最小差异度聚类在异常入侵检测中应用.docVIP

最小差异度聚类在异常入侵检测中应用 　　摘要：重点研究了异常入侵检测系统模型。针对现有模型中存在的对训练数据要求高、误报率高等问题，提出了一种基于最小差异度聚类的入侵检测方法。该方法将区间标量、序数变量、二元变量标称变量类型的属性映射到区间[0,1]上，计算每个数据对象之间以及与各个簇的差异度，很好地解决了异常入侵。在检测已知入侵方面，模型也有不俗表现。 　　关键词：网络安全； 入侵检测； 聚类分析； 差异度 　　中图分类号：TP393.08文献标志码：A 　　文章编号：1001-3695(2007)12-0193-03 　　 　　随着计算机和网络技术应用的普及和发展，计算机系统安全越来越受到人们的重视。安全计算机系统是基于计算机机密性、完整性和可用性的实现[1]。传统计算机系统的安全是通过设计一定的安全策略，即通过身份认证、访问控制和审计等技术来保护计算机系统免遭入侵[2]。但是越来越多的攻击者利用各种漏洞实施攻击，通过监控特权进程的系统调用进行攻击，如系统服务、setuid程序等[3]。这些应用程序由于具有特殊权限，可以访问特殊资源，攻击者利用它们可以实现其破坏或控制系统的目标。 　　针对网络中的各种安全威胁，产生了许多关于网络安全的技术。主要有以下几类：主机安全技术、身份认证技术、访问控制技术、加密技术、防火墙技术、安全审计技术、安全管理技术和入侵检测技术等。入侵检测是一种比较新兴的网络安全技术。它是一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。正因为如此，入侵检测可以为网络提供立体纵深、多层次的安全防御，可以实现防患于未然。 　　入侵检测系统主要是采用误用检测技术，如模式匹配、协议分析、状态转换分析。这些方法均只能准确地检测已知的入侵行为，并不能检测未知的入侵行为，具有局限性，所以在入侵检测中引入聚类分析。聚类分析[4]是将一组数据对象通过计算它们属性之间的综合差别，将差别较小的对象放在一个簇中。如果网络中的入侵行为与合法行为存在一定的差异，那么采用聚类的方法就可以将网络中的入侵行??聚集为一簇，从而发现入侵行为。 　　 　　1异常入侵检测系统模型 　　 　　1．1入侵检测 　　ID就是对入侵行为的发现[4]。入侵检测是基于两个基本假设，即用户和程序的行为是可见的；正常行为与入侵行为是可区分的。它通过收集并分析计算机网络或计算机系统中的若干关键点信息，从中发现网络或系统中是否有违反安全策略的行为和被攻击过的迹象。因此入侵检测具有事前预警和事后发觉的功能。这种技术可以大大提高了网络系统的安全。 　　如图1所示，入侵检测主要包括数据采集、数据分析和响应三个部分。 　　1．2异常入侵检测系统模型 　　异常入侵检测技术识别主机或网络中异常的或不寻常行为。它假设攻击与正常的活动有很大的差别。异常检测首先收集一段时间操作活动的历史数据；再建立代表主机、用户或网络连接的正常行为描述；然后收集事件数据并使用一些不同的方法来决定所检测到的事件是否偏离了正常行为模式，从而判断是否发生了入侵行为。 　　异常入侵检测是通过已知来推导未知的技术。目前常用的方法主要是概率统计、神经网络、数据挖掘中的分类和聚类方法以及人工免疫等。 　　1．2．1网络连接记录的数据结构 　　通过分析会发现黑客在重新控制目标主机之前，均要与目标主机建立连接。对此，本文提出通过对网络的连接记录进行监测建立入侵检测系统。其目的是为了发现网络中异常的连接记录。笔者选择用于表示网络连接记录的结构如表1?┧?示。 　　 　　1．2．2数据采集模块设计 　　对入侵检测系统来说[5]，数据采集是系统正常工作的基础。对于网络入侵检测系统，网络数据截获模块就是实现网络入侵检测系统高效工作的基础。在设计整个入侵检测系统时，必须要有一种好的数据包捕获机制来保证网络数据截获模块工作稳定可靠，防止漏包，为整个入侵检测模块稳定可靠地提供数据，如图2所示。 　　1．2．3系统总体设计 　　遵循入侵检测系统的标准流程，即数据收集、数据分析、结果处理的流程对网络数据包进行分析处理。笔者提出基于数据挖掘的异常模式入侵检测系统。检测系统（图3）主要由以下四个部分组成，即数据采集、数据分析、结果处理和用户界面。 　　 　　2最小差异度的聚类算法 　　 　　2．1差异度相关定义 　　很多聚类算法只考虑元素与类之间的距离，而没有考虑类大小产生的影响。通过区间标量[6]、序数变量和二元变量标称变量类型的属性映射到区间[0,1]上，然后再对所有属性计算差异度并按最小差异度进行聚类，这就使得所有属性的差异度在概念上是一致的[7]。 　　 　　从表2中可以看出，基于最小差异度聚类的入侵检测方