基于云模型的入侵检测数据划分方法

摘要

本发明提供一种基于云模型的入侵检测数据划分方法。技术方案包括5个步骤：步骤①：建立云模型数据；步骤②：计算云模型特征；步骤③：输入待检测入侵检测数据；步骤④：计算数据属性隶属度；步骤⑤：划分信号类别。本发明的有益效果：在进行入侵检测数据属性判断时，改变了以往依靠主观经验对数据的信号含义进行划分的方式，通过入侵检测数据属性隶属度的定量分析来划分信号含义；在后续的DCA异常检测中，提高了入侵检测的检测率，降低了虚警率，具备计算量小，实时性好等优点。

说明书

技术领域

本发明属于信息安全技术领域，涉及一种在网络中利用云模型来判断入侵 检测数据中危险属性从而进行信号划分的方法。

背景技术

IDS(Intrusion Detection System,入侵检测系统)是人们试图解决网络入侵 的一个途径，研究人员开发出不同的IDS来识别和阻止入侵事件的发生。目前， 有些IDS的原理是通过模拟人工免疫系统的免疫过程来解决入侵检测领域的问 题，这种IDS具有快速、准确的免疫识别特性，能够对正常的计算机行为和入 侵的有害行为进行有效划分，同时具有的鲁棒性、自适应性和自学习性等多种 特性，这也正是现代入侵检测技术所追求的。

异常检测是入侵检测的一种类型。基于危险理论的异常检测方法中最典型 的一种算法是DCA(Dendritic Cell Algorithm,树突状细胞方法)，该方法作为危 险理论的实现方法，不需要额外的检测器训练时间，方法计算量小，占用的计 算资源也非常少。DCA首先将入侵检测数据划分成三种信号再进行后续处理， 目前划分信号的主要做法是对监测到的入侵检测数据属性从主观经验上根据信 号含义进行划分，这种做法只能定性地描述三种信号的含义，不能从定量的角 度进行更细致的描述划分。

云模型是一种建立在模糊集理论和概率论的基础上，将定性概念转变成定 量表示的数学工具。由于云模型能准确的用语言值反应出事物的不确定性，目 前已经成功用于数据挖掘、知识发现、网络安全预测以及入侵检测等领域。由 于入侵检测数据是对多个对象和属性进行监控和检测，对实时性的要求很高， 而云模型则可以以较小的计算量完成对定性概念和定量表示之间的转换，符合 入侵检测实时性的需求。云模型从数据处理的角度解决了入侵检测数据多维性、 难处理以及计算量大等难点，为人工免疫理论在入侵检测上的应用铺平了道路。 因此，本发明将云模型引入入侵检测技术领域，提高了入侵检测的准确性和实 时性。

发明内容

本发明提供一种基于云模型的入侵检测数据划分方法，该方法的输出作为 DCA的三种输入信号，实现了对入侵检测数据的定性划分，提高了DCA后续 异常检测的准确性。

本发明的技术方案是：一种基于云模型的入侵检测数据划分方法，其特征 在于，包括下述步骤：

步骤①：建立云模型数据。

从入侵检测标准数据集中选取N个正常数据存入矩阵X＝[x_ij]_N×M中形成云 模型数据，其中N的大小根据所需云模型的规模确定，M代表标准数据集的属 性数。

步骤②：计算云模型特征。

利用下列公式计算云模型第j属性的期望Ex_j、熵En_j、超熵He_j、卡方值CS_j和权重因子P_j，j＝1,2,…,M：

${\mathrm{Ex}}_j=\frac{{\Sigma }_{i=1}^N{x}_{\mathrm{ij}}}{N}$      (公式一)

${\mathrm{En}}_j=\sqrt{\frac{\pi }{2}}\times \frac{{\Sigma }_{i=1}^N|x_{\mathrm{ij}}-{\mathrm{Ex}}_j|}{N}$      (公式二)

${\mathrm{He}}_j=\sqrt{\frac{{\Sigma }_{i=1}^N{(x_{\mathrm{ij}}-E{x}_j)}^2}{N-1}-{\mathrm{En}}_j^2}$      (公式三)

${\mathrm{CS}}_j=\frac{{\Sigma }_{i=1}^N(x_{\mathrm{ij}}-{\mathrm{Ex}}_j)}{{\mathrm{Ex}}_j}$      (公式四)

$P_j=\frac{{\mathrm{CS}}_j}{{\Sigma }_{j=1}^M{\mathrm{CS}}_j}$      (公式五)

步骤③：输入待检测入侵检测数据。

将K个待检测入侵检测数据存入矩阵Z＝[z_i′j]_K×M,从云模型数据中随机选取 K个正常数据存入矩阵Y＝[y_i′j]_K×M，其中K<N。

步骤④：计算数据属性隶属度。

利用下列公式分别计算正常数据的第j属性隶属度μ_j和待检测入侵检测数 据的第j属性隶属度μ′_j：

${\mu }_j=\exp [-\frac{{({\mathrm{Ey}}_j-{\mathrm{Ex}}_j)}^2}{2{\mathrm{En}}^{\prime 2}}]$      (公式六)

${\mu }_j^{\prime }=\exp [-\frac{{({\mathrm{Ez}}_j-{\mathrm{Ex}}_j)}^2}{2{\mathrm{En}}^{\prime 2}}]$      (公式七)

上述公式中，En′是以En_j为均值、He_j为标准 差的正态随机数。

步骤⑤：划分信号类别。

DCA的输入信号分为PAMPS(Pathogen Associated Molecular Pattern Signal, 病原相关分析模式信号)、DS(Danger Signal,危险信号)和SS(Safe Signal,安 全信号)三类。PAMPS表明组织发生异常，DS表示存在异常可能性较大，SS 表明机体健康。当系统由正常状态进入异常状态，PAMPS信号的隶属度应该变 大，并保持较为平稳状态，DS信号的隶属度会增大，但并不确定，SS信号的隶 属度则相对较低。针对待检测入侵检测数据，依据以下情况划分信号：

若Eμ′_j＞Eμ_j，将K个待检测入侵检测数据划分为DS；

若Eμ′_j＞Eμ_j且Varμ′_j＜Varμ_j，将K个待检测入侵检测数据划分为PAMPS；

若Eμ′_j≤Eμ_j，将K个待检测入侵检测数据划分为SS。

其中，${\mathrm{E\mu }}_j^{\prime }=\frac{{\Sigma }_{j=1}^M{\mu }_j^{\prime }}{N},{\mathrm{E\mu }}_j=\frac{{\Sigma }_{j=1}^M{\mu }_j}{N},{\mathrm{Var\mu }}_j^{\prime }=\frac{{\Sigma }_{j=1}^M{({\mu }_j^{\prime }-{\mathrm{Eu}}_j^{\prime })}^2}{N},$${\mathrm{Var\mu }}_j=\frac{{\Sigma }_{j=1}^M{({\mu }_j-{\mathrm{E\mu }}_j)}^2}{N}.$

将上述K个待检测的入侵检测数据，以及上述信号类别划分结果输入 DCA，利用DCA算法即可完成入侵数据的异常检测。

本发明的有益效果：在进行入侵检测数据属性判断时，改变了以往依靠主 观经验对数据的信号含义进行划分的方式，通过入侵检测数据属性隶属度的定 量分析来划分信号含义；在后续的DCA异常检测中，提高了入侵检测的检测率， 降低了虚警率，具备计算量小，实时性好等优点。

附图说明

图1是基于云模型的入侵检测数据划分方法示意图；

图2是利用本发明统计KDDCUP99数据集属性23的隶属度变化情况；

图3是利用本发明统计KDDCUP99数据集属性33的隶属度变化情况；

图4是利用本发明改进信号分类后的DCA检测率；

图5是利用本发明改进信号分类后的DCA虚警率。

具体实施方式

下面结合附图对本发明进行详细说明。

图1是基于云模型的入侵检测数据划分方法示意图，该方法包含5个步骤：

步骤①：建立云模型数据。步骤②：计算云模型特征。步骤③：输入待检 测入侵检测数据。步骤④：计算数据属性隶属度。步骤⑤：划分信号类别。

图2是利用本发明统计KDDCUP99数据集(即入侵检测标准数据集)属性 23的隶属度变化情况。实验在KDDCUP99数据集中选取N＝50000个正常数据 建立云模型数据，并随机选取K＝1000个正常数据，分别和1000个smurf攻击 数据、1000个satan攻击数据以及1000个wareclient攻击数据构成待检测入侵 检测数据。属性23代表的特征含义为与当前连接具有相同目标主机的连接数， 由于smurf攻击数据属于DOS(Denial of Service,拒绝服务)攻击类型，连接数 很高，远远超出正常情况，隶属度很低，接近于0；satan攻击数据属于Probe(端 口)攻击类型，所以连接数很稳定，隶属度基本保持不变，而wareclient攻击数 据属于R2L(Remote to Login,远程到本地)攻击类型，连接数基本保持为1， 隶属度很低，因此都可以反映出系统的异常情况。

图3是利用本发明统计KDDCUP99数据集属性33的隶属度变化情况。实 验在KDDCUP99数据集中选取N＝50000个正常数据建立云模型数据，并随机选 取K＝1000个正常数据，分别和1000个smurf攻击数据、1000个satan攻击数据 以及1000个wareclient攻击数据构成待检测入侵检测数据。属性33代表的特征 含义为前100个连接与当前连接具有相同目标主机但服务类型不同的连接数， 由于smurf攻击数据属于DOS攻击类型，所以服务类型为TCP协议，隶属度会 趋于稳定，而普通状态下相同目标主机，服务类型会各有不同，所以隶属度会 随机变化；satan攻击数据属于Probe攻击类型，是基于探测服务端口和协议的， 所以隶属度会呈逐渐上升到慢慢稳定的状态，显示系统的攻击类型；wareclient 攻击数据属于R2L攻击类型，所以对目标主机的不同服务类型进行连接，当连 接成功后，就再次到达稳定状态进行下一次R2L攻击。

图4是利用本发明改进信号分类后的DCA检测率。图中横坐标为测试数据 集个数，纵坐标为DCA检测率。实验以DOS攻击为测试环境，测试数据集分 别选取正常数据和异常数据，图中对比了原始信号分类下的DCA检测率和改进 信号分类后的DCA检测率。带星号的曲线表示原始信号分类下的DCA检测率， 带圆圈的曲线表示改进信号分类后的DCA检测率。由图4可以看出，采用本发 明改进信号分类后的DCA检测率有效提高，增强了DCA异常检测能力。

图5是利用本发明改进信号分类后的DCA虚警率。图中横坐标为测试数据 集个数，纵坐标为DCA虚警率。实验以DOS攻击为测试环境，测试数据集分 别选取正常数据和异常数据，图中对比了原始信号分类下的DCA虚警率和改进 信号分类后的DCA虚警率。带星号的曲线表示原始信号分类下的DCA虚警率， 带圆圈的曲线表示改进信号分类后的DCA虚警率。由图5可以看出，采用本发 明改进信号分类后的DCA虚警率大幅下降，提高了系统的入侵检测性能。