果和其他的检测方法进行比较的话，就能够发现这种检测方法的优点。

2.2 对自适应的入侵检测系统进行相关的实验分析

在对自适应的入侵检测系统进行相关的实验我们主要采用了IDS Snort来作为相关的实验平台，而在实际的测试过程当中则主要是通过IDS Snort的模拟攻击工具来完成的。IDS Snort其实就是一个比较常用的基于误用检测的入侵检测系统，这种入侵检测系统具有比较好的扩展性以及开源轻量级，在进行实验之前，需要把关联分析模块以及孤立点挖掘模块当成是智能检测的模块通过插件的方式嵌入到IDS Snort平台当中，这样IDS Snort平台就能够对那些未知的工具进行检测。在试验的过程当中需要对日志记录通过特征提取器来进行分析，在新的系统当中能够产生关联的规则，这样就能够很好的证明这种系统能够对未知攻击和已知变种的攻击进行检测。

3 结 语

基于孤立点检测的自适应的算法在入侵检测技术当中的应用具有很多的优点，它能够有效的检测出那些未知的攻击以及已知变种的攻击，能够更好的对网络进行实时的保护。经过相关的实验之后可以发现，基于孤立点检测的自适应入侵检测技术所检测出的数据报告非常的准确，这样入侵检测服务的质量也能够得到很大程度的提高。

参考文献：

[1] 李珺.基于孤立点挖掘的入侵检测技术在网络安全中的应用[J].信息安全与技术，2012，（7）.

[2] 景波，刘莹，黄兵.基于孤立点检测的工作流研究[J].计算机工程，2008，（22）.

[3] 黄斌，史亮，姜青山，等.基于孤立点挖掘的入侵检测技术[J].计算机工程，2008，（3）.

[4] 孟浩.孤立点挖掘技术在入侵检测中的应用研究[D].大连：大连海事大学，2007.

[5] 吴楠楠.孤立点挖掘技术在异常检测中的应用研究[D].厦门：厦门大学，2007.

[6] 杨程程，黄斌.一种基于孤立点挖掘的入侵检测技术[J].现代电子技术，2010，（11）.

[7] 刘积芬.网络入侵检测关键技术研究[D].上海：东华大学，2013.endprint