陳猛

摘 要：本文提出了一種集成基于EP的分類器用于數(shù)據(jù)流入侵檢測的模型EEPCDS（Ensemble of EP-based Classifiers on Data Stream）。該模型選擇滑動窗口中的多個時間段數(shù)據(jù)來生成多個EP分類器，并且通過加權(quán)投票表決對未知樣本進(jìn)行分類，檢測入侵行為。EEPCDS能適應(yīng)數(shù)據(jù)流環(huán)境下的概念漂移，并且能實現(xiàn)較好的目標(biāo)類召回率和精度的平衡，以及較高的分類準(zhǔn)確率。

關(guān)鍵詞：入侵檢測;EP;數(shù)據(jù)流

中圖分類號：TP311.13 文獻(xiàn)標(biāo)識碼：A 文章編號：1003-5168（2019）19-0011-02

Abstract： This paper proposed a new approach， called EEPCDS （Ensemble of EP-based Classifiers on Data Stream）， for intrusion detection on Data Stream. EEPCDS constructs fixed number of EP-based Classifiers from different chunks， and integrated these classifiers for intrusion detection. EEPCDS not only has a high accuracy， but also achieves a good balance of recall and precision.

Keywords： intrusion detection;EP;data stream

1 研究背景

入侵檢測是信息安全中研究較多的領(lǐng)域，其實質(zhì)上是分類問題，分類出正常數(shù)據(jù)或異常數(shù)據(jù)，進(jìn)而進(jìn)行不同處理，保護(hù)系統(tǒng)免受攻擊。

數(shù)據(jù)流環(huán)境下存在概念漂移[1]，而且由于數(shù)據(jù)流動到達(dá)，因此，到達(dá)速度快且數(shù)據(jù)量過于巨大，難以全部存儲。找到最能反映當(dāng)前數(shù)據(jù)分布的足夠數(shù)據(jù)，訓(xùn)練出分類模型，對待分類數(shù)據(jù)快速準(zhǔn)確地識別出是否異常，是筆者提出的算法所要解決的難點問題。

本文提出的算法模型是集成基于EP的分類器用于數(shù)據(jù)流入侵檢測。該模型選擇滑動窗口中的多個時間段數(shù)據(jù)來生成多個EP分類器，并且通過加權(quán)投票表決對未知樣本進(jìn)行分類，檢測入侵行為。

2 入侵檢測的性能評價

入侵檢測問題中，筆者把數(shù)據(jù)區(qū)分為攻擊類和非攻擊類2種。對于入侵檢測性能，不能僅僅考慮分類準(zhǔn)確率，更要關(guān)注攻擊類數(shù)據(jù)的分類情況。為此，引入召回率（[r]）、精度（[p]）2個概念。

（1）

（2）

其中，[pos]是檢驗數(shù)據(jù)集中攻擊類樣本的總數(shù);[true_pos]是被正確分類的攻擊類樣本數(shù);而[false_pos]是被錯誤地分類為攻擊類樣本的樣本數(shù)。使用[F]度量，可以使召回率和精度平衡，更好地反映出入侵檢測性能。

（3）

[其中，][λ]可設(shè)為0.5。

3 EP分類的背景知識

假設(shè)[DB]為訓(xùn)練數(shù)據(jù)集，含有[N]個樣本，分別屬于[m]個已知類[c1，c2，…，cm]。每個樣本有[s]個不同的屬性，項是屬性名和屬性值的對偶。令[I]是樣本中出現(xiàn)的項的全集，[I]的子集[X?I]稱作項集。

3.1 定義1：支持度（Support）和增長率（GR）

設(shè)[DB]為訓(xùn)練數(shù)據(jù)集，[D]是[DB]的子集。項集[X]在[D]上的支持度為：

（4）

其中，[countDX]是[D]中包含[X]的樣本個數(shù);當(dāng)[D]代表[ci]類樣本集合時，[supDX]則反映出[X]在[ci]類樣本出現(xiàn)的頻率。

項集[X]從[D’]到[D]的增長率[grD’→DX]定義如下：

（5）

如果[D]代表[ci]類樣本集，[D’]代表非[ci]類樣本集，那[grD’→DX]是項集[X]從非[ci]類到[ci]類支持度變化程度的度量，記作[griX]。

3.2 定義2

當(dāng)[D]和[D’]分別是[ci]類和非[ci]類樣本的集合時，給定增長率閾值[ρ>1]，如果項集[X]從[D’]到[D]的增長率[grD’→DX≥ρ]，則稱[X]是從[D’]到[D]的EP（Emerging Pattern），又稱[ci]類的EP。

EP是一個項集，其支持度（出現(xiàn)頻率）從類A（B）到類B（A）顯著地增加，因此具有很好的區(qū)分能力?；贓P的分類方法在運行期間，需要設(shè)定支持度和增長率的閾值，并挖掘滿足支持度和增長率閾值的EP。在對新樣本[S]進(jìn)行分類時，算法會聚合[S]中的[ci]類EP的區(qū)分能力，得到[S]屬于[ci]類的得分，并將[S]分到具有最高得分的類[2]。

4 EEPCDS模型設(shè)計

在本文中，筆者引入滑動窗口機制，使用最近一段時間流入的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)。假設(shè)[BW]是一個基本窗口，對應(yīng)一個數(shù)據(jù)流子序列;[SW]是一個滑動窗口，對應(yīng)一個連續(xù)的基本窗口序列，表示為[SW=BW1，…，BWi，…，BWK]，在基本窗口[BWi]訓(xùn)練得到對應(yīng)的基分類器為[Ci]，利用多個分類器集成來提高分類準(zhǔn)確率。

在入侵檢測問題中，筆者更關(guān)注攻擊類，因為將攻擊類樣本錯誤地分類為非攻擊類樣本的代價是非常巨大的。在給單個基分類器賦予權(quán)重時，考慮該基分類器將樣本分類到攻擊類的數(shù)目，數(shù)目較大，筆者就應(yīng)賦予其較高的權(quán)重。

在此，設(shè)[Fi]（1≤[i]≤5）為第[i]個基訓(xùn)分類器在練數(shù)據(jù)集上對稀有類分類的[F-]度量值。[D]是待分類樣本集，第[i]個基分類器將[D]中樣本分到稀有類的數(shù)目為[Ki]。第[i]個基分類器的權(quán)重[wi]用式（6）計算：

（6）

本文提出的集成異種分類器的數(shù)據(jù)流入侵檢測模型EEPCDS（Ensemble of by eEP-based Classifiers on Data Stream）在滑動窗口[SW]內(nèi)訓(xùn)練5個基于EP的基分類器。當(dāng)滑動到第[K+1]個基本窗口時，先讓每個基分類器[Ci]獨立地做出預(yù)測;然后，通過計算基分類器[Ci]將樣本分類到攻擊類的數(shù)量情況，根據(jù)式（6），賦予[Ci]權(quán)重，將權(quán)重最小的基分類器[Cl]移出集合[E]，在基本窗口[K+1]上學(xué)習(xí)得到分類器基于EP的分類器[CK+1]，加入集合[E]。具體算法如下。

EEPCDS（D，E）//其中[D]為[BWK+1]的數(shù)據(jù);[E]為基分類器集合。

①初始時，構(gòu)造5個基于EP的分類器。②while（滑動到基本窗口[BWK+1]）{。③for（[Ci∈E]）{計算[Ci]在[D]上的[F-]度量;//公式（3）;計算[Ci]對應(yīng)權(quán)重[wi];} ?//公式（6）。④在[D]上構(gòu)造基于EP的分類器，替換出權(quán)重最小的基分類器[Cl]。⑤}。

5 結(jié)語

本文提出了一種集成基于EP的分類器用于數(shù)據(jù)流入侵檢測的模型EEPCDS （Ensemble of EP-based Classifiers on Data Stream），模型中使用多個時間段的數(shù)據(jù)學(xué)習(xí)生成多個EP分類器，并且通過加權(quán)投票表決對未知樣本進(jìn)行分類，發(fā)現(xiàn)攻擊類數(shù)據(jù)，檢測入侵行為。EEPCDS使用滑動窗口機制適應(yīng)概念漂移的影響，并且能實現(xiàn)較好的目標(biāo)類召回率和精度平衡，以及較高的分類準(zhǔn)確率。

參考文獻(xiàn)：

[1]Widmer G， Kubat M. Learning in the presence of concept drift and hidden contexts[J]. Machine Learning，1996（1）：69-101.

[2]范明，劉孟旭，趙紅領(lǐng).一種基于基本顯露模式的分類算法[J].計算機科學(xué)，2004（11）：211-214.