基于聚类Ad+Hoc网络入侵检测研究.pdfVIP

基于聚类的AdHoe网络入侵检测研究 李 菲1 吴 蒙2 1南京邮电大学通信与信息工程学院，南京，210003 2南京邮电大学海外教育学院，南京，210003 摘要 由于移动AdHOC网络的独特特性以及安全方面的不足，为其提供高 质量的入侵检测系统势在篮行。在入侵检测系统中，审计数据的准确性、及时 性、可靠性是保证其高效的前提。本文在聚类算法的基础上引入了人工免疫原 理的相关思想，提出了相应的入侵检测方法，最后通过仿真表明该方法可以有效 提高AdHoe网络的入侵检测性能。 Hoc网络入侵检测 关键词Ad 聚类算法免疫原理 Ad Hoe网络是IEEE802．11提出的一种不具备集中访问点的无线网。AdHoe网 络采用的无线信道、有限电源、分布式控制等技术，与有线网相比，它更容易受到各种形式 的网络攻击。传统网络中的许多安全策略和机制如入侵检测等将不再适用，而必须特别 考虑。 detection 作为网络安全的重要手段，入侵检测系统(IDS，intrusion system)也越来越 被人们所重视，但目前的IDS仍存在一些局限。首先是分布性差，由于中央数据分析器 是唯一的错误分析处，因此存在单点失效。其次鲁棒性差，IDS的组件一般都是唯一的， 当某种组件遭到破坏时，将直接影响IDS的功能。最后适应性差，大多数已有的IDS采 用的技术是将已知入侵的特征抽取成人侵模式，检测时进行模式匹配，对于新的入侵行为 将无法检测。 Hoc网络入侵检测系统，必须先解决以下问题： 因此，要开发一个可行的移动Ad 1)怎样的系统结构能够与移动AdHoc网络相适应并具有良好的可扩展性。 2)怎样的检测模型能有效的区分正常行为和因袭击而导致的异常行为。 3)什么是最好的检测数据源，它能够依据局部的检测信息完成入侵检测。 4)怎样的检测机制和告警方案能够最好的适应AdHoe网络，在较低的开销下实现 较高的检测率。 人们在研究入侵检测系统的过程中发觉入侵检测系统与人类免疫系统的工作原理极 为相似。前者保护机体不受如病毒、病菌等各种病原体的侵害，而后者保护网络中的计算 机主机不受或少受人侵事件的危害或威胁，两者都是受保护对象在不断变化的环境中维 持系统的稳定性。 本文在分析人工免疫原理基础上，提出了AdHoe网络的基于聚类的人工免疫入侵 检测模型。它具有可扩展性、对输入数据集的顺序不敏感等特性，有处理不同类型数据的 能力和处理噪声数据的能力，进而提高了网络入侵检测的检测率和误检率。 入侵检测技术主要分为异常检测和误用检测两类。异常检测技术包括有监督的异常 检测和无监督的异常检测。有监督的异常检测技术根据网络的正常数据建立数据模型， ·345· 然后根据模型从审计数据中检测出发生偏离的异常数据。无监督的异常检测是在未标记 的数据上训练并检测入侵，优点在于不需要对数据样本进行严格的标类，并且能有效地检 测出未知入侵。基于聚类方法的异常检测是一种无监督的异常检测技术，它建立在两个 假设之上：第一个假设是正常行为的数据远远大于入侵行为的数目，第二个假设是人侵行 为和正常行为差异非常大。聚类算法是一种无指导的学习，它不像分类算法那样需要事 先标记好的训练数据。传统的聚类算法如K—Means算法，它的输入是聚类个数，以及包 含若干数据对象的数据库。它的输出是满足平方差最小标准的若干个聚类。K—Means 方法使得各聚类内部尽可能紧凑，各聚类间尽可能分开，但是初始值的选取很重要，容易 陷入局部最优。 本文提出的基于聚类的无监督的异常检测算法是一种处理不带标识的含异常数据样 本的网络入侵检测方法。由于数据属性值之间的差别可能很大，而且不同的属性之间的 度量标准可能不同，所以在运用