朱磊，王飛，徐本連

（常熟理工學(xué)院電氣與自動(dòng)化工程學(xué)院，江蘇常熟 215500）

一種面向新型入侵的獲取和分類(lèi)方法

朱磊，王飛，徐本連

（常熟理工學(xué)院電氣與自動(dòng)化工程學(xué)院，江蘇常熟 215500）

針對(duì)網(wǎng)絡(luò)異常檢測(cè)方法對(duì)新型入侵提供信息不足的缺點(diǎn)，提出一種面向新型入侵的獲取和分類(lèi)方法.首先，通過(guò)異常檢測(cè)方法捕獲入侵，然后利用匹配過(guò)濾機(jī)制篩除已知入侵，最后將獲取的新型入侵作為聚類(lèi)模塊的輸入，通過(guò)聚類(lèi)及提出的類(lèi)別獲取算法對(duì)新型入侵做進(jìn)一步分類(lèi)匹配，從而獲得其類(lèi)別信息.最后，采用KDDCUP99數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)仿真，結(jié)果表明該檢測(cè)方法具有較好的檢測(cè)率和較低的誤報(bào)率，并且該方法對(duì)于識(shí)別并分類(lèi)新型入侵是有效的.

異常檢測(cè)；分類(lèi)映射；信息獲取

1 引言

計(jì)算機(jī)網(wǎng)絡(luò)的復(fù)雜性、可訪問(wèn)性和開(kāi)放性使得網(wǎng)絡(luò)信息安全成為全球關(guān)注的重要問(wèn)題.特別是隨著網(wǎng)絡(luò)的廣泛應(yīng)用，政府信息和軍事數(shù)據(jù)在網(wǎng)絡(luò)上的傳播對(duì)網(wǎng)絡(luò)安全提出了更高的要求.入侵檢測(cè)系統(tǒng)（intru?sion detection system，IDS）是網(wǎng)絡(luò)安全控制中最為核心的技術(shù)之一，是對(duì)傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)有力的補(bǔ)充.入侵檢測(cè)根據(jù)其采用的技術(shù)分為：誤用（Misuse）檢測(cè)和異常（Anomaly）檢測(cè)[1].由于新型攻擊的不斷增長(zhǎng)以及攻擊技術(shù)的不斷改進(jìn)使得異常檢測(cè)方法在入侵檢測(cè)技術(shù)中占據(jù)了越來(lái)越重要的位置，日益成為研究的重點(diǎn)[2-3].異常檢測(cè)方法在不斷地被研究和改進(jìn)的同時(shí)卻忽略掉了其另一個(gè)重要的不足：異常檢測(cè)雖然能檢測(cè)到新型的入侵，卻無(wú)法判斷檢測(cè)到的異常是否是新型入侵，因此更加不能對(duì)新型入侵給出更多有效的信息，如入侵所屬類(lèi)型等.這是因?yàn)楫惓z測(cè)的方法是一種通過(guò)確定“自我”來(lái)辨別“非我”的檢測(cè)手段，這種“非我”即是異常的檢測(cè)方法能夠檢測(cè)新型威脅，但不能判斷其是否為新型攻擊的方法也無(wú)法給出其攻擊類(lèi)型等有用信息.基于以上原因，為了既能夠檢測(cè)新型入侵又能夠獲得入侵的更多信息，以增強(qiáng)異常檢測(cè)系統(tǒng)的實(shí)用性和響應(yīng)性，本文提出了一種面向新型入侵的獲取和分類(lèi)方法.

本文提出的檢測(cè)方法目的是檢測(cè)并獲得新型入侵，進(jìn)一步再將新型入侵劃歸到入侵的基本類(lèi)型，從而獲得其基本類(lèi)型和行為目的等信息.目的是能夠檢測(cè)新型的安全威脅，檢測(cè)方法采用了異常檢測(cè)方法，由兩個(gè)功能模塊完成：異常檢測(cè)模塊和基于擴(kuò)展需要的新型入侵的獲取和分類(lèi)模塊.首先，異常檢測(cè)模塊對(duì)網(wǎng)絡(luò)連接進(jìn)行異常檢測(cè)，然后將檢測(cè)捕獲的異常作為后續(xù)模塊的輸入以獲取新型入侵及其基本類(lèi)型信息，進(jìn)一步對(duì)新型入侵進(jìn)行分類(lèi)和擴(kuò)展信息庫(kù)（更新），從而增強(qiáng)對(duì)新型入侵的檢控能力.

2 檢測(cè)模型

本文提出的檢測(cè)模型包括兩個(gè)功能模塊：異常檢測(cè)模塊和信息獲取模塊.異常檢測(cè)模塊包括數(shù)據(jù)預(yù)處理和二分類(lèi)兩個(gè)部分，信息獲取模塊包括入侵過(guò)濾和新型入侵類(lèi)別獲取兩個(gè)部分.其流程如圖1所示.

為了實(shí)現(xiàn)新型入侵的檢測(cè)和識(shí)別，首先要采用異常檢測(cè)方法實(shí)現(xiàn)對(duì)象的二分類(lèi)，將檢測(cè)對(duì)象分成正常行為類(lèi)和異常行為類(lèi)，從而可以將正常行為放行，而異常行為作為后續(xù)模塊的輸入，檢測(cè)得到的異常通過(guò)一種過(guò)濾機(jī)制實(shí)現(xiàn)已知入侵的過(guò)濾，進(jìn)而剩下的入侵則被認(rèn)定為新型入侵，最后的聚類(lèi)模塊實(shí)現(xiàn)未知入侵的映射，通過(guò)映射的方法找到新型入侵的類(lèi)別信息.

異常檢測(cè)方法的選取選擇了分類(lèi)識(shí)別方法中使用最為廣泛的支持向量機(jī)（Support Vector Machine，SVM），支持向量機(jī)作為模式識(shí)別中重要的學(xué)習(xí)和分類(lèi)方法，已經(jīng)被應(yīng)用到入侵檢測(cè)中.入侵檢測(cè)的本質(zhì)是分類(lèi)問(wèn)題，是通過(guò)檢測(cè)將正常行為與異常行為分開(kāi).但I(xiàn)DS中用于分類(lèi)的數(shù)據(jù)比較復(fù)雜，體現(xiàn)在高維性、小樣本性和不可分性幾個(gè)方面.SVM是在小樣本學(xué)習(xí)的基礎(chǔ)上發(fā)展起來(lái)的分類(lèi)器，適用于小樣本數(shù)據(jù)，且對(duì)高維數(shù)據(jù)不敏感，能用于密度估計(jì)和孤立點(diǎn)的發(fā)現(xiàn).因此，適用于入侵檢測(cè)領(lǐng)域高維異構(gòu)不均衡數(shù)據(jù)集的分類(lèi)及其設(shè)計(jì)和異常發(fā)現(xiàn)[4-5].

為了捕獲新型入侵和對(duì)其分類(lèi)，首先需要對(duì)已知入侵進(jìn)行過(guò)濾，已知的入侵過(guò)濾由一類(lèi)支持向量機(jī)（One Class Support Vector Machine，OC-SVM）完成.一類(lèi)支持向量機(jī)是設(shè)某一類(lèi)樣本數(shù)據(jù)在特征空間中具有一定的概率分布，通過(guò)構(gòu)建描述樣本概率分布的二值模型來(lái)判斷待測(cè)試的樣本在特征空間是否服從該模型分布，也就是該待測(cè)的數(shù)據(jù)是否屬于該類(lèi)[6].入侵檢測(cè)中，采用OC-SVM對(duì)網(wǎng)絡(luò)樣本集進(jìn)行訓(xùn)練，獲得一個(gè)區(qū)域，區(qū)域內(nèi)的樣本隸屬于該類(lèi)，區(qū)域外的一般稱(chēng)為孤立點(diǎn)（outlier）.本文中，選用已知入侵作為訓(xùn)練樣本，獲得已知入侵的涵蓋區(qū)域，因此，由異常檢測(cè)模塊獲得的異常通過(guò)OC-SVM分類(lèi)器進(jìn)行分類(lèi)匹配，落入已知入侵涵蓋區(qū)域的網(wǎng)絡(luò)連接可直接作為確定的入侵輸出，落在區(qū)域外的連接則是新型的入侵，通過(guò)這種辦法過(guò)濾已知入侵從而獲得新型入侵.

最后，獲得的新型入侵通過(guò)映射進(jìn)行分類(lèi)以獲得其基本類(lèi)別信息和行為目的，新型入侵的歸類(lèi)由自組織映射（Self-Organizing Map，SOM）和類(lèi)別獲取算法共同完成.

自組織映射完成新型入侵的映射，利用SOM良好的映射機(jī)理將新型入侵映射到確定的已知入侵類(lèi)中，從而確定新型入侵的入侵類(lèi)別信息.

SOM是神經(jīng)網(wǎng)絡(luò)，以競(jìng)爭(zhēng)學(xué)習(xí)規(guī)則進(jìn)行訓(xùn)練，對(duì)刺激反應(yīng)最強(qiáng)烈的神經(jīng)元贏得競(jìng)爭(zhēng).在競(jìng)爭(zhēng)中獲勝的神經(jīng)元獲得以后對(duì)這種刺激響應(yīng)的權(quán)力[7].在訓(xùn)練階段，SOM將輸入向量映射到輸出網(wǎng)格上與該向量距離（就歐氏距離而言）最近的神經(jīng)元上[7].為了更好地對(duì)進(jìn)入的異常連接進(jìn)行劃分，SOM部分的訓(xùn)練僅使用入侵?jǐn)?shù)據(jù)集.采用入侵?jǐn)?shù)據(jù)進(jìn)行訓(xùn)練的神經(jīng)元對(duì)應(yīng)的是各種類(lèi)型的入侵，因此當(dāng)檢測(cè)到的異常作為輸入進(jìn)入到SOM學(xué)習(xí)器，通過(guò)查看其映射所對(duì)應(yīng)神經(jīng)元就可以得到該新型入侵所隸屬的攻擊類(lèi)型，進(jìn)而得到其更多有效的信息.

圖1 檢測(cè)系統(tǒng)流程圖

對(duì)于異常連接的類(lèi)別信息獲取采用歸類(lèi)標(biāo)識(shí)的方法給出，每一個(gè)進(jìn)入的連接通過(guò)分析研究其所歸屬的類(lèi)別來(lái)獲得其有價(jià)值的信息.具體的，網(wǎng)絡(luò)攻擊類(lèi)型分為4大類(lèi)：Dos，Probe，R2L，U2R，每個(gè)大類(lèi)內(nèi)又包含多種攻擊，雖然攻擊名稱(chēng)各異但是最終目的或采用的手段是相似的，因此知道一個(gè)攻擊隸屬于某一種攻擊類(lèi)型則能夠獲得該攻擊可能的行為以及其行為目的，即只要能夠得到進(jìn)入的異常連接所隸屬的類(lèi)別則可獲取該異常連接的行為目的及行為特征等信息，同時(shí)擴(kuò)展到對(duì)新型入侵的更多信息的獲取，如隸屬類(lèi)別，行為目的等[8].

為了能夠獲取異常連接的類(lèi)別信息，需要先對(duì)輸出網(wǎng)格神經(jīng)元貼標(biāo)簽，然后對(duì)進(jìn)入的異常連接進(jìn)行檢查，查看其所映射的輸出神經(jīng)元上，再查看該神經(jīng)元的標(biāo)簽從而獲得異常連接的類(lèi)（標(biāo)簽）[8].使用文獻(xiàn)[8]中提出的兩個(gè)算法分別實(shí)現(xiàn)標(biāo)簽的獲得和類(lèi)別的映射，完成新型入侵的類(lèi)別信息獲取.

通過(guò)算法可以獲得進(jìn)入的異常連接所屬類(lèi)型，進(jìn)而可以分析獲得有價(jià)值的信息.

3 實(shí)驗(yàn)

實(shí)驗(yàn)選擇入侵檢測(cè)領(lǐng)域中權(quán)威的測(cè)試數(shù)據(jù)集KDD?CUP99[9]，該數(shù)據(jù)集是麻省理工學(xué)院Lincoln實(shí)驗(yàn)室仿真美國(guó)空軍局域網(wǎng)環(huán)境而建立的網(wǎng)絡(luò)流量測(cè)試數(shù)據(jù)集.數(shù)據(jù)集包含多種網(wǎng)絡(luò)環(huán)境下的模擬入侵，包含了前文提到的4大類(lèi)入侵方式（見(jiàn)表1）.本文從“10%ofKDDCUP99”選取數(shù)據(jù)集分別作為訓(xùn)練集train和測(cè)試集test.

表2對(duì)訓(xùn)練集和測(cè)試集五大類(lèi)網(wǎng)絡(luò)連接樣本的數(shù)量進(jìn)行了統(tǒng)計(jì)，由于本文的檢測(cè)系統(tǒng)的目的是識(shí)別和分類(lèi)未知入侵，所以在測(cè)試集test中加入了300條Unknow的樣本作為未知入侵.

對(duì)于加入測(cè)試集test的Unknow樣本的種類(lèi)與數(shù)量，如表3所示，被選取為未知入侵的樣本類(lèi)型在訓(xùn)練集train中均不會(huì)出現(xiàn).

根據(jù)數(shù)據(jù)的特性及實(shí)驗(yàn)的需要，對(duì)數(shù)據(jù)進(jìn)行以下處理：分類(lèi)屬性特征的量化；標(biāo)準(zhǔn)化處理.量化的過(guò)程有多種，在實(shí)驗(yàn)中選擇將字符串型屬性與數(shù)值對(duì)應(yīng)，如protocol type：ic?mp-1；tcp-2；udp-3；others-4；不改變?cè)瓟?shù)據(jù)集的維度，即不增加計(jì)算的復(fù)雜度.

標(biāo)準(zhǔn)化處理：

表1 訓(xùn)練集train和測(cè)試集test樣本的選取

設(shè)有n個(gè)樣本，每個(gè)樣本有d項(xiàng)特征（變量），待觀測(cè)數(shù)據(jù)xij(i=1,2,…,n;j=1,…,d)，每個(gè)樣本為xi=(xi1,xi2,…,xid)，一維屬性為xj=(x1j,x2j,…,xij)T，選擇對(duì)樣本按維標(biāo)準(zhǔn)化，xmin與xmax分別為一維屬性xj的最小值與最大值，則標(biāo)準(zhǔn)化的x′j為

3.1 基于SVM的異常檢測(cè)性能

因?yàn)閰?shù)的選擇并沒(méi)有先驗(yàn)知識(shí)，必須通過(guò)一定的過(guò)程進(jìn)行參數(shù)選擇，目的是確定好的（c，g）使得分類(lèi)器能正確地預(yù)測(cè)測(cè)試集數(shù)據(jù)，有較高的分類(lèi)準(zhǔn)確率.確保在選好的參數(shù)情況下能正確地對(duì)數(shù)據(jù)分類(lèi)，并得到最優(yōu)的檢測(cè)率，以及最低的虛檢率和漏檢率.

對(duì)應(yīng)測(cè)試集test中，正常樣本數(shù)量為2031，異常樣本數(shù)量為7895，計(jì)算四種（c，g）情況下的虛警率與漏警率，見(jiàn)表5.

綜上所述，在檢測(cè)率盡量高的情況下，我們追求虛檢率和漏檢率都盡量的低.在虛警率相差不大的情況下，（c，g）=（10000，0.01）時(shí)，檢測(cè)的各項(xiàng)指標(biāo)分類(lèi)準(zhǔn)確度、漏警率以及檢測(cè)率均有更好的表現(xiàn)，故可以確定（c，g）=（10000，0.01）為最優(yōu)參數(shù)值.

3.2 基于OC-SVM的未知入侵獲取性能

此模塊由四個(gè)一類(lèi)支持向量機(jī)（OC-SVM）串行連接，每一個(gè)OC-SVM均可看做一種類(lèi)型攻擊的信息庫(kù).因此，對(duì)四個(gè)OC-SVM分別用訓(xùn)練集中DoS、Probe、R2L和U2R樣本進(jìn)行訓(xùn)練獲得檢測(cè)器模型，對(duì)輸入的入侵樣本依次匹配和過(guò)濾，匹配則直接輸出；當(dāng)通過(guò)四個(gè)OC-SVM均被判為不匹配，則認(rèn)為這條入侵樣本為未知的新型入侵.

但需要注意的是，OC-SVM的檢測(cè)效果受到兩個(gè)方面的影響一方面在于OC-SVM受限于自身的檢測(cè)性能，而另一方面訓(xùn)練樣本的不足也導(dǎo)致檢出率較低，由于數(shù)據(jù)集中R2L和U2R的數(shù)量很少所以無(wú)法獲得充足的數(shù)據(jù)樣本進(jìn)行訓(xùn)練.實(shí)驗(yàn)中OC-SVM同樣選取RBF核函數(shù)，通過(guò)實(shí)驗(yàn)選取參數(shù)如下：

表2 訓(xùn)練集train和測(cè)試集test的樣本數(shù)量

表3 測(cè)試集test中的未知入侵的種類(lèi)與數(shù)量

表6為4個(gè)OC-SVM在已選定的參數(shù)下的檢測(cè)性能，包括虛警率、漏警率以及檢測(cè)率三種指標(biāo).

從表6中可以看出，受到OC-SVM的性能限制，這四個(gè)一類(lèi)支持向量機(jī)會(huì)有較高的虛警和漏警，而對(duì)R2L進(jìn)行檢測(cè)的OC-SVM受到樣本容量過(guò)少的影響，對(duì)已知型R2L有大量漏檢，但為了保證未知入侵的樣本不被誤檢，可以進(jìn)入未知入侵信息獲取模塊，所以仍以分類(lèi)準(zhǔn)確率最優(yōu)為選擇標(biāo)準(zhǔn).

3.3 基于SOM的信息獲取性能

對(duì)于OC-SVM檢測(cè)性能不高的弱點(diǎn)，SOM對(duì)其是有效的補(bǔ)充，未被檢出過(guò)濾的連接進(jìn)入SOM分類(lèi)模塊，通過(guò)SOM可以進(jìn)一步對(duì)其進(jìn)行分類(lèi)，因此，SOM不僅是對(duì)未知入侵的獲取與分類(lèi)，同時(shí)也是對(duì)一類(lèi)分類(lèi)器的補(bǔ)充.

對(duì)于上一級(jí)模塊輸入進(jìn)信息獲取模塊的未知入侵樣本，SOM分類(lèi)效果記錄在表7中.在已選定的OC-SVM參數(shù)下，以如下數(shù)據(jù)作為SOM仿真參數(shù)：

輸出神經(jīng)元網(wǎng)格為方形；迭代次數(shù)1000；η0=0.1；σ0=輸出網(wǎng)格的邊長(zhǎng).

表4 在不同c，g的情況下的檢測(cè)精確度

表6 OC-SVM的檢測(cè)性能

由表7決定選擇σ0=9作為SOM參數(shù)，圖2給出了SOM圖示，圖中以2，3，4，5依次標(biāo)記DoS、Probe、R2L、U2R.

由于R2L、U2R兩類(lèi)的訓(xùn)練樣本較少，且受到本文數(shù)據(jù)量化方式——將占比較少的屬性歸為‘other’類(lèi)的影響，降低了部分樣本的特異性，所以SOM對(duì)數(shù)量較少的R2L、U2R類(lèi)的未知入侵的檢測(cè)效果不理想.但對(duì)于數(shù)量較大的DoS、Probe類(lèi)的未知入侵，本文設(shè)計(jì)的SOM分類(lèi)器還是可以識(shí)別，并獲得其攻擊信息的.

3.4 綜合表現(xiàn)與分析

綜合以上圖表中的各項(xiàng)指標(biāo)，本系統(tǒng)的異常檢測(cè)模塊可以較好地完成正常/異常識(shí)別，在之后的未知入侵獲取以及信息獲取模塊，當(dāng)樣本容量足夠時(shí)，其檢測(cè)性能良好，對(duì)未知入侵識(shí)別和分類(lèi)可以完成，但對(duì)于訓(xùn)練樣本較少的攻擊類(lèi)型，效果并不理想.這一方面是受到訓(xùn)練樣本容量的限制，以及一類(lèi)支持向量機(jī)的性能局限，另一方面是本文量化方法降低了部分?jǐn)?shù)據(jù)樣本的特異性，影響了檢測(cè)效果.

整個(gè)系統(tǒng)采用分步模塊化處理，將復(fù)雜的問(wèn)題簡(jiǎn)化，每個(gè)模塊僅負(fù)責(zé)單一功能，降低了計(jì)算復(fù)雜度.其中模塊一基于SVM進(jìn)行異常檢測(cè)，僅完成對(duì)網(wǎng)絡(luò)連接的正常/異常識(shí)別，以此實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)安全中最基本的功能，即阻隔入侵，保護(hù)用戶(hù)不受窺探與攻擊；模塊二基于串行連接的OC-SVM進(jìn)行對(duì)未知入侵的獲取，此模塊以四個(gè)OC-SVM作為已知入侵的信息庫(kù)，對(duì)模塊一檢測(cè)出的異常連接匹配和過(guò)濾，將無(wú)法識(shí)別的異常連接認(rèn)定為未知入侵，縮小了對(duì)未知入侵的檢測(cè)范圍；模塊三基于SOM對(duì)未知入侵完成入侵信息的獲取，完成本系統(tǒng)設(shè)計(jì)的初衷，即在完成入侵檢測(cè)的同時(shí)，獲取未知入侵的樣本及信息.同時(shí)，更為重要的意義在于，當(dāng)獲得足夠數(shù)量的未知入侵樣本后，可以再利用這些樣本對(duì)信息庫(kù)（模塊二）進(jìn)行更新，加強(qiáng)系統(tǒng)檢測(cè)性能.

表7 攻擊分類(lèi)性能

圖2 SOM分類(lèi)示意圖

4 結(jié)論

本文提出了一種面向新型入侵的獲取和分類(lèi)方法，采用分步的方法分別完成網(wǎng)絡(luò)的異常檢測(cè)、新型入侵的獲取和分類(lèi)，進(jìn)而可以通過(guò)對(duì)入侵所屬類(lèi)的研究獲得該新型入侵更多有效信息.檢測(cè)方法首先采用支持向量機(jī)算法執(zhí)行異常檢測(cè)，采用單純的異常檢測(cè)方法能夠避免系統(tǒng)趨向于檢測(cè)已知攻擊，這提高了檢測(cè)器對(duì)新型入侵的檢測(cè)性能，異常檢測(cè)之后獲得的異常連接通過(guò)由OC-SVM和SOM共同組成的新型入侵的獲取和分類(lèi)模塊完成對(duì)異常連接的匹配過(guò)濾、映射和分類(lèi).已知入侵通過(guò)匹配的方法直接輸出，對(duì)新型入侵的信息獲取通過(guò)映射和分類(lèi)獲取算法完成.獲得的新型入侵的類(lèi)別信息通過(guò)反饋更新可以擴(kuò)展信息庫(kù)，增強(qiáng)系統(tǒng)對(duì)于入侵的響應(yīng)能力尤其是對(duì)新型入侵的響應(yīng)能力.仿真實(shí)驗(yàn)表明該系統(tǒng)在具有較高的檢測(cè)率和較低的誤報(bào)率的情況下可有效獲取進(jìn)入的異常和新型入侵的信息.

[1]Shelly Xiaonan Wu,Wolfgang Banzhaf.The use of computational intelligence in intrusion detection systems:A review.[J].Applied SoftComputing,2010,10:1-35.

[2]Chih-Fong Tsai a,Yu-Feng Hsu b,Chia-Ying Lin c,et al.Intrusion detection by machine learning:A review[J].Expert Systemswith Applications,2009,36:11994-12000.

[3]WEIYu-xin,WU Mu-qing.KFDA and clustering based multiclass SVM for intrusion detection[J].The Journal of China University of Postsand Telecommunications,2008,15(1):123-128.

[4]Taeshik Shon,Jongsub Moon.A hybrid machine learning approach to network anomaly detection[J].Information Sciences,2007, 177:3799-3821.

[5]Rachid Beghdad.Critical study ofneuralnetworks in detecting intrusions[J].Computers&Security,2008,27(5-6):168-175.

[6]Giacinto G,PerdisciR,Rio M D,et al.Intrusion detection in computer networks by amodular ensemble of one-class classifiers[J]. Information Fusion,2008,9(1):69-82.

[7]Kayacik H G,Zincir-Heywood A N,Heywood M I,etal.On the Capability ofan SOM based Intrusion Detection System[C].2003 In?ternational JointConference on Neural Networks,Oregon,USA,2003:1808-1813.

[8]王飛.入侵檢測(cè)分類(lèi)器設(shè)計(jì)及其融合技術(shù)研究[D].南京：南京理工大學(xué)，2011.

[9]Pfahringer B.W inning entry of the kddcup99 classifier learning contest[EB/OL].http://www.acm.org/sigs/sigkdd/kddcup/,1999.

A Method of the Capture and Classification of New Intrusions

ZHU Lei,WANG Fei,XU Ben-lian
(School of Electrical and Automation Engineering,Changshu Institute of Technology,Changshu 215500,China)

In view of less useful information for new intrusions that can be obtained by anomaly detection,a method of the capture and classification of new intrusion is proposed.First,an anomaly intrusion detection meth?od is used to find intrusions.Second,pattern matching plays a role in filtering out the known intrusions,and the remaining new intrusions are regarded as the input to clustering module,through which further classification is carried out.As a result,the valid information about its class is obtained.Finally,based on the experiment simu?lation,which uses data set KDDCUP99,the results show that the detection method has a better detection rate and low false alarm rate,and that themethod to identify and classify the new intrusions is valid.

anomaly detection;classification map;information acquisition

TP309

A

1008-2794（2012）08-0103-06

2012-06-13

朱磊（1990—），男，江蘇漣水人，常熟理工學(xué)院電氣與自動(dòng)化工程學(xué)院自動(dòng)化專(zhuān)業(yè)學(xué)生.

王飛（1977—），男，山東濱州人，講師，博士，研究方向：模式識(shí)別、信息安全，E-mai:wangleea@yahoo.com.cn.