王小芬+張海娜

摘 要：在對網(wǎng)絡(luò)進(jìn)行傳統(tǒng)入侵檢測時(shí)，主要就是從那些已知的攻擊數(shù)據(jù)中對攻擊數(shù)據(jù)的規(guī)則和特征模式進(jìn)行提取，提取之后再根據(jù)這些規(guī)則和特征模式進(jìn)行相應(yīng)的匹配。因?yàn)椴捎眠@種入侵檢測技術(shù)是在已知的攻擊數(shù)據(jù)基礎(chǔ)上提出規(guī)則和特征模式的，所以在面對比較新的不斷持續(xù)變化的攻擊時(shí)，這種入侵檢測技術(shù)就不能夠發(fā)揮出最基本的作用。面對這樣的情況，在研究入侵檢測技術(shù)時(shí)，重點(diǎn)就是基于數(shù)據(jù)挖掘的入侵檢測技術(shù)，文章主要研究的就是基于孤立點(diǎn)檢測的自適應(yīng)入侵檢測技術(shù)。

關(guān)鍵詞：數(shù)據(jù)挖掘；孤立點(diǎn)檢測；自適應(yīng)；入侵檢測技術(shù)

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-8937（2014）14-0004-02

在網(wǎng)絡(luò)動(dòng)態(tài)的安全技術(shù)當(dāng)中，網(wǎng)絡(luò)入侵檢測技術(shù)是其中的一項(xiàng)核心技術(shù)，入侵檢測技術(shù)主要就是收集計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)當(dāng)中很多關(guān)鍵點(diǎn)的相關(guān)信息，然后對這些信息進(jìn)行分析和研究，主要目的是對網(wǎng)絡(luò)進(jìn)行監(jiān)測，同時(shí)也不會影響到網(wǎng)絡(luò)正常使用的性能，最終對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)和有效的保護(hù)?，F(xiàn)在的入侵檢測技術(shù)主要是基于特征的誤用檢測以及基于異常的檢測這樣兩中。基于異常的檢測主要就是通過檢測系統(tǒng)的異常行為從而來發(fā)現(xiàn)那些不了解的攻擊。從目前的情況來說基于異常的檢測還存在很多需要去解決的問題，但是如果能夠把準(zhǔn)確率以及性能這些主要的問題解決了，那么基于異常的檢測肯定能夠在入侵檢測系統(tǒng)當(dāng)中發(fā)揮更加重要的作用。正是因?yàn)檫@樣才需要仔細(xì)的研究基于異常的入侵檢測技術(shù)。因?yàn)槿肭謾z測系統(tǒng)在實(shí)際的工作當(dāng)中整個(gè)環(huán)境是在不斷的發(fā)生著變化，那么在建立入侵檢測模式就應(yīng)該要讓它們能夠很好的去自動(dòng)適應(yīng)這些變化的環(huán)境，這樣性能才能夠保持的比較好。

1 對系統(tǒng)基本原理的分析

基于誤用的入侵檢測技術(shù)在實(shí)際的檢測過程當(dāng)中只能夠?qū)δ切┮阎墓暨M(jìn)行檢測，對于那些已知攻擊的變異和未知的攻擊就不能夠有效的檢測出來。為了能夠有效的解決這個(gè)問題現(xiàn)在主要采用的辦法就是在入侵檢測過程當(dāng)中充分的利用數(shù)據(jù)挖掘的分析方法，然后建立起一種基于數(shù)據(jù)挖掘的入侵檢測模式。在解決這些問題的時(shí)候采用數(shù)據(jù)挖掘技術(shù)的話能夠有很多種的方法，比如序列分析、聚類分析、關(guān)聯(lián)分析、孤立點(diǎn)分析、挖掘粗糙集以及分類等。在數(shù)據(jù)挖掘當(dāng)中分類算法現(xiàn)在的應(yīng)用比較成熟，但是在面對不斷變化的動(dòng)態(tài)環(huán)境時(shí)這種算法卻不能夠很好的適應(yīng)，而挖掘粗糙集的算法則比較的復(fù)雜，所以如果應(yīng)用到入侵檢測技術(shù)當(dāng)中的話也將會受到很多的限制。所以本文主要就是采用了關(guān)聯(lián)分析、孤立點(diǎn)分析以及異常檢測技術(shù)來構(gòu)建起了自適應(yīng)的入侵檢測模式。

1.1 在異常檢測當(dāng)中對孤立點(diǎn)挖掘技術(shù)的充分利用

異常檢測其實(shí)就是基于行為的一種入侵檢測技術(shù)，在建立輪廓模型的時(shí)候主要就是根據(jù)網(wǎng)絡(luò)、用戶、系統(tǒng)以及程序的正常行為來完成的，對于那些和正常行為偏差比較大的行為都可以看成是異常行為。在進(jìn)行異常檢測的時(shí)候，需要在網(wǎng)絡(luò)、用戶以及系統(tǒng)正常使用一定的時(shí)間之后收集相關(guān)的信息，那么在建立正常行為模式的時(shí)候就可以根據(jù)收集到的這些相關(guān)信息來完成。在實(shí)際的檢測過程當(dāng)中，可以根據(jù)某些度量來對這些信息的偏差程度進(jìn)行計(jì)算。首先對于異常檢測當(dāng)中孤立點(diǎn)挖掘算法的分析。在數(shù)據(jù)挖掘技術(shù)當(dāng)中孤立點(diǎn)的挖掘算法是非常重要的一個(gè)發(fā)展方向，它主要就是從很多比較復(fù)雜的數(shù)據(jù)當(dāng)中，去挖掘出藏匿在小部分異常數(shù)據(jù)當(dāng)中和一般正常數(shù)據(jù)模式不一樣的那些數(shù)據(jù)模式。在對孤立點(diǎn)進(jìn)行實(shí)際描述的時(shí)候可以這樣來進(jìn)行：首先需要給定一個(gè)集合，這個(gè)集合當(dāng)中包含了很多的數(shù)據(jù)或者對象，同時(shí)對于預(yù)計(jì)孤立點(diǎn)的數(shù)量也應(yīng)該要確定，這樣就能夠很好的發(fā)現(xiàn)和剩下的一些數(shù)據(jù)相比較有明顯區(qū)別的數(shù)據(jù)個(gè)數(shù)。孤立點(diǎn)挖掘計(jì)算其實(shí)可以看成是兩個(gè)問題：第一個(gè)問題是在給定的這個(gè)數(shù)據(jù)集合當(dāng)中對什么樣的數(shù)據(jù)可以看成是不一樣的進(jìn)行定義；第二個(gè)就是要找出一種比較合理和有效的方法來對這些孤立點(diǎn)進(jìn)行挖掘。其次就是對基于入侵檢測的孤立點(diǎn)算法的分析。在入侵檢測技術(shù)當(dāng)中，進(jìn)行孤立點(diǎn)挖掘算法的時(shí)候就需要保證計(jì)算的準(zhǔn)確性以及時(shí)效性，而孤立點(diǎn)挖掘算法的復(fù)雜度可以看成是O（n2），如果在實(shí)際的入侵檢測技術(shù)當(dāng)中直接采用這種復(fù)雜度的話，那么肯定會對入侵檢測技術(shù)的時(shí)效性產(chǎn)生非常嚴(yán)重的影響，那么這樣就只能夠改進(jìn)上面講到的這種孤立點(diǎn)挖掘算法的時(shí)效性。而且在網(wǎng)絡(luò)當(dāng)中數(shù)據(jù)是在一直不斷變化的，所以在本文的研究當(dāng)中采用的孤立點(diǎn)挖掘算法主要是基于定長動(dòng)態(tài)滑動(dòng)窗口，那么在實(shí)際的計(jì)算過程當(dāng)中，可以假設(shè)窗口的長度是保持不變的為w個(gè)數(shù)據(jù)包，滑動(dòng)長度的單位則可以假設(shè)為i個(gè)數(shù)據(jù)包，那么當(dāng)新的i個(gè)數(shù)據(jù)包到達(dá)的時(shí)候，窗口就會相應(yīng)的向前移動(dòng)一個(gè)單位長度的距離，如果對R矩陣當(dāng)中的第1列到第i列進(jìn)行更新的話，同時(shí)其他的相關(guān)數(shù)據(jù)不變，那么就能夠得到孤立點(diǎn)挖掘算法的復(fù)雜度就為O（n）。

1.2 對自適應(yīng)入侵檢測系統(tǒng)的基本原理分析

最開始的入侵檢測技術(shù)在實(shí)際的檢測過程當(dāng)中需要先對已知的訓(xùn)練集進(jìn)行訓(xùn)練，在經(jīng)過一定的訓(xùn)練之后就能夠得到一個(gè)靜態(tài)的檢測模型，在對新的數(shù)據(jù)進(jìn)行入侵判斷的時(shí)候主要就是通過這個(gè)靜態(tài)的檢測模型來完成的。因?yàn)榫W(wǎng)絡(luò)環(huán)境相對比較復(fù)雜和多變，所以這種靜態(tài)的檢測模型就不能夠很好的去適應(yīng)這樣的網(wǎng)絡(luò)環(huán)境。面對這樣的情況就需要建立起自適應(yīng)的入侵檢測技術(shù)，這樣當(dāng)網(wǎng)絡(luò)環(huán)境在不斷變化的時(shí)候，入侵檢測模型也能夠根據(jù)這些變化去自己學(xué)習(xí)和適應(yīng)，最終來對那些未知的入侵行為進(jìn)行識別。

在采用前面講述到的孤立點(diǎn)挖掘算法找出了網(wǎng)絡(luò)環(huán)境當(dāng)中的異常孤立點(diǎn)之后，如果馬上就對這些異常的孤立點(diǎn)進(jìn)行關(guān)聯(lián)分析的話，那么在設(shè)置關(guān)聯(lián)分析算法當(dāng)中的閾值就會比較的困難，同時(shí)采用關(guān)聯(lián)分析最后得到的結(jié)構(gòu)對于網(wǎng)絡(luò)當(dāng)中的異常數(shù)據(jù)包檢測的作用也不能夠有效的發(fā)揮出來，出現(xiàn)這些問題的主要原因就是因?yàn)樵诰W(wǎng)絡(luò)當(dāng)中的攻擊形式非常的多。所以在找出網(wǎng)絡(luò)環(huán)境當(dāng)中的異常孤立點(diǎn)之后，就需要對這些孤立點(diǎn)按照攻擊類型的不同進(jìn)行聚類，在進(jìn)行關(guān)聯(lián)分析的時(shí)候則需要根據(jù)聚類之后的每一類來完成，這樣就能夠有效的挖掘出攻擊網(wǎng)絡(luò)異常數(shù)據(jù)包當(dāng)中各種不同的潛在入侵模式，然后就可以得到相應(yīng)的關(guān)聯(lián)規(guī)則集，在通過一定的轉(zhuǎn)換之后，就能夠把這些關(guān)聯(lián)規(guī)則集轉(zhuǎn)變成為入侵檢測系統(tǒng)具體的規(guī)則語法，然后添加到相應(yīng)的規(guī)則庫當(dāng)中，入侵檢測系統(tǒng)當(dāng)中的檢測引擎就能夠直接使用這些規(guī)則語法，最終就能夠有效的達(dá)到只適應(yīng)的目的。endprint

2 實(shí)驗(yàn)及結(jié)果分析

2.1 在異常檢測當(dāng)中采用孤立點(diǎn)數(shù)據(jù)挖掘算法的相關(guān)實(shí)

驗(yàn)分析

在進(jìn)行這個(gè)實(shí)驗(yàn)的時(shí)候主要采用的就是KDD99的UCI數(shù)據(jù)集來對孤立點(diǎn)挖掘算法的有效性進(jìn)行驗(yàn)證。在KDD99的UCI數(shù)據(jù)集當(dāng)中每一項(xiàng)記錄都是通過41個(gè)連續(xù)或者是離散的屬性來進(jìn)行描述的，比如協(xié)議的類型、持續(xù)的時(shí)間等，同時(shí)對于它所屬的哪種類型也有具體的標(biāo)注，入侵的攻擊類型主要就包括了Probe、R2L、U2R以及DoS。為了能夠有效的對孤立點(diǎn)挖掘算法對不同攻擊類型的檢測效果進(jìn)行分析，那么在具體的實(shí)驗(yàn)過程當(dāng)中需要從KDD99的UCI數(shù)據(jù)集中選擇5組數(shù)據(jù)來作為實(shí)驗(yàn)的樣本，其中4組分別就是4種不同攻擊類別的單個(gè)攻擊實(shí)驗(yàn)，而最后一組則是混合了4種攻擊類型的實(shí)驗(yàn)，在每一組實(shí)驗(yàn)樣本當(dāng)中有5 000個(gè)入侵記錄和10 000個(gè)正常記錄。在KDD99的UCI數(shù)據(jù)集中并不是每一個(gè)數(shù)據(jù)屬性對實(shí)驗(yàn)都有比較大的幫助，在經(jīng)過了相關(guān)的專家和學(xué)者分析之后可以發(fā)現(xiàn)，其中只有13中屬性對實(shí)驗(yàn)比較的重要，在這些屬性當(dāng)中包括了數(shù)值型和符號型。在實(shí)際的實(shí)驗(yàn)過程當(dāng)中，可以根據(jù)實(shí)際情況對閾值參數(shù)分別設(shè)為6、8、9、10，和11，窗口的滑動(dòng)單位長度為10，窗口的寬度為1 000，具體的實(shí)驗(yàn)結(jié)果見表1。

從表中能夠比較清楚的發(fā)現(xiàn)，對于Probe、DoS這兩種入侵攻擊類型來說，孤立點(diǎn)挖掘算法都取得了比較好的檢測結(jié)果，但是對R2L、U2R來說檢測的效果卻不是很好，這其實(shí)和現(xiàn)實(shí)基本是一樣的。R2L、U2R攻擊在實(shí)際的入侵攻擊當(dāng)中種類比較的多，而且很多U2R在攻擊的過程當(dāng)中都是偽裝成合法的用戶進(jìn)行攻擊，這樣就造成了U2R的數(shù)據(jù)包和正常的數(shù)據(jù)包比較相似，那么在進(jìn)行算法檢測的時(shí)候就會有一定的難度。雖然對R2L、U2R的檢測率不高，但是如果和其他的檢測方法進(jìn)行比較的話，就能夠發(fā)現(xiàn)這種檢測方法的優(yōu)點(diǎn)。

2.2 對自適應(yīng)的入侵檢測系統(tǒng)進(jìn)行相關(guān)的實(shí)驗(yàn)分析

在對自適應(yīng)的入侵檢測系統(tǒng)進(jìn)行相關(guān)的實(shí)驗(yàn)我們主要采用了IDS Snort來作為相關(guān)的實(shí)驗(yàn)平臺，而在實(shí)際的測試過程當(dāng)中則主要是通過IDS Snort的模擬攻擊工具來完成的。IDS Snort其實(shí)就是一個(gè)比較常用的基于誤用檢測的入侵檢測系統(tǒng)，這種入侵檢測系統(tǒng)具有比較好的擴(kuò)展性以及開源輕量級，在進(jìn)行實(shí)驗(yàn)之前，需要把關(guān)聯(lián)分析模塊以及孤立點(diǎn)挖掘模塊當(dāng)成是智能檢測的模塊通過插件的方式嵌入到IDS Snort平臺當(dāng)中，這樣IDS Snort平臺就能夠?qū)δ切┪粗墓ぞ哌M(jìn)行檢測。在試驗(yàn)的過程當(dāng)中需要對日志記錄通過特征提取器來進(jìn)行分析，在新的系統(tǒng)當(dāng)中能夠產(chǎn)生關(guān)聯(lián)的規(guī)則，這樣就能夠很好的證明這種系統(tǒng)能夠?qū)ξ粗艉鸵阎兎N的攻擊進(jìn)行檢測。

3 結(jié) 語

基于孤立點(diǎn)檢測的自適應(yīng)的算法在入侵檢測技術(shù)當(dāng)中的應(yīng)用具有很多的優(yōu)點(diǎn)，它能夠有效的檢測出那些未知的攻擊以及已知變種的攻擊，能夠更好的對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的保護(hù)。經(jīng)過相關(guān)的實(shí)驗(yàn)之后可以發(fā)現(xiàn)，基于孤立點(diǎn)檢測的自適應(yīng)入侵檢測技術(shù)所檢測出的數(shù)據(jù)報(bào)告非常的準(zhǔn)確，這樣入侵檢測服務(wù)的質(zhì)量也能夠得到很大程度的提高。

參考文獻(xiàn)：

[1] 李珺.基于孤立點(diǎn)挖掘的入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].信息安全與技術(shù)，2012，（7）.

[2] 景波，劉瑩，黃兵.基于孤立點(diǎn)檢測的工作流研究[J].計(jì)算機(jī)工程，2008，（22）.

[3] 黃斌，史亮，姜青山，等.基于孤立點(diǎn)挖掘的入侵檢測技術(shù)[J].計(jì)算機(jī)工程，2008，（3）.

[4] 孟浩.孤立點(diǎn)挖掘技術(shù)在入侵檢測中的應(yīng)用研究[D].大連：大連海事大學(xué)，2007.

[5] 吳楠楠.孤立點(diǎn)挖掘技術(shù)在異常檢測中的應(yīng)用研究[D].廈門：廈門大學(xué)，2007.

[6] 楊程程，黃斌.一種基于孤立點(diǎn)挖掘的入侵檢測技術(shù)[J].現(xiàn)代電子技術(shù)，2010，（11）.

[7] 劉積芬.網(wǎng)絡(luò)入侵檢測關(guān)鍵技術(shù)研究[D].上海：東華大學(xué)，2013.endprint

2 實(shí)驗(yàn)及結(jié)果分析

2.1 在異常檢測當(dāng)中采用孤立點(diǎn)數(shù)據(jù)挖掘算法的相關(guān)實(shí)

驗(yàn)分析

在進(jìn)行這個(gè)實(shí)驗(yàn)的時(shí)候主要采用的就是KDD99的UCI數(shù)據(jù)集來對孤立點(diǎn)挖掘算法的有效性進(jìn)行驗(yàn)證。在KDD99的UCI數(shù)據(jù)集當(dāng)中每一項(xiàng)記錄都是通過41個(gè)連續(xù)或者是離散的屬性來進(jìn)行描述的，比如協(xié)議的類型、持續(xù)的時(shí)間等，同時(shí)對于它所屬的哪種類型也有具體的標(biāo)注，入侵的攻擊類型主要就包括了Probe、R2L、U2R以及DoS。為了能夠有效的對孤立點(diǎn)挖掘算法對不同攻擊類型的檢測效果進(jìn)行分析，那么在具體的實(shí)驗(yàn)過程當(dāng)中需要從KDD99的UCI數(shù)據(jù)集中選擇5組數(shù)據(jù)來作為實(shí)驗(yàn)的樣本，其中4組分別就是4種不同攻擊類別的單個(gè)攻擊實(shí)驗(yàn)，而最后一組則是混合了4種攻擊類型的實(shí)驗(yàn)，在每一組實(shí)驗(yàn)樣本當(dāng)中有5 000個(gè)入侵記錄和10 000個(gè)正常記錄。在KDD99的UCI數(shù)據(jù)集中并不是每一個(gè)數(shù)據(jù)屬性對實(shí)驗(yàn)都有比較大的幫助，在經(jīng)過了相關(guān)的專家和學(xué)者分析之后可以發(fā)現(xiàn)，其中只有13中屬性對實(shí)驗(yàn)比較的重要，在這些屬性當(dāng)中包括了數(shù)值型和符號型。在實(shí)際的實(shí)驗(yàn)過程當(dāng)中，可以根據(jù)實(shí)際情況對閾值參數(shù)分別設(shè)為6、8、9、10，和11，窗口的滑動(dòng)單位長度為10，窗口的寬度為1 000，具體的實(shí)驗(yàn)結(jié)果見表1。

從表中能夠比較清楚的發(fā)現(xiàn)，對于Probe、DoS這兩種入侵攻擊類型來說，孤立點(diǎn)挖掘算法都取得了比較好的檢測結(jié)果，但是對R2L、U2R來說檢測的效果卻不是很好，這其實(shí)和現(xiàn)實(shí)基本是一樣的。R2L、U2R攻擊在實(shí)際的入侵攻擊當(dāng)中種類比較的多，而且很多U2R在攻擊的過程當(dāng)中都是偽裝成合法的用戶進(jìn)行攻擊，這樣就造成了U2R的數(shù)據(jù)包和正常的數(shù)據(jù)包比較相似，那么在進(jìn)行算法檢測的時(shí)候就會有一定的難度。雖然對R2L、U2R的檢測率不高，但是如果和其他的檢測方法進(jìn)行比較的話，就能夠發(fā)現(xiàn)這種檢測方法的優(yōu)點(diǎn)。

2.2 對自適應(yīng)的入侵檢測系統(tǒng)進(jìn)行相關(guān)的實(shí)驗(yàn)分析

在對自適應(yīng)的入侵檢測系統(tǒng)進(jìn)行相關(guān)的實(shí)驗(yàn)我們主要采用了IDS Snort來作為相關(guān)的實(shí)驗(yàn)平臺，而在實(shí)際的測試過程當(dāng)中則主要是通過IDS Snort的模擬攻擊工具來完成的。IDS Snort其實(shí)就是一個(gè)比較常用的基于誤用檢測的入侵檢測系統(tǒng)，這種入侵檢測系統(tǒng)具有比較好的擴(kuò)展性以及開源輕量級，在進(jìn)行實(shí)驗(yàn)之前，需要把關(guān)聯(lián)分析模塊以及孤立點(diǎn)挖掘模塊當(dāng)成是智能檢測的模塊通過插件的方式嵌入到IDS Snort平臺當(dāng)中，這樣IDS Snort平臺就能夠?qū)δ切┪粗墓ぞ哌M(jìn)行檢測。在試驗(yàn)的過程當(dāng)中需要對日志記錄通過特征提取器來進(jìn)行分析，在新的系統(tǒng)當(dāng)中能夠產(chǎn)生關(guān)聯(lián)的規(guī)則，這樣就能夠很好的證明這種系統(tǒng)能夠?qū)ξ粗艉鸵阎兎N的攻擊進(jìn)行檢測。

3 結(jié) 語

基于孤立點(diǎn)檢測的自適應(yīng)的算法在入侵檢測技術(shù)當(dāng)中的應(yīng)用具有很多的優(yōu)點(diǎn)，它能夠有效的檢測出那些未知的攻擊以及已知變種的攻擊，能夠更好的對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的保護(hù)。經(jīng)過相關(guān)的實(shí)驗(yàn)之后可以發(fā)現(xiàn)，基于孤立點(diǎn)檢測的自適應(yīng)入侵檢測技術(shù)所檢測出的數(shù)據(jù)報(bào)告非常的準(zhǔn)確，這樣入侵檢測服務(wù)的質(zhì)量也能夠得到很大程度的提高。

參考文獻(xiàn)：

[1] 李珺.基于孤立點(diǎn)挖掘的入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].信息安全與技術(shù)，2012，（7）.

[2] 景波，劉瑩，黃兵.基于孤立點(diǎn)檢測的工作流研究[J].計(jì)算機(jī)工程，2008，（22）.

[3] 黃斌，史亮，姜青山，等.基于孤立點(diǎn)挖掘的入侵檢測技術(shù)[J].計(jì)算機(jī)工程，2008，（3）.

[4] 孟浩.孤立點(diǎn)挖掘技術(shù)在入侵檢測中的應(yīng)用研究[D].大連：大連海事大學(xué)，2007.

[5] 吳楠楠.孤立點(diǎn)挖掘技術(shù)在異常檢測中的應(yīng)用研究[D].廈門：廈門大學(xué)，2007.

[6] 楊程程，黃斌.一種基于孤立點(diǎn)挖掘的入侵檢測技術(shù)[J].現(xiàn)代電子技術(shù)，2010，（11）.

[7] 劉積芬.網(wǎng)絡(luò)入侵檢測關(guān)鍵技術(shù)研究[D].上海：東華大學(xué)，2013.endprint

2 實(shí)驗(yàn)及結(jié)果分析

2.1 在異常檢測當(dāng)中采用孤立點(diǎn)數(shù)據(jù)挖掘算法的相關(guān)實(shí)

驗(yàn)分析

在進(jìn)行這個(gè)實(shí)驗(yàn)的時(shí)候主要采用的就是KDD99的UCI數(shù)據(jù)集來對孤立點(diǎn)挖掘算法的有效性進(jìn)行驗(yàn)證。在KDD99的UCI數(shù)據(jù)集當(dāng)中每一項(xiàng)記錄都是通過41個(gè)連續(xù)或者是離散的屬性來進(jìn)行描述的，比如協(xié)議的類型、持續(xù)的時(shí)間等，同時(shí)對于它所屬的哪種類型也有具體的標(biāo)注，入侵的攻擊類型主要就包括了Probe、R2L、U2R以及DoS。為了能夠有效的對孤立點(diǎn)挖掘算法對不同攻擊類型的檢測效果進(jìn)行分析，那么在具體的實(shí)驗(yàn)過程當(dāng)中需要從KDD99的UCI數(shù)據(jù)集中選擇5組數(shù)據(jù)來作為實(shí)驗(yàn)的樣本，其中4組分別就是4種不同攻擊類別的單個(gè)攻擊實(shí)驗(yàn)，而最后一組則是混合了4種攻擊類型的實(shí)驗(yàn)，在每一組實(shí)驗(yàn)樣本當(dāng)中有5 000個(gè)入侵記錄和10 000個(gè)正常記錄。在KDD99的UCI數(shù)據(jù)集中并不是每一個(gè)數(shù)據(jù)屬性對實(shí)驗(yàn)都有比較大的幫助，在經(jīng)過了相關(guān)的專家和學(xué)者分析之后可以發(fā)現(xiàn)，其中只有13中屬性對實(shí)驗(yàn)比較的重要，在這些屬性當(dāng)中包括了數(shù)值型和符號型。在實(shí)際的實(shí)驗(yàn)過程當(dāng)中，可以根據(jù)實(shí)際情況對閾值參數(shù)分別設(shè)為6、8、9、10，和11，窗口的滑動(dòng)單位長度為10，窗口的寬度為1 000，具體的實(shí)驗(yàn)結(jié)果見表1。

從表中能夠比較清楚的發(fā)現(xiàn)，對于Probe、DoS這兩種入侵攻擊類型來說，孤立點(diǎn)挖掘算法都取得了比較好的檢測結(jié)果，但是對R2L、U2R來說檢測的效果卻不是很好，這其實(shí)和現(xiàn)實(shí)基本是一樣的。R2L、U2R攻擊在實(shí)際的入侵攻擊當(dāng)中種類比較的多，而且很多U2R在攻擊的過程當(dāng)中都是偽裝成合法的用戶進(jìn)行攻擊，這樣就造成了U2R的數(shù)據(jù)包和正常的數(shù)據(jù)包比較相似，那么在進(jìn)行算法檢測的時(shí)候就會有一定的難度。雖然對R2L、U2R的檢測率不高，但是如果和其他的檢測方法進(jìn)行比較的話，就能夠發(fā)現(xiàn)這種檢測方法的優(yōu)點(diǎn)。

2.2 對自適應(yīng)的入侵檢測系統(tǒng)進(jìn)行相關(guān)的實(shí)驗(yàn)分析

在對自適應(yīng)的入侵檢測系統(tǒng)進(jìn)行相關(guān)的實(shí)驗(yàn)我們主要采用了IDS Snort來作為相關(guān)的實(shí)驗(yàn)平臺，而在實(shí)際的測試過程當(dāng)中則主要是通過IDS Snort的模擬攻擊工具來完成的。IDS Snort其實(shí)就是一個(gè)比較常用的基于誤用檢測的入侵檢測系統(tǒng)，這種入侵檢測系統(tǒng)具有比較好的擴(kuò)展性以及開源輕量級，在進(jìn)行實(shí)驗(yàn)之前，需要把關(guān)聯(lián)分析模塊以及孤立點(diǎn)挖掘模塊當(dāng)成是智能檢測的模塊通過插件的方式嵌入到IDS Snort平臺當(dāng)中，這樣IDS Snort平臺就能夠?qū)δ切┪粗墓ぞ哌M(jìn)行檢測。在試驗(yàn)的過程當(dāng)中需要對日志記錄通過特征提取器來進(jìn)行分析，在新的系統(tǒng)當(dāng)中能夠產(chǎn)生關(guān)聯(lián)的規(guī)則，這樣就能夠很好的證明這種系統(tǒng)能夠?qū)ξ粗艉鸵阎兎N的攻擊進(jìn)行檢測。

3 結(jié) 語

基于孤立點(diǎn)檢測的自適應(yīng)的算法在入侵檢測技術(shù)當(dāng)中的應(yīng)用具有很多的優(yōu)點(diǎn)，它能夠有效的檢測出那些未知的攻擊以及已知變種的攻擊，能夠更好的對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的保護(hù)。經(jīng)過相關(guān)的實(shí)驗(yàn)之后可以發(fā)現(xiàn)，基于孤立點(diǎn)檢測的自適應(yīng)入侵檢測技術(shù)所檢測出的數(shù)據(jù)報(bào)告非常的準(zhǔn)確，這樣入侵檢測服務(wù)的質(zhì)量也能夠得到很大程度的提高。

參考文獻(xiàn)：

[1] 李珺.基于孤立點(diǎn)挖掘的入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].信息安全與技術(shù)，2012，（7）.

[2] 景波，劉瑩，黃兵.基于孤立點(diǎn)檢測的工作流研究[J].計(jì)算機(jī)工程，2008，（22）.

[3] 黃斌，史亮，姜青山，等.基于孤立點(diǎn)挖掘的入侵檢測技術(shù)[J].計(jì)算機(jī)工程，2008，（3）.

[4] 孟浩.孤立點(diǎn)挖掘技術(shù)在入侵檢測中的應(yīng)用研究[D].大連：大連海事大學(xué)，2007.

[5] 吳楠楠.孤立點(diǎn)挖掘技術(shù)在異常檢測中的應(yīng)用研究[D].廈門：廈門大學(xué)，2007.

[6] 楊程程，黃斌.一種基于孤立點(diǎn)挖掘的入侵檢測技術(shù)[J].現(xiàn)代電子技術(shù)，2010，（11）.

[7] 劉積芬.網(wǎng)絡(luò)入侵檢測關(guān)鍵技術(shù)研究[D].上海：東華大學(xué)，2013.endprint