楊云峰

(河池學(xué)院 計(jì)算機(jī)與信息科學(xué)系，廣西 宜州 546300)

1 概述

互聯(lián)網(wǎng)爆炸式的發(fā)展給人們生活帶來了很大的便利，并被廣泛應(yīng)用于各種領(lǐng)域，人們?cè)谙硎芑ヂ?lián)網(wǎng)進(jìn)步成果的同時(shí)，也面臨著其帶來的威脅。網(wǎng)絡(luò)安全與互聯(lián)網(wǎng)相伴相生，入侵檢測作為網(wǎng)絡(luò)安全的焦點(diǎn)技術(shù)，可以追溯到1980年，即J.A［1］在研討技術(shù)報(bào)告中首次提出的。此后，不斷有學(xué)者和研究人員深入研究和完善入侵檢測模型和應(yīng)用技術(shù)手段，例如，1990年，Heberlein［2］開發(fā)的NSM系統(tǒng)(Network Security Monitor)，通過捕獲ICP/IP分組，直接把局域網(wǎng)上的網(wǎng)絡(luò)信息作為審計(jì)數(shù)據(jù)來源進(jìn)行檢測。2007年，M.R［3］團(tuán)隊(duì)提出的系統(tǒng)是基于誤用檢測代理的分布式入侵檢測，它通過Drools規(guī)則引擎和Snort配合使用，提高系統(tǒng)可擴(kuò)展性。2008年，Aly El－Semary［4］主要針對(duì)入侵檢測動(dòng)態(tài)日志問題，通過Apriori算法結(jié)合Kuok算法，動(dòng)態(tài)產(chǎn)生模糊邏輯規(guī)則。2009年，Ya－Liding［5］等人提出的Apriori算法的神經(jīng)特征搜索算法能有效提高檢測效率。

隨著網(wǎng)絡(luò)技術(shù)和存儲(chǔ)技術(shù)的迅猛發(fā)展，對(duì)入侵檢測技術(shù)的性能要求也越來越高，本文在仔細(xì)分析統(tǒng)計(jì)相關(guān)性的特征選擇算法(Relief)的基礎(chǔ)上，結(jié)合順序后向搜索算法，形成基于Relief－SBS特征選擇算法，將其應(yīng)用在入侵檢測上，實(shí)驗(yàn)表明該方法能夠提高入侵檢測的效率。

2 數(shù)據(jù)采集和預(yù)處理

入侵檢測的第一步是數(shù)據(jù)收集，如果收集的數(shù)據(jù)延時(shí)大、數(shù)據(jù)不完整，或是發(fā)生錯(cuò)誤導(dǎo)致收集到錯(cuò)誤的數(shù)據(jù)，入侵檢測性能就會(huì)下降甚至無意義。根據(jù)信息采集的不同，主要有兩種數(shù)據(jù)源:第一種是利用系統(tǒng)日志數(shù)據(jù)作為數(shù)據(jù)源，第二種是利用網(wǎng)絡(luò)數(shù)據(jù)作為數(shù)據(jù)源?；趯?shí)驗(yàn)的局限性，難收集到各種攻擊數(shù)據(jù)，所以本實(shí)驗(yàn)采用目前入侵檢測研究最廣泛使用的標(biāo)準(zhǔn)數(shù)據(jù)集—KDD99［6］數(shù)據(jù)集作為數(shù)據(jù)源，并采用kddcup.data_10_percent_corrected作為訓(xùn)練集，corrected作為測試集。

KDD99數(shù)據(jù)集中的樣本特征共41維，主要包含的類型是:基本特征、內(nèi)容特征、時(shí)間流量特征和主機(jī)流量特征等四類。由于本文實(shí)驗(yàn)中采用的分類器為支持向量機(jī)，其僅能處理數(shù)值型數(shù)據(jù)，標(biāo)準(zhǔn)數(shù)據(jù)集中的原始數(shù)據(jù)含有名詞的離散型特征，因此要進(jìn)行預(yù)處理，預(yù)處理主要有如下三步:

(1)重新對(duì)原始數(shù)據(jù)的類別標(biāo)簽進(jìn)行歸類。

(2)把離散型特征轉(zhuǎn)換成連續(xù)數(shù)值型特征。原來取值為0或1的離散型的特征值不變，取值為名詞的，根據(jù)所有特征分為多個(gè)子特征，并確保不同記錄之間的同一離散型特征差異相等。

(3)數(shù)值歸一化。設(shè)max和min是訓(xùn)練集中某一特征的最大值和最小值。設(shè)歸一化后的數(shù)值范圍為［new_min，new_max］，則由原值u到新值v的映射關(guān)系為:

一般情況下，歸一化后的數(shù)值范圍可以有［－1，+1］和［0，1］兩種選擇。本文選擇［0，1］作為歸一化后的數(shù)值范圍。

數(shù)據(jù)預(yù)處理后，數(shù)據(jù)集的特征共計(jì)118維特征，如表1、2所示，每個(gè)特征名稱前面都有一個(gè)唯一的標(biāo)號(hào)。完成了數(shù)據(jù)預(yù)處理后，數(shù)據(jù)集滿足了后續(xù)分類器的輸入要求，為特征選擇和分類做好了準(zhǔn)備。

表1 預(yù)處理后的KDD99數(shù)據(jù)集的基本特征

表2 預(yù)處理后的KDD99數(shù)據(jù)集的內(nèi)容、流量、主機(jī)流量特征

3 基于Relief－SBS的特征選擇算法描述

本文的特征選擇算法是在分析綜合統(tǒng)計(jì)相關(guān)性的特征選擇算法(Relief)與順序后向搜索算法的基礎(chǔ)上形成的。Relief算法是基于統(tǒng)計(jì)相關(guān)性的特征選擇算法，是由Kenji Kira和Larry Rendell提出的，當(dāng)初是為了解決兩類分類中多個(gè)特征相互關(guān)聯(lián)與作用的問題［7］。其原理是依特征對(duì)近距離樣本的區(qū)分能力來評(píng)估特征，就是好的特征應(yīng)該能夠使同一類別的樣本之間互相靠近，不同類別的樣本之間相互遠(yuǎn)離。順序后向搜索算法是在特征子集中進(jìn)行搜索時(shí)根據(jù)方向不同劃分的特征選擇算法?；赗elief與順序后向搜索的特征選擇算法在每一輪迭代后去除一個(gè)特征，并在每一輪迭代中，采用Relief算法的結(jié)果作為特征的評(píng)估標(biāo)準(zhǔn)。

算法流程如下:

輸入:訓(xùn)練數(shù)據(jù)集Train;初始特征集 T0={Fj，j=1，2，…，N}及其對(duì)應(yīng)權(quán)值 D［1…N］;分類器函數(shù):λ=Classifier(訓(xùn)練集，特征集)，λ為分類正確率;Relief算法函數(shù):D［1…N］=Relief(Train，T)，D 按從大到小排序。初始化:Tbest=T0;λbest=Classifier(Train，T0);D［1…N］=0;for(i=1;i＜ =N－2;i++){D［1…N－i+1］=Relief(Train，T);//對(duì)訓(xùn)練集 Train執(zhí)行 Relief算法將特征權(quán)值最小的特征去除;獲得新的特征子集 T={Fj，j=1，2，…，N－i}，其對(duì)應(yīng)權(quán)值為 D［1…N－i］;λ =Classifier(Train，T);if(λ＜λbest)break;Tbest=T;λbest=λ;}輸出:特征子集Tbest中的特征。

在Relief－SBS算法中，分類器函數(shù)——Classifier(訓(xùn)練集，特征集)的選擇是比較靈活的。本文使用的分類器是支持向量機(jī)。

4 實(shí)驗(yàn)結(jié)果與分析

4.1 實(shí)驗(yàn)方案

為了更有利于全面考察特征算法的性能，檢測的結(jié)果同支持向量機(jī)結(jié)合起來，并采用了C－SVM和ν－SVM兩種支持向量機(jī)作為對(duì)特征子集進(jìn)行評(píng)估的分類算法，特征提取上為了比較，還使用預(yù)處理后得到的全部特征118維進(jìn)行實(shí)驗(yàn)，所以形成了四種方案:(1)全部特征+C－SVM;(2)Relief－SBS特征選擇+CSVM;(3)全部特征+ν－SVM;(4)Relief－SBS特征選擇+ν－SVM。

Relief－SBS特征選擇+C－SVM算法在第65輪迭代后中止，也就是總共去除了原特征集118維特征中的64維特征，保留了54維特征，如表3所示。Relief－SBS特征選擇+ν－SVM的算法第70輪迭代后中止，也就是總共去除了原特征集118維特征中的69維特征，保留了49維特征，如表4所示。

表3 采用C－SVM評(píng)估的Relief－SBS特征選擇后保留的特征子集(54維)

表4 采用ν－SVM評(píng)估的Relief－SBS特征選擇后保留的特征子集(49維)

表4(續(xù))

4.2 實(shí)驗(yàn)性能評(píng)價(jià)指標(biāo)

本實(shí)驗(yàn)通過檢測率、虛警率、樣本平均代價(jià)三個(gè)指標(biāo)作為入侵檢測系統(tǒng)的性能評(píng)價(jià)指標(biāo)。對(duì)于入侵檢測系統(tǒng)，檢測率越高越好，虛警率越低越好，樣本平均代價(jià)越低越好，但是很難達(dá)到檢測率與虛警率同時(shí)達(dá)到最優(yōu)的目標(biāo)，這也是入侵檢測研究的重點(diǎn)之一。因?yàn)閷?shí)際的網(wǎng)絡(luò)環(huán)境中，正常的樣本數(shù)龐大，攻擊的樣本比例小，所以極低的虛警率也可能產(chǎn)生大量的誤報(bào)警。

檢測率=正確檢測出來的攻擊樣本數(shù)/攻擊樣本總數(shù)。

虛警率=誤判為攻擊的正常樣本數(shù)/正常樣本總數(shù)。

其中，Cost(i，j)是標(biāo)準(zhǔn)數(shù)據(jù)庫KDD99入侵檢測競賽在對(duì)不同的分類器的分類結(jié)果進(jìn)行評(píng)價(jià)與比較后所給出的錯(cuò)分代價(jià)矩陣。每一行是正確類別:即樣本實(shí)際類別，即“正確類別”;每一列是輸出類別:即樣本被分類器分配的類別，矩陣元素表示錯(cuò)分代價(jià)。本文將其作為與其它研究比較性能的基準(zhǔn)。

CM(i，j)是指分類器輸出的混淆矩陣(Cofusion Matrix)，每一行是樣本實(shí)際類別，每一列是樣本被分類器分配的類別，矩陣元素代表分類器對(duì)應(yīng)類別輸出的樣本數(shù)。

4.3 實(shí)驗(yàn)結(jié)果

根據(jù)設(shè)計(jì)的實(shí)驗(yàn)方案，實(shí)驗(yàn)中選取用于支持向量機(jī)訓(xùn)練與測試的參數(shù)C的取值包括:2－1、21、23、25、26、27、28、29、210、211、212、213、214、215、216共 15 種，σ 的取值包括:20、2－1、2－2、2－3、2－4、2－5、2－6、2－7、2－8、2－9、2－10共11種，它們?nèi)≈档慕M合構(gòu)成了一個(gè)網(wǎng)格。每種組合在訓(xùn)練集上進(jìn)行交叉驗(yàn)證，表5列出實(shí)驗(yàn)時(shí)部分組合結(jié)果，得知當(dāng)C=29，σ=2－4時(shí)全部特征+C－SVM取得了最高的檢測率與最低的平均代價(jià)，當(dāng)C=216，σ=2－3時(shí)Relief－SBS特征選擇+C－SVM取得了最高的檢測率與最低的平均代價(jià)，將最好結(jié)果的組合作為最優(yōu)參數(shù)對(duì)支持向量機(jī)進(jìn)行訓(xùn)練，然后進(jìn)行測試。得到最終實(shí)驗(yàn)數(shù)據(jù)如表6所示。

表5 全部特征、Relief－SBS特征選擇分別與C－SVM在測試集上的性能

表6 支持向量機(jī)C－SVM與ν－SVM在測試集上的性能綜合比較

4.4 結(jié)果分析

由表5、表6可以看出，基于全部特征和C－SVM的性能與基于全部特征和ν－SVM的性能差別不大，基于Relief－SBS特征選擇+ν－SVM的性能略優(yōu)于基于Relief－SBS特征選擇+C－SVM的性能?；赗elief－SBS特征選擇+C－SVM的性能及基于Relief－SBS特征選擇+ν－SVM的性能都優(yōu)于KDD99最優(yōu)方案?？梢?，本文提出的Relief－SBS特征選擇算法與兩種支持向量機(jī)分類器結(jié)合起來都能夠有效地促進(jìn)分類性能的提高，也充分地說明了本文的特征選擇算法的有效性和可靠性，它為入侵檢測技術(shù)這一長期目標(biāo)提供相關(guān)技術(shù)支持。

［1］Anderson JP.Computer Security Threat Monitoring and Surveillance［R］.Fort Washington，PA:James P.Anderson Co，1980.

［2］Heberlein LT，Dias GV，Levitt KN，et al.A network security monitor［C］.California:IEEE Computer Society Press，1990:296－302.

［3］Mosqueira－Rey E，Alonso－Betanzos A.A Misuse Detection Agent for Intrusion Detection in a Multi－agent Architecture［J］.Agent and Multi－Agent Systems:Technologies and Applications，2007:466－475.

［4］Aly El－ Semary，Janica Edmonds，Jesus Gonzalez－Pino.Applying data mining of fuzzy association rules to network intrusion detection［C］.UK:University of London press，2006:100－107.

［5］Ya－Li Ding，Lei Li，Hong－ Qi Luo.A novel signature searching for intrusion detecting system using data mining［C］.United States:IEEE Transaction on SMCB，2009:122－126.

［6］Charles Elkan.KDD＇99 Classifier Learning Contest［EB/OL］.［2012－10－06］.http://www－cse.ucsd.edu/users/elkan/clresults.html.

［7］Kononenko I.Estimating attributes:analysis and extensions of RELIEF［C］.United States:Morgan Kaufmann，Publishers，1994:171－182.