《一种基于ICA和模糊粗糙集的入侵检测方法.doc》由会员分享,可在线阅读,更多相关《一种基于ICA和模糊粗糙集的入侵检测方法.doc(7页珍藏版)》请在三一文库上搜索。
1、一种基于和模糊粗糙集的入侵检测方法0引言 入侵检测系统从网络上获取的数据往往具有高维的特点,但入侵行为信息往往只集中于部分属性中。例如DoS和Probe攻击主要与数据流量属性有关;U2R和R2L攻击主要与内容属性相关。因此在获取的网络数据中存在冗余的属性信息,这些冗余信息一方面会影响数据分类的正确性,另一方面会增加训练和检测的运算量。另外,在对网络数据进行检测的过程中所涉及的概念和知识大多数都是模糊的,这将不利于检测规则的生成,且会影响系统的检测率。 为了解决上述问题,本文提出了一种基于独立分量分析(ICA)和模糊粗糙集的入侵检测方法。该方法在对网络数据进行检测前,首先使用ICA算法对采集到的
2、网络数据进行特征提取,以消除冗余属性,降低数据维数;然后再使用基于模糊粗糙集的IDS分类器对数据进行分类,以确定是否发生入侵。实验结果表明,本文提出的入侵检测方法能够有效地消除网络数据中的冗余属性信息,减少了分类器的训练和检测的运算量;同时也解决了模糊概念和模糊知识所带来的问题,取得了比较理想的检测率。 1独立分量分析 独立分量分析(ICA)是近年来由盲源分离技术发展起来的多信号盲源分离方法。ICA是一种用于数据特征提取的线性变换技术。设N个观测变量为xi(i=1,2,N),每个观测变量可以表示为M个独立分量sj=(j=1,2,M)的线性组合。记X=(x1,x2,xN)T,S=(s1,s2,s
3、M)T,则X=AS。其中:A=(aij)NM为未知混合矩阵。ICA方法就是在混合矩阵A和独立分量S未知的情况下,根据观测数据X确定分离矩阵W=w1,w2,wM,使得变换后的输出S=A+X=WX是对S的最优估计。其中A+是A的广义逆。在实际应用中,通常采用负熵作为判断向量相互独立的准则1。 目前,提出的ICA算法比较多,如神经网络算法、FASTICA算法等。其中FASTICA算法速度比较快2,因此本文对网络数据进行特征提取时采用FASTICA算法。 2基于模糊粗糙集的规则学习算法 21连续属性模糊化 在入侵检测中,IDS系统收集到的信息中存在大量的连续属性,但粗糙集理论只能处理离散数据,因此,在
4、对数据进行分析前要对连续属性进行模糊化处理,将连续属性转换成离散属性。 对连续属性进行模糊化的关键是确定隶属度函数。常用的隶属度函数有三角隶属度函数、函数等。假设有一连续属性a,则a的值域可以表示为V=Va(u)|aA,uU。根据值域的大小和属性的分布可以将a模糊化为k个语义变量Yi(i=1,2,k)。每个语义变量Yi具有图1所示的三角隶属度函数3。其中:(x)为隶属度;x为属性值。为保证模糊划分的完备性,两个相邻隶属度函数相交处的函数值为0.5;另外,k个模糊划分中心mi由Kohonen网络自组织映射算法3确定。 22模糊粗糙集模型 传统的Pawlak粗糙集模型是基于不可分辨关系的,它是一种
5、等价关系,满足自反性、对称性和传递性。模糊粗糙集(fuzzy rough sets,FRS)模型4是对Pawlak粗糙集模型的推广,它放松了集合关系中的约束条件,去除了不可分辨关系的传递性,将等价关系推广为模糊相似关系。 定义3设U、V是两个论域,若R是UV上的一个模糊集,则称R是从U到V的一个模糊关系;当U=V时,称R是U上的一个模糊关系。 定义4如果模糊关系R满足如下条件: a)自反性,即uR,有R(u,u)=1; b)对称性,即u,vU,有R(u,v)=R(v,u)。 则称模糊关系R为U上的模糊相似关系。 24基于模糊粗糙集的规则学习算法 根据上面的模糊粗糙模型,可以提出一种模糊粗糙集规
6、则学习算法。算法的步骤如下: a)使用Kohonen网络自组织映射算法确定k个模糊划分的中心mi,并用前面所提到的三角隶属度函数对连续属性进行模糊化; b)对每个属性用定义6中的方法计算其相似矩阵; c)在求出的每个相似矩阵中引入置信水平,根据定义7求出各属性的普通相似矩阵; d)根据编网法原理得到每个属性aiA在置信水平i下对论域U的划分U/IND(Raii),进而可以计算出属性集A对整个论域的划分U/IND(RA); e)根据算法1对决策表的属性进行约简; f)求条件属性相对于决策属性的属性核,删除冗余属性,得到条件属性的最小简化,并删除重复对象; g)对每个实例求其属性值的值核,并删除多
7、余的属性值,得到其最小属性值简化; h)删除决策表中重复的实例,归纳出决策规则。 3基于ICA和FRS的入侵检测模型 根据上述理论和算法,本文提出了一种基于ICA和模糊粗糙集的入侵检测系统模型,如图2所示。模型由数据采集单元、预处理单元、ICA特征提取单元、模糊粗糙集(FRS)分类器和响应单元五部分组成。数据采集单元从网络中收集检测数据;预处理单元对采集到的数据进行规范化处理,以便后续分析使用;ICA特征提取单元使用FASTICA算法对网络数据进行特征提取,以消除数据中的冗余属性;FRS分类器对数据进行分类,判断行为是否为异常行为,并将结果送给响应单元,以及时通知用户采取措施。 4实验与分析
8、41实验数据 为了验证本文所提出的入侵检测模型在入侵检测中的效果,本文利用KDD99数据集6对其进行了测试。该数据集是1998年由麻省理工学院林肯实验室为入侵检测模型评估而建立的测试数据集。该数据集中的每条数据记录均包含41个属性值。这些属性值可分为四部分,即连接的基本属性、连接的内容属性和基于时间的流量属性、基于主机的流量属性。实验数据由训练数据集和测试数据集两部分组成。实验中训练数据集包含31 560条记录,测试数据集包含22 320条记录。数据类型的分布如表1所示。 们定义如下: 检测率(DR)=检测到的入侵样本数/入侵样本总数 误报率(FPR)=被误认为入侵的正常样本数/正常样本总数
9、在实验过程中,先使用训练数据集对系统进行训练,以建立起一个入侵检测规则库;训练完成后,使用测试数据集对系统进行测试。实验数据如表2所示。从实验数据可以看出,本文所提出的基于ICA和模糊粗糙集的入侵检测方法有比较高的检测率和低误报率,对DoS攻击和Probe攻击的检测率很高,但对R2L攻击和U2R攻击的检测率相对不够理想,这是由于这两种攻击一般是伪装成合法用户的身份进行攻击,这样就使其特征与正常数据包比较类似,造成了算法检测的困难。但本文所提出的方法对这两种攻击的检测率较文献7,8有了较大幅度的提高。原因是本文在构造入侵检测分类器时引入了模糊粗糙集模型,建立检测规则时为每个属性都引入了一个置信水
10、平,使得每条规则中属性的重要程度都各不相同,因此可以更好地将正常行为和异常行为区分开来。 为了验证ICA特征提取环节对系统性能的影响,在使用训练数据集对系统进行训练时,分别测试了使用和不使用ICA特征提取环节系统的训练时间。其中:训练时间1是使用该环节的训练时间;训练时间2是不使用该环节的训练时间。实验数据如表3所示。 5结束语 本文将模糊粗糙集理论引入到了入侵检测分类器的构造中,解决了在入侵检测中模糊概念和模糊知识对检测规则的生成所带来的问题;同时,在入侵检测系统模型中引入了ICA特征提取环节,在对网络数据分类前,先使用FASTICA算法对数据进行特征提取,消除了数据中的冗余属性,大大减少了分类器的训练和检测的运算量。实验证明,本文所提出的入侵检测方法是一种高效低负荷的检测方法。