梁本來(lái)，楊忠明，蔡昭權(quán)

(1.中山職業(yè)技術(shù)學(xué)院 信息工程學(xué)院，廣東 中山 528404; 2.廣東科學(xué)技術(shù)職業(yè)學(xué)院 計(jì)算機(jī)工程技術(shù)學(xué)院，廣東 珠海 519090; 3.惠州學(xué)院 科研處，廣東 惠州 516007)

一種混合入侵檢測(cè)模型

梁本來(lái)1，楊忠明2，蔡昭權(quán)3

(1.中山職業(yè)技術(shù)學(xué)院 信息工程學(xué)院，廣東 中山 528404; 2.廣東科學(xué)技術(shù)職業(yè)學(xué)院 計(jì)算機(jī)工程技術(shù)學(xué)院，廣東 珠海 519090; 3.惠州學(xué)院 科研處，廣東 惠州 516007)

為了提高入侵檢測(cè)模型的準(zhǔn)確率，提出一種基于K-均值算法、樸素貝葉斯分類(lèi)算法和反向傳播神經(jīng)網(wǎng)絡(luò)的混合入侵檢測(cè)模型;首先，采用基于分區(qū)、無(wú)監(jiān)督式聚類(lèi)分析的K-均值算法進(jìn)行數(shù)據(jù)的聚類(lèi)處理，得到易于被機(jī)器處理和學(xué)習(xí)的數(shù)據(jù)集;為了進(jìn)一步獲取必要的數(shù)據(jù)屬性，將聚類(lèi)處理的結(jié)果輸入到貝葉斯分類(lèi)器進(jìn)行分類(lèi);然后，具有較短學(xué)習(xí)周期的反向傳播神經(jīng)網(wǎng)絡(luò)負(fù)責(zé)訓(xùn)練數(shù)據(jù)分類(lèi)樣本;最后，基于KDDCUP99數(shù)據(jù)集，對(duì)混合入侵檢測(cè)模型進(jìn)行了仿真實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明，通過(guò)混合入侵檢測(cè)模型，DoS、U2R、R2L和Probe等入侵?jǐn)?shù)據(jù)被精準(zhǔn)地檢測(cè)出;相比其它入侵檢測(cè)模型，混合入侵檢測(cè)模型取得了較高的準(zhǔn)確率和召回率，以及較低的誤報(bào)率，具有一定的實(shí)用價(jià)值。

入侵檢測(cè)模型；混合方法；K-均值；樸素貝葉斯；反向傳播神經(jīng)網(wǎng)絡(luò)

0 引言

入侵檢測(cè)系統(tǒng)(intrusion detection systems，IDS)的核心是入侵檢測(cè)模型(intrusion detection model，IDM)，如何降低IDM的誤報(bào)率，提高IDM的準(zhǔn)確率是當(dāng)今IDS的研究熱點(diǎn)，也是本文的研究重點(diǎn)。

IDM主要采用誤用檢測(cè)和異常檢測(cè)兩類(lèi)方法[1]，誤用檢測(cè)采用已知的入侵方法進(jìn)行入侵行為的檢測(cè)，能夠高準(zhǔn)確率地檢測(cè)出傳統(tǒng)的入侵行為，但對(duì)于較新的入侵行為，漏檢率較高。異常檢測(cè)是利用統(tǒng)計(jì)學(xué)對(duì)網(wǎng)絡(luò)行為進(jìn)行特征描述，根據(jù)網(wǎng)絡(luò)行為的特征進(jìn)行入侵檢測(cè)，適應(yīng)性較強(qiáng)，能夠檢測(cè)出未知的攻擊行為，但該方法需要海量數(shù)據(jù)進(jìn)行建模，這在復(fù)雜的網(wǎng)絡(luò)環(huán)境中是不實(shí)用的[2]。

為了解決異常檢測(cè)方法的局限性，許多研究將數(shù)據(jù)挖掘方法引入到IDM。學(xué)習(xí)海量數(shù)據(jù)會(huì)影響分類(lèi)器的表現(xiàn)性能，包括準(zhǔn)確率。因此，使用基本方法時(shí)要求在數(shù)據(jù)分析和學(xué)習(xí)過(guò)程中保持較好的性能?，F(xiàn)有的研究中，基于決策樹(shù)(decision tree, DT)[3]和樸素貝葉斯(naive bayes, NB)[4]的模型分類(lèi)精度較高且算法模型較簡(jiǎn)單，但由于單一的分類(lèi)器技術(shù)已經(jīng)很難取得突破，近年來(lái)的研究?jī)A向于使用混合分類(lèi)方法[5]。王輝等提出一種改進(jìn)樸素貝葉斯分類(lèi)算法(Improved NB)[6]，該算法在樸素貝葉斯模型的基礎(chǔ)上引入屬性加值算法，通過(guò)對(duì)分類(lèi)參數(shù)的調(diào)控來(lái)簡(jiǎn)化分類(lèi)數(shù)據(jù)的復(fù)雜度。該算法的準(zhǔn)確率得到了一定提升，但該算法的仿真實(shí)驗(yàn)環(huán)境較為簡(jiǎn)單，面對(duì)復(fù)雜多變的網(wǎng)絡(luò)數(shù)據(jù)，如何更合理的分類(lèi)是該算法改進(jìn)的目標(biāo)。

姚濰等人在C4.5-NB算法的基礎(chǔ)[7]上提出基于決策樹(shù)與樸素貝葉斯分類(lèi)的入侵檢測(cè)模型H-C4.5-NB[8]，該模型以混合混分類(lèi)為前提，綜合考慮決策樹(shù)和樸素貝葉斯算法的優(yōu)勢(shì)并進(jìn)行了改進(jìn)，實(shí)驗(yàn)結(jié)果顯示H-C4.5-NB算法能夠在一定程度上降低誤報(bào)率，但該方法還有待通過(guò)有效的屬性子集提取方法進(jìn)行進(jìn)一步完善。

王輝提出一種IKMNB分類(lèi)模型[9]，該模型采用改進(jìn)的K-均值(K-means)算法對(duì)數(shù)據(jù)進(jìn)行聚類(lèi)，然后運(yùn)用貝葉斯分類(lèi)器再次分類(lèi)。通過(guò)仿真實(shí)驗(yàn)驗(yàn)證了該算法相比樸素貝葉斯提高了檢測(cè)率，降低了誤檢率，但該模型缺少同其他分類(lèi)算法的對(duì)比分析。

基于人工神經(jīng)網(wǎng)絡(luò)的模糊聚類(lèi)方法是采用模糊聚類(lèi)生成不同的訓(xùn)練子集，人工神經(jīng)網(wǎng)絡(luò)模型訓(xùn)練后制定不同的基礎(chǔ)模型[10]。基于改進(jìn)的反向傳播人工神經(jīng)網(wǎng)絡(luò)(back propagation neural network, BPNN)的入侵檢測(cè)系統(tǒng)主要用多層感知器訓(xùn)練增強(qiáng)彈性反向傳播訓(xùn)練算法來(lái)檢測(cè)入侵[11]。實(shí)驗(yàn)結(jié)果表明系統(tǒng)的準(zhǔn)確率、存儲(chǔ)和時(shí)間都比較好，已經(jīng)實(shí)現(xiàn)的系統(tǒng)具備檢測(cè)率高達(dá)94.7%的分類(lèi)記錄。

目前國(guó)內(nèi)基于神經(jīng)網(wǎng)絡(luò)的綜合分類(lèi)IDM的研究并不是太多，其中鄔斌亮提出一種融合K-均值聚類(lèi)、FNN、SVM的網(wǎng)絡(luò)入侵檢測(cè)模型(后面簡(jiǎn)稱為KFS模型)[12]，該模型利用K均值聚類(lèi)將原始訓(xùn)練集分類(lèi)，然后采用模糊神經(jīng)網(wǎng)絡(luò)訓(xùn)練對(duì)各訓(xùn)練子集進(jìn)行訓(xùn)練，最后采用徑向向量機(jī)檢測(cè)是否有入侵行為。通過(guò)KDD CUP99數(shù)據(jù)集的實(shí)驗(yàn)驗(yàn)證，該模型取得了更高的準(zhǔn)確率。

本文基于K-均值算法、樸素貝葉斯分類(lèi)算法和反向傳播神經(jīng)網(wǎng)絡(luò)，提出一種混合入侵檢測(cè)模型K-NB-BP(K-means，Naive Bayes and Back-Propagation neural network)。首先，采用基于分區(qū)、無(wú)監(jiān)督式聚類(lèi)分析的K-均值算法進(jìn)行數(shù)據(jù)的聚類(lèi)處理，得到易于被機(jī)器算法處理的數(shù)據(jù)集。同時(shí)，為了獲取必要的數(shù)據(jù)屬性，將聚類(lèi)處理的結(jié)果輸入到貝葉斯分類(lèi)器進(jìn)行分類(lèi)，得到分類(lèi)后的數(shù)據(jù)樣本。然后，具有較短學(xué)習(xí)周期的反向傳播神經(jīng)網(wǎng)絡(luò)負(fù)責(zé)訓(xùn)練樣本集?；贙DD CUP99數(shù)據(jù)集的仿真實(shí)驗(yàn)結(jié)果表明，通過(guò)貝葉斯分類(lèi)器，DoS、U2R、R2L和Probe等入侵?jǐn)?shù)據(jù)被精準(zhǔn)地檢測(cè)出。相比Improved NB、H-C4.5-NB、K-NB-BP和KFS模型，K-NB-BP模型取得了較高的準(zhǔn)確率和較低的錯(cuò)誤率，且實(shí)驗(yàn)樣本的召回率較高，具有一定的實(shí)際應(yīng)用價(jià)值。

1 K-NB-BP模型的流程

本文提出的混合入侵檢測(cè)模型K-NB-BP由3個(gè)主要的分類(lèi)器和聚類(lèi)方法實(shí)現(xiàn)。聚類(lèi)是基于目標(biāo)的相似度將目標(biāo)進(jìn)行分組。K-均值聚類(lèi)是一種分區(qū)的非監(jiān)督學(xué)習(xí)的方法。它將數(shù)據(jù)視為在空間中有一個(gè)位置的物體，且是一個(gè)迭代算法，這一步用于聚類(lèi)或者組合大數(shù)據(jù)集中的數(shù)據(jù)。因K-均值聚類(lèi)的結(jié)果比較粗超，采用Naive Bayes分類(lèi)器獲取必要的數(shù)據(jù)屬性，這實(shí)際上是一種監(jiān)督策略。在學(xué)習(xí)階段，采用BPNN訓(xùn)練分類(lèi)后的數(shù)據(jù)樣本集，生成特征向量。

圖1 K-NB-BP模型的流程

Step1：采用KDD CUP99數(shù)據(jù)集作為數(shù)據(jù)樣本，系統(tǒng)分析了數(shù)據(jù)集，并從數(shù)據(jù)集中重新獲得一些關(guān)于訓(xùn)練數(shù)據(jù)集的信息，例如訓(xùn)練集的實(shí)際數(shù)量、種類(lèi)的數(shù)量、屬性列表和種類(lèi)分布。

Step2：數(shù)據(jù)集由無(wú)監(jiān)督分類(lèi)分析的K-均值算法進(jìn)行聚類(lèi)處理，K均值聚類(lèi)算法是根據(jù)種類(lèi)的數(shù)量使輸入數(shù)據(jù)集聚類(lèi)。之所以采用K均值聚類(lèi)算法，是因?yàn)樵谡w的學(xué)習(xí)方法中，分組的數(shù)據(jù)比較容易被機(jī)器學(xué)習(xí)算法處理，不參與識(shí)別目標(biāo)類(lèi)的數(shù)據(jù)屬性將被去除。

Step3：為了識(shí)別出理想類(lèi)，采用Naive Bayes作為分類(lèi)器，獲取必要的數(shù)據(jù)屬性，去除重復(fù)的數(shù)據(jù)屬性，生成分類(lèi)后的數(shù)據(jù)樣本。

Step4：因BPNN具有較短的學(xué)習(xí)周期，被用于訓(xùn)練Naive Bayes分類(lèi)器輸出的分類(lèi)數(shù)據(jù)樣本集，生成特征向量。

2 K-NB-BP模型的理論分析

2.1 K-均值聚類(lèi)階段

K-NB-BP模型首先采用基于分區(qū)、無(wú)監(jiān)督式聚類(lèi)分析的K-均值算法進(jìn)行數(shù)據(jù)的聚類(lèi)處理。假設(shè)入侵行為的類(lèi)型數(shù)為k，則將包含x個(gè)數(shù)據(jù)的數(shù)據(jù)集劃分為k個(gè)簇，K-均值算法的處理結(jié)果是使得同一簇內(nèi)數(shù)據(jù)元素相似，而不同簇間數(shù)據(jù)元素相異，K-均值算法的詳細(xì)執(zhí)行過(guò)程參見(jiàn)算法1。

本文使用平方誤差作為目標(biāo)函數(shù)，用以表達(dá)聚類(lèi)效果，選擇歐幾里德距離作為距離的度量，目標(biāo)函數(shù)定義如下：

(1)

因本文仿真實(shí)驗(yàn)采用KDDCUP99的數(shù)據(jù)集，該數(shù)據(jù)集包含正常數(shù)據(jù)和DoS，U2R，R2L和Probe四種類(lèi)型的攻擊數(shù)據(jù)，因此通過(guò)K-均值聚類(lèi)處理，訓(xùn)練集將被劃分為五個(gè)數(shù)據(jù)子集，其中四個(gè)入侵?jǐn)?shù)據(jù)子集，一個(gè)正常數(shù)據(jù)子集。

2.2 貝葉斯分類(lèi)階段

K-均值算法的聚類(lèi)較為簡(jiǎn)單高效，但聚類(lèi)結(jié)果較為粗糙，容易造成數(shù)據(jù)分類(lèi)的缺損，利用樸素貝葉斯分類(lèi)可以進(jìn)行修補(bǔ)。

假設(shè)X={X1,X2,...,Xk}，其中Xi是K-均值聚類(lèi)處理后的數(shù)據(jù)集，C={C1,C2,...,Ch}為類(lèi)別屬性。則有如下貝葉斯公式：

(2)

局部貝葉斯網(wǎng)絡(luò)的概率公式為：

(3)

令P(Ci|xij)=max{P(Ci|xij)}，其中i=(1,2,...,h)，xij為Xi數(shù)據(jù)集中的第j個(gè)數(shù)據(jù)。修復(fù)xij，將數(shù)據(jù)xij重新分類(lèi)到Ci中。

2.3 反向傳播神經(jīng)網(wǎng)絡(luò)階段

在K-均值聚類(lèi)和NaiveBayes分類(lèi)后，輸入數(shù)據(jù)使用BPNN訓(xùn)練生成必要的特征向量S={Y1,Y2,...,Yk}，其中Yi表示經(jīng)過(guò)樸素貝葉斯修正后第i個(gè)數(shù)據(jù)集，假設(shè)經(jīng)過(guò)BPNN算法訓(xùn)練之后，數(shù)據(jù)的屬性數(shù)目減少到l，Yi={a1,a2,...,al}，在經(jīng)過(guò)第i次BPNN處理之后將會(huì)得到數(shù)值ai。

為了產(chǎn)生更好的結(jié)果，在屬性列表中添加友元參數(shù)μij，其公式定義如下：

(4)

3 K-NB-BP方法的仿真描述

實(shí)驗(yàn)采用Matlab 2014b進(jìn)行仿真，實(shí)驗(yàn)數(shù)據(jù)采用KDD CUP99數(shù)據(jù)集，在預(yù)處理階段，用到以下變量：

實(shí)例的個(gè)數(shù)In；

屬性的個(gè)數(shù)An；

分類(lèi)標(biāo)簽的個(gè)數(shù)Cn；

數(shù)據(jù)集Dm,n；

3.1 K-均值聚類(lèi)階段

輸入：In，An,Cn,Dm,n；

輸出：新的數(shù)據(jù)集NewDm,n

方法步驟如下：

從Dm,n中讀取所有實(shí)例

For 每個(gè)實(shí)例In

[索引，標(biāo)簽]=K-均值(Dm,n,Cn, 歐式距離)

End for

用新索引號(hào)創(chuàng)建新的數(shù)組和標(biāo)簽類(lèi)

NewDm,n

3.2 貝葉斯分類(lèi)階段

該過(guò)程提供了聚類(lèi)數(shù)據(jù)的提取結(jié)果。

輸入：NewDm,n，迭代次數(shù)N

輸出：分類(lèi)后的數(shù)據(jù)集Pm,n

方法步驟如下：

Forj= 0 toAn

A[j] =unique (NewDm,n)//去除類(lèi)似的數(shù)據(jù)

End for

Fori=0 toN

Fork=0 toAn

If A[k].length( )=1

Pm,n= removecolumn[k] //去除重復(fù)的數(shù)據(jù)屬性

End if

End for

End for

Model=NaiveBayes.fit(Dm,n, NewDm,n[:,N])/創(chuàng)建一個(gè)樸素貝葉斯分類(lèi)器對(duì)象

Pm,n= Model. predict(NewDm,n)//對(duì)待判樣本進(jìn)行分類(lèi)

返回Pm,n

3.3 反向傳播神經(jīng)網(wǎng)絡(luò)階段

BPNN被用于訓(xùn)練Naive Bayes分類(lèi)器輸出的數(shù)據(jù)樣本集，生成特征向量。

輸入：分類(lèi)后的數(shù)據(jù)集Pm,n，仿真時(shí)間周期Tm,n

輸出：ClassList[.]

方法步驟如下：

P’n,m= transpose(Pm,n)//倒置數(shù)據(jù)集

Net = Newff (P’n,m)//建立網(wǎng)絡(luò)對(duì)象，初始化神經(jīng)網(wǎng)絡(luò)

Net = train (net,I,O)//進(jìn)行網(wǎng)絡(luò)訓(xùn)練

ClassList [ ]= sim(net,Tm,n)//網(wǎng)絡(luò)預(yù)測(cè)輸出

4 仿真實(shí)驗(yàn)結(jié)果分析

4.1 仿真實(shí)驗(yàn)環(huán)境及數(shù)據(jù)

實(shí)驗(yàn)采用Matlab 2014b進(jìn)行仿真，服務(wù)器采用HP ProLiant ML10，內(nèi)存8 G，3 100 MHz主頻四核CPU，WIN 7操作系統(tǒng)。

實(shí)驗(yàn)數(shù)據(jù)采用KDD CUP99數(shù)據(jù)集，該數(shù)據(jù)集是對(duì)MIT Lincoln實(shí)驗(yàn)室1998年提出的DARPA入侵檢測(cè)評(píng)估數(shù)據(jù)集的擴(kuò)充。本實(shí)驗(yàn)使用約20%的kddcup.data.gz數(shù)據(jù)子集用作訓(xùn)練集，測(cè)試數(shù)據(jù)使用corrected.gz。數(shù)據(jù)集中連接記錄包含22種攻擊類(lèi)型，所有攻擊行為基本上被分為4大類(lèi)：DoS，U2R，R2L和Probe，具體實(shí)驗(yàn)數(shù)據(jù)集描述如表1所示。

表1 實(shí)驗(yàn)所用數(shù)據(jù)集

4.2 實(shí)驗(yàn)評(píng)估公式

AN：輸入樣本的總數(shù)

DN：入侵樣本的總數(shù)

RDN：正確檢測(cè)到的入侵樣本總數(shù)

RAN：正確檢測(cè)到的樣本總數(shù)(包含入侵樣本和非入侵樣本)

EN：被誤報(bào)為入侵樣本的總數(shù)

ZN：正常樣本的總數(shù)

定義如下實(shí)驗(yàn)評(píng)估公式：

召回率=(RDN/DN)*100%

(5)

準(zhǔn)確率=(RAN/AN) *100%

(6)

誤報(bào)率= (EN/ ZN) *100%

(7)

4.3 準(zhǔn)確率與誤報(bào)率的實(shí)驗(yàn)對(duì)比

將本文提出的混合入侵檢測(cè)模型K-NB-BP與Improved NB、H-C4.5-NB、 IKMNB和KFS四種入侵檢測(cè)模型的準(zhǔn)確率和誤報(bào)率進(jìn)行了詳細(xì)實(shí)驗(yàn)對(duì)比，具體結(jié)果如圖2、圖3所示。

圖2 準(zhǔn)確率的對(duì)比

準(zhǔn)確率的對(duì)比如圖2所示，X軸數(shù)值為以實(shí)驗(yàn)樣本數(shù)量的千分之一，Y軸數(shù)值為準(zhǔn)確率的一百倍。總體上，隨著數(shù)據(jù)樣本數(shù)量的增加，5種入侵檢測(cè)模型的準(zhǔn)確率均呈上升趨勢(shì)。具體分析實(shí)驗(yàn)結(jié)果如下：

1)實(shí)驗(yàn)樣本數(shù)量從50×103增加到到100×103時(shí)，5種入侵檢測(cè)模型的準(zhǔn)確率相差不大。

2)實(shí)驗(yàn)樣本數(shù)量從100×103增加到200×103時(shí)，K-NB-BP和KFS模型的準(zhǔn)確率幾乎相同，但相比其余模型已經(jīng)有了較為明顯的優(yōu)勢(shì)。

3)數(shù)據(jù)樣本數(shù)量從200×103增加到500×103時(shí)，K-NB-BP、KFS和 IKMNB模型的準(zhǔn)確率上升趨勢(shì)較為明顯，但K-NB-BP模型的準(zhǔn)確率一直都是最高的。

4)實(shí)驗(yàn)樣本數(shù)量從500×103增加到600×103時(shí)，5種模型的準(zhǔn)確率都趨于穩(wěn)定，但K-NB-BP模型的準(zhǔn)確率相比其余4種模型優(yōu)勢(shì)明顯。

圖3 誤報(bào)率的對(duì)比

誤報(bào)率的對(duì)比如圖3所示，X軸數(shù)值為實(shí)驗(yàn)樣本的數(shù)量的千分之一，Y軸數(shù)值為誤報(bào)率的一百倍?？傮w上，隨著數(shù)據(jù)樣本數(shù)量的增加，5種入侵檢測(cè)模型的誤報(bào)率均呈下降趨勢(shì)，但K-NB-BP模型的誤報(bào)率一直處于相對(duì)較低的位置。具體分析實(shí)驗(yàn)結(jié)果如下：

1)實(shí)驗(yàn)樣本數(shù)量從50×103增加到到100×103時(shí)，5種模型的誤報(bào)率相差不大，但K-NB-BP模型的誤報(bào)率相對(duì)較低。

2)實(shí)驗(yàn)樣本數(shù)量從100×103增加到400×103時(shí)，K-NB-BP模型誤報(bào)率較低的優(yōu)勢(shì)逐漸明顯。

3)實(shí)驗(yàn)樣本數(shù)量從400×103增加到600×103時(shí)，5種入侵檢測(cè)模型的誤報(bào)率都趨于穩(wěn)定，但K-NB-BP模型的誤報(bào)率一直處于最低的位置。

4.4 不同攻擊類(lèi)型樣本的召回率的對(duì)比

為了更全面地進(jìn)行評(píng)估K-NB-BP模型的性能，同Improved NB、H-C4.5-NB、 IKMNB和KFS 4種入侵檢測(cè)模型進(jìn)行數(shù)據(jù)樣本召回率的實(shí)驗(yàn)對(duì)比，實(shí)驗(yàn)結(jié)果如圖4所示。

圖4 不同攻擊類(lèi)型數(shù)據(jù)召回率的對(duì)比

圖4中X軸表示不同的攻擊類(lèi)型，Y軸數(shù)值為樣本召回率的一百倍。具體分析實(shí)驗(yàn)結(jié)果如下：

1)對(duì)于DoS和Probe攻擊類(lèi)型，5種入侵檢測(cè)模型的樣本召回率都比較高，且相差不大，但K-NB-BP模型的樣本召回率稍占優(yōu)勢(shì)。

2)對(duì)于R2L和U2R攻擊類(lèi)型，IKMNB、KFS和K-NB-BP模型的召回率相比其余兩種入侵檢測(cè)模型優(yōu)勢(shì)明顯。其中，對(duì)于R2L攻擊類(lèi)型數(shù)據(jù)，IKMNB模型的召回率提升約30%，KFS和K-NB-BP模型的召回率提升約40%。對(duì)于U2R攻擊類(lèi)型數(shù)據(jù)，IKMNB模型的召回率提升20%，KFS和K-NB-BP模型的召回率提升約30%。但K-NB-BP模型的召回率相比IKMNB模型優(yōu)勢(shì)不明顯，而且對(duì)R2L攻擊類(lèi)型數(shù)據(jù)的召回率只有50%左右，對(duì)U2R攻擊類(lèi)型數(shù)據(jù)的召回率也只有近40%。主要原因是在KDD CUP99數(shù)據(jù)集中，R2L和U2R類(lèi)別的數(shù)據(jù)樣本本身就少，且這類(lèi)入侵在行為模式上與正常數(shù)據(jù)較為接近，這也間接反映了數(shù)據(jù)樣本的質(zhì)量對(duì)入侵檢測(cè)模型性能的影響。

5 結(jié)論

本文通過(guò)研究及改進(jìn)常見(jiàn)的入侵檢測(cè)模型，提出一種基于K-均值聚類(lèi)算法、貝葉斯分類(lèi)算法和反向傳播神經(jīng)網(wǎng)絡(luò)混合入侵檢測(cè)模型K-NB-BP。為了評(píng)估所提出入侵檢測(cè)模型的性能，采用KDD CUP99數(shù)據(jù)集作為測(cè)試數(shù)據(jù)，利用MATLAB 2014b進(jìn)行仿真，實(shí)驗(yàn)結(jié)果表明，K-NB-BP模型相比Improved NB、H-C4.5-NB、 IKMNB和KFS模型，可以取得相對(duì)較高的準(zhǔn)確率和較低的誤報(bào)率，而且不同攻擊類(lèi)型數(shù)據(jù)樣本的召回率相對(duì)較高。因此，K-NB-BP模型對(duì)于改進(jìn)現(xiàn)有的入侵檢測(cè)模型有一定的實(shí)際應(yīng)用價(jià)值。

但K-NB-BP模型仍需要從海量的數(shù)據(jù)樣本中進(jìn)行模式檢測(cè)和實(shí)時(shí)識(shí)別，這是一個(gè)很耗時(shí)的問(wèn)題。作者今后的研究重點(diǎn)是提高入侵檢測(cè)模型準(zhǔn)確率和召回率的同時(shí)降低算法的復(fù)雜度。

[1] 劉長(zhǎng)騫. K均值算法改進(jìn)及在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)仿真,2011,28(3):190-193.

[2] Om H, Kundu A, A Hybrid system for reducing the false alarm rate of anomaly intrusion detection system[A]. International Conference on Recent Advances in Information Technology[C]. 2012:131-136.

[3] Shabtai A, Fiedel Y, Kanonov U, et al. Google Android:a comprehensive security assessment[J]. IEEE Security & Privacy, 2010, 8(2):35-44.

[4] Deshmukh D H, Ghorpade T, Padiya P. Intrusion detection system by improved preprocessing methods and Naive Bayes classifier using NSL-KDD99 Dataset[A].Proceedings of the 2014 International Conference on Electronics and Communication Systems[C]．Piscataway: IEEE Press, 2014:1-7.

[5] Tsai C F, Hsu Y F, Lin C Y, et al．Intrusion detection by machine learning[R]. Expert Systems with Applications,2009, 36(10): 11994-12000.

[6] 王 輝,陳泓予,劉淑芬.基于改進(jìn)樸素貝葉斯算法的入侵檢測(cè)系統(tǒng)[J]. 計(jì)算機(jī)科學(xué), 2014,41(4):111-119.

[7] Jiang L, Li C, Wu J, et al．A combined classification algorithm based on C4.5 and NB[A]. ISICA 2008:Proceedings of the third International Symposium on Advances in Computation and Intelligence[C]. LNCV 5370．Berlin: Springer-Verlag, 2008, 5370:350-359.

[8] 姚 濰,王 娟,張勝利.基于決策樹(shù)與樸素貝葉斯分類(lèi)的入侵檢測(cè)模型[J]. 計(jì)算機(jī)應(yīng)用, 2015, 35(10):2883-2885.

[9] 王 輝,崔靜靜,劉淑芬.基于IKMNB分類(lèi)算法在入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用研究,2014,31(12):3673-3681.

[10] Wang G, Hao J X, Ma J, et al. A new approach to intrusion detection using Artificial Neural Networks and fuzzy clustering[J]. Expert Systems with Applications, 2010, 37(9): 6225-6232.

[11] Naoum R S, Abid N A, AlSultani Z N. An enhanced resilient backpropagation artificial neural network for intrusion detection system[J]. International Journal of Computer Science and Network Security, 2012,12(3):11-16.

[12] 鄔斌亮,熊 琭.融合K-均值聚類(lèi)、FNN、SVM的網(wǎng)絡(luò)入侵檢測(cè)模型[J].計(jì)算機(jī)應(yīng)用與軟件,2014,31(5):312-315.

OneMixedIntrusionDetectionModel

LiangBenlai1,YangZhongming2,CaiZhaoquan3

(1.College of Information Engineering , Zhongshan Polytechnic, Zhongshan 528404, China; 2.Computer Engineering Technical College, Guangdong Institute of Science and Technology, Zhuhai 519090, China; 3.Research Department, Huizhou University, Huizhou 516007, China)

One mixed intrusion detection model which combined with K-means algorithm, Naive Bayes algorithm and Back-Propagation neural network, was proposed to improve the accuracy of intrusion detection model. In this model, as a partition-based, unsupervised cluster analysis method, K-means method was firstly used to obtain the data sets that can be easily processed and learned by machine learning algorithm. Then, the outcomes of clustering were processed by Bayes classifier to get the essentical data attributes.. Next, filter data samples learning was implemented by Back Propagation Neural Network, which was able to learn the patterns with less number of training cycles. Finally, the mixed intrusion detection model was validated by experiments on KDD CUP99’s datasets. Attacks as DoS, U2R, R2L and Probe were detected via the mixed intrusion detection model. The simulation experiments results show that the higher accuracy rate, recall rate and lower error rate were obtained by the mixed intrusion detection model compared with other models. Furthermore, this mixed intrusion detection model also demonstrates some value of practical application.

intrusion detection model; mixed method; K-means; naive Bayes; back-propagation neural network

2017-01-24；

2017-02-19。

國(guó)家自然科學(xué)基金項(xiàng)目(61170193)；廣東省自然科學(xué)基金項(xiàng)目(S2013010013432)；中山市社會(huì)公益科技研究項(xiàng)目(2016B2142)。

梁本來(lái)(1983-)，男，山東濟(jì)寧人，碩士，講師，CCF會(huì)員(66132M),主要從事信息安全,網(wǎng)絡(luò)路由方向的研究。

楊忠明(1980-)，男，廣東茂名人，碩士，副教授，CCF會(huì)員(16038M)，主要從事信息安全方向的研究。

1671-4598(2017)04-0225-04DOI：10.16526/j.cnki.11-4762/tp

TP

A

蔡昭權(quán)(1970-)，男，廣東省陸豐人，碩士，教授，CCF會(huì)員(E2006137S)，主要從事計(jì)算機(jī)網(wǎng)絡(luò)方向的研究。