·· 通信学报 第28卷 第12期 李洋等：基于TCM-KNN和遗传算法的网络异常检测技术 ·· 第28卷第12期 通信学报 Vol.28No.12 2007年12月 JournalonCommunications December2007 基于TCM-KNN和遗传算法的网络异常检测技术 李洋1,2，方滨兴1，郭莉1，田志宏1，张永铮1，姜伟1 （1.中国科学院计算技术研究所，北京100080；2.中国科学院研究生院，北京100039） 摘要：提出了一种基于TCM-KNN的网络异常检测新方法，并采用遗传算法选择使用少量高质量的训练样本进行建模，从而有效地对入侵进行检测。大量基于著名的KDDCup1999数据集的实验表明：其相对于传统的异常检测方法在保证较高检测率的前提下，有效地降低了误报率；并且，在采用选择后的训练集优化处理后，其性能没有明显的削减，因而相对于传统方法更为适用于现实的网络应用环境。 关键词：网络安全；异常检测；TCM-KNN算法；遗传算法；样本选择 中图分类号：TP309文献标识码：A文章编号：1000-436X(2007)12-0048-05 NetworkanomalydetectionbasedonTCM-KNNandgeneticalgorithm LIYang1,2,FANGBin-xing1,GUOLi1,TIANZhi-hong1,ZHANGYong-zheng1,JIANGWei1 (1.InstituteofComputingTechnology,ChineseAcademyofSciences,Beijing100080,China;2.GraduateSchoolofChineseAcademyofSciences,Beijing100039,China) Abstract:AnetworkanomalydetectionschemebasedonTCM-KNNalgorithmwasproposed.Moreover,geneticalgorithm(GA)basedinstanceselectionwasintroducedtoboostthedetectionperformance,meanwhilereducethecomputationalcostforTCM-KNN.Aseriesofexperimentalresultsdemonstratetheproposedmethodiseffective,theinstanceselectionmechanismalsoimprovesTCM-KNNandmakesitbeagoodcandidateforanomalydetectioninpractice. Keywords:networksecurity;anomalydetection;TCM-KNNalgorithm;genericalgorithm;instanceselection 1引言 收稿日期：2007-09-22；修回日期：2007-12-03 基金项目：国家重点基础研究发展计划（“973”计划）基金资助项目（2007CB311100）FoundationItem:TheNationalBasicResearchProgramofChina(973Program)(2007CB311100) 入侵检测系统是网络安全防御体系的一个重要组成部分，它通过对网络和主机上某些关键信息进行收集分析，检测其中是否有违反安全策略的事件或攻击事件发生，并对检测到的事件发出警报。目前常用的入侵检测技术主要有两种：误用检测和异常检测[1]。误用检测是建立在使用某种模式或者特征描述方法对任何已知攻击进行表达这一理论基础上的。误用检测系统是将已知的攻击特征和系统弱点进行编码，存入知识库中，入侵检测系统（IDS）将所监视的事件与知识库中的攻击模式进行匹配，当发现有匹配时，认为有入侵发生，从而触发相应机制。这种技术的优点是可以有针对性地建立高效的入侵检测系统，误报率低；缺点是对未知的入侵活动或已知入侵活动的变异无能为力，攻击特征提取困难，需要不断更新知识库。异常检测基于已掌握了被保护对象的正常工作模式，并假定正常工作模式相对稳定，有入侵发生时，用户或系统的行为模式会发生一定程度的改变。一般方法是建立一个对应“正常活动”的系统或用户的正常轮廓，检测入侵活动时，异常检测程序产生当前的活动轮廓并同正常轮廓比较，当活动轮廓与正常轮廓发生显著偏离时即认为是入侵，从而触发相应机制。异常检测与系统相对无关，通用性较强。它最大的优点是有可能检测出以前从未出现过的攻击方法，不像误用检测那样受已知脆弱性的限制，然而其误报率过高。 网络异常检测技术在20世纪90年代末至