基于元学习的网络入侵协同检测框架.pdfVIP

第6卷第4期 淮阴师范学院学报(自然科学版) V01．6No．4 2007年1t月 HUAIYINTEACHERS SCIENCE NOV．200r7 JOURNAI．OF COLLEGE(NATURALEDmON) 基于元学习的网络入侵协同检测框架 田 明1’2，吴士军1，刘佳2 (1．盐城工学院电气与信息学院计算机工程系，江苏盐城224001； 2．南京航空航天大学信息学院计算机系，江苏南京210016) 摘要：提出了一种基于元学习的网络入侵协同检测框架．利用数据挖掘／分布式数据挖掘 技术提取检测到新型攻击行为的模式，并实时地加入攻击特征库；利用元学习方法进行协同 检测，并给了出一个改进的最佳检测模型的搜索算法，能够自动地调整分类算法的参数和系 统阈值． 关键词：网络入侵检测；分布式数据挖掘；模式提取；协同检测 中图分类号：TP393．08文献标识码：A 文章编号：1671．6876(2007)04—0339．06 0引言 入侵检测是一种不同于加密、身份认证、防火墙、VPN等人侵防范技术的主动型安全防范措施．现有 的各种入侵检测系统大都存在一定的缺陷：异常检测系统主要的问题是虚警率过高、不能给出攻击行为 的准确描述形式；滥用检测系统主要的弱点是不能检测未知类型的攻击、攻击行为的特征提取依赖于领 域知识．事实证明，任何一种单一的检测技术都不能解决全部的入侵检测问题． 研究检测算法的出发点和归宿都是提高分类器的分类精度，提高检测的准确率、减少虚警和漏警． 然而现有的智能型检测算法大都仍处于研究阶段，取得的成果有限．11个大型数据库上对比了24种分 类算法，结果表明K近邻法、多元统计分析等常规算法胜过了大多数所谓的机器学习算法【lo．一种很自 然的想法是：利用元学习进行协同检测，作为结果的元分类器综合了各种基本检测算法的检测能力．由 于在功能范围、协同检测方法上尚未达成统一认识，目前没有公认的网络协同检测体系结构．本文在基 于分布式数据挖掘的网络入侵检测系统机理研究的基础上，提出了一个基于元学习的网络协同检测框 架．其主要思想是：利用数据挖掘／分布式数据挖掘技术提取审计事件数据库的模式和子模式；每种子模 式对应一种或几种基本检测器；报警事件经确认或交叉认证后，作为元级训练集，用元学习方法得到协 同检测器和元知识．在我们开发的原型系统中采用关联规则分析、频繁事件分析等基本算法进行特征提 取，并采用基于平滑K．时间窗统计分析算法[2j，SVM．kNN算法[33等多个异常检测分类器和一个基于规 则的滥用检测器作为基本检测器，元学习算法则用于搜索多个基本检测器及相应的系统参数的最优组 合． 1基于元学习的网络入侵检测系统框架 1．1元学习 出一个全局的“分类器”问题M．元学习是指在全局范围内对经过局部机器学习所获知识的再次学习，也 就是说基于元知识基础上的再学习．元知识是指从信息中提取出来的知识单元．元学习的目标是对各个 独立的分散数据集应用相应的学习程序，各个程序并行执行，产生各自独立的分类器，再将这些基本分 收稿日期：2007—03—18 作者简介：田明(1969一)，男，江苏盐城人，讲师，硕士，研究方向为计算机应用及信息安全 万方数据 340 淮阴师范学院学报(自然科学版) 第6卷 类器(base 局预测的精确度．分布式数据挖掘充分利用元学习的并行性和分布性特点，能实现对分散数据集的知识 发现． 1．2基于分布式数据挖掘的入侵检测模型MICDA 早期的网络入侵检测系统，如NADIR等，大都是对基于主机的入侵检测系统的～种拓宽和改造，采 用分布收集事件、集中分析的方法．由于其“集中”的本质，应用范围有限，往往只限于某个局域网．大规 型)的方法，特别适用于一些采用分级管理的企业内部网，但在层次型结构的根节点仍存在负荷过重、单 点失效的问题，因此只适用于企业内部网络系统，不适用于更大范围的互联网络．另外一些入侵检测系 统，如CSM等，虽然事件收集、事件分析都是完全分布式的，但其协同检测机制不祥． BasedIntrusion De