模式识别方法在入侵检测中的应用 姜楠 天津大学计算机科学与技术学院,天津 摘要将模式识别方法应用到入侵检测领域,用以区分正常和异常的用户或主机行为。采用 作为实验数据集,通过计算信息增益,从原始数据中选取对分类结果影响较大的特征属性再 分别选取两种带监督的模式识别方法支持向量机和多层神经网络以及两种不带监督的 聚类方法一和一进行实验。实验结果表明,上述方法在入侵检刚领域中具有很好 的应用前景。 关键词模式识别入侵检测支持向量机聚类 盯,,洲, 『二叩叩,卿 ,比 ,卯一,,少 叱一呷 ,而 厕 人侵监测系统在信息安全领域具有重要的应用价转化为大约百万条记录。每条记录包含个字段,其 值。人侵检测系统需要以较高的检测率和较低的误报率中第到第字段为特征属性。特征属性描述网络会 区分正常和异常的用户或主机行为。从某种意义上讲,话信息,包括连接时间、端口、源地址、目的地 入侵检测问题可以看作是一个分类问题,因此笔者将模址等。第字段为标记字段。每条记录都被标记为正常 式识别中的分类和聚类方法应用到人侵检测领域。并且或者是以下四种特定类型的异常行为之一 在应用中基于以下三个直观假设正常和异常行为拒绝服务攻击非授权远程访问— 具有较大差异属于同一种类型的异常行为有较大的非授权使用本地超级—用户特权扫描—攻 相似性某种特定的异常行为在不同的环境中可能击。— 通过修改参数而产生很大变化。同时选取模式识别中两在实验中,加人了两种新的标记取代原始标记。 种带监督的分类方法支持向量机和多层神经网二元标记如果一条记录是异常行为,标记为如 络,训练它们识别正常行为和异常行为以及识别果一条记录是正常行为,标记为一。异常行为类型标 每种不同的异常行为。由于在实际的应用中,通常没有记根据异常行为类型标记数据集正常一, 标识好的训练数据,不能直接使用带监督的方法,因此,,,。 选取两种不带监督的聚类方法一和一特征属性的选取 ,作为带监督方法的有效补充。由于记录中有些特征属性与分类结果无关,在分类 实验数据过程中采用这些特征属性将增加时间复杂度,同时很可 本文采用仃实验室在仿真环境下获取的能降低检测率。因此,为获得更高效的分类和聚类,利用 数据集,记录个星期内的原始网络数据包,并信息增益的方法,选取对分类结果影响较大的特征属 《电子技术应用》年第期次迎仃灼《电子技术应用〔兀旧年合仃光直 ©1994-2010ChinaAcademicJournalElectronicPublishingHouse.Allrightsreserved.http://www.cnki.net 性。具体方法如下高训练效率的同时还有效地提高了分类准确率。针对扫 计算具有个不同值的标记字段的嫡描以及攻击,支持向量机能够达到的 分类率,而和攻击也有接近的分类率。此 万二一,‘,,‘ 艺,, 外通过分析支持向量能够总结出区分各种异常行为 。 计算标记字段对每个特征属性的条件嫡的最有效特征属性从协议类型特征属性可以发 现,扫描攻击倾向于使用协议从几服务类型特 万一二一,、,‘、,‘、 艺艺征属性可以发现,扫描攻击经常访问服务从 , 计算对每个耳的信息增益几目的字节特征属性可以发现探测攻击传输较少的字 , 二一节数从登陆特征属性可以发现和攻击发 , 较大的‘值,表示耳对分类的贡献较大。实验生在登陆之后从坛数目特征属性可以发现被探 。 中采取保守估计,设定信息增益的阑值为,即选取信测攻击的服务器倾向于初始化更多的连接数 息增益大于的特征属性用于实验。最终,针对标多层神经网络 , 记,共选取了个特征属性而针对标记,选取了一个多层的神经网络由一定数目的节点组成所有 、。 个特征属性。节点被分成输人层输出层和若干个隐藏层不同层中 。, 带监督的方法的节点通过不同权重的链接关联起来实验中将选取 , ,的属的人通过基于下反 在所有带监督的模式识别方法中选取具有广泛应特征性值作为输梯度降的向传 ,。 用的支持向量机和多层神经网络方法,训练它们识别正播算法迭代计算权重值直至达到规定的迭代次数 ,。 常行为和异常行为以及识别不同类型的异常行为。实验中使用原始个特征属性的数据进行实验 对加人标记的数据集,统计不同隐藏节点数目的神 支持向,机 。, 作为较优秀的线性分类器之一,支持向量机的重要经网络的分类率对加入标记的数据集统计个隐 。 特性是分类器只与支持向量的数目相关,这些支持向量藏节点的神经网络给出的分类结果具体参数设置如下 ,,《。 有助于分析和了解最有效划分的不同类别的特征属性输人节点数输出节点数或迭代次数分类 。 的值。与此同时,支持向量机还支持核函数,在结果如表所示当隐藏节点数目为时可以达到较优 , 不增加计算量的前提下将原特征属性空间投影到高维的分类率继续增加隐藏节点的数目不会进一步