基于粗糙集和人工免疫的集成入侵检测模型
- 格式:docx
- 大小:52.19 KB
- 文档页数:25
基于粗糙集和人工免疫的集成入侵检测模型
张玲;白中英;罗守山;谢康;崔冠宁;孙茂华
【摘 要】According to the problems of intrusion detection, an integrated
intrusion detection model based on rough set and artificial immune (RSAI-IID) was proposed by using rough set and integrating misuse detection
and anomaly detec-tion. The rough set method was used to achieve the
vaccine which was injected in the model, to get better vaccine, and to
optimum the performances of detection;misuse detection was used to get
off the known intrusions; anomaly detection was used to detect the novel
intrusions. RSAI-IID model was validated on KDD 99 dataset. The
experimental results show its feasibility and effectiveness.%针对当前入侵检测存在的问题,通过引入粗糙集方法,综合误用检测和异常检测设计了一种基于粗糙集和人工免疫的集成入侵检测(RSAI-IID)模型,提出了一种在入侵检测中实现疫苗注入的方法。采用粗糙集方法获取疫苗,并保证了疫苗的优良性,优化检测性能;误用检测筛掉已知的入侵行为,提高检测的速度;异常检测针对未知攻击进行实时检测。最后在KDD99数据集上进行实验仿真,验证了模型的可行性和有效性。
【期刊名称】《通信学报》
【年(卷),期】2013(000)009
【总页数】11页(P168-178)
【关键词】粗糙集;人工免疫;误用检测;异常检测;RSAI-IID模型 【作 者】张玲;白中英;罗守山;谢康;崔冠宁;孙茂华
【作者单位】北京邮电大学 信息安全中心,北京 100876; 云安全北京工程实验室,北京 100876;北京邮电大学 信息安全中心,北京,100876;北京邮电大学 信息安全中心,北京 100876; 云安全北京工程实验室,北京 100876;云安全北京工程实验室,北京 100876; 山东大学 信息科学与工程学院,山东 济南 250100;北京邮电大学
信息安全中心,北京 100876; 云安全北京工程实验室,北京 100876;北京邮电大学 信息安全中心,北京 100876; 云安全北京工程实验室,北京 100876
【正文语种】中 文
【中图分类】TP391.4
1 引言
入侵检测是通过监控网络和系统的状态、行为以及使用情况来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。在入侵检测中,检测率、虚警率、检测的速率是衡量入侵检测系统的重要指标。
根据检测的方法不同,入侵检测分为异常检测和误用检测。异常检测(anomaly
detection)首先总结正常操作应该具有的特征,即对正常行为特征建立知识库,当用户与正常行为有重大偏离时,该用户行为被认定为入侵[1]。误用检测(misuse
detection):首先获取非正常操作的行为特征,建立初始特征库,当用户行为与库中的记录匹配时,系统认定该操作为入侵。异常检测和误用检测各自的优缺点对比如表1所示。
这2种检测技术集成的方案各有优缺点,将2种检测方式集成可以弥补检测中的缺陷,对已知和未知入侵行为检测[2]。为了进一步改善入侵检测的检测性能,如自适应性、检测率、虚警率以及检测速度,需要结合其他研究领域的知识进行研究。
表1 异常检测和误用检测对比类型 优点 缺点异常检测对未知攻击检测有效对冒充合法用户的入侵检测率高虚警率高需要实时地建立和更新系统或用户的特征轮廓,计算量大误用检测技术比较成熟对已知攻击检测率高,虚警率低采用匹配模式,计算量小不能检测未知入侵漏警率比较高特征库必须不断更新对于系统内部攻击的越权行为,很难检测
在入侵检测中,很多学者提出了采用神经网络、模糊集理论、遗传算法、人工免疫原理和数据挖掘的方法对入侵检测进行研究。其中,人工免疫原理是从生物免疫系统演化而来的,具有分布性、自适应性的优点,已经被证明是用于入侵检测的一种有效技术方法。
生物免疫系统(BIS,biology immune system)是一个分布式、自组织和具有动态平衡能力的自适应复杂系统。1974年,美国生物学家、医学家和免疫学家杰尼(Jerne N K)提出了免疫网络理论,并因此获得 1986年的诺贝尔医学奖。MATZINGER首先提出危险理论,他认为触发人体内产生免疫响应是由细胞非自然死亡时发出的危险信号引起的,不是非自体入侵导致的。树突状细胞(DC,
dendritic cell)能够结合抗原引起的环境信号对抗原进行实时异常检测。之后受免疫系统的启示,许多学者在实际的工程应用中,开展了许多这方面的研究[3]。由此,人工免疫系统(AIS,artificial immune system)诞生了一个新的研究领域。表2列出了生物免疫系统、人工免疫系统的相似性分析。
表2 免疫系统的类比分析生物免疫系统(BIS) 人工免疫系统(AIS)抗原 采集的在线数据B细胞、T细胞 检测器抗体对抗原的识别 抗体和抗原的绑定记忆细胞
记忆细胞协同刺激 人工确认信号注射疫苗 更新特征库抗原检测/免疫应答 抗原检测/应答
1) 免疫原理应用于入侵检测方面的研究现状。 人工免疫应用于入侵检测首先是由美国 University of New Mexico的FORREST提出的,她发表的文章[4]为人们掀开了研究该领域理论的序幕,她将计算机系统保护问题与免疫系统学习区分自体一非自体相比较,提出了阴性选择算法,并陆续发表了多篇文章。1999年,在其学生HOMFEYR协助及以前工作的基础上,提出了一个融合多种免疫系统性质的人工免疫系统(ARTIS, artificial immune system)模型。ARTIS具有生物免疫系统的多样性、分布式计算、错误耐受、动态学习、适应性和自体检测等特征,是分布式自适应系统的一般框架,可以独立于任何特殊问题。为验证 ARTIS的性能,2002年,HOMFEYR开发了网络轻量级入侵检测系统(LISYS,lightweight intrusion detection system)。LISYS通过检测局域网(LAN)中 TCP协议的同步(Syn)数据分组来实现对网络中异常的检测[5]。
文献[6]中将基于聚类的人工免疫应用于射频识别中,采用了免疫聚类算法aiNet进行聚类,对已知和未知的攻击进行识别。
文献[7]中提出了一个基于免疫原理的入侵检测模型,给出了自体、非自体、免疫细胞的定义,建立了由记忆细胞、成熟细胞、未成熟细胞集合构成的入侵检测模型。并对模型进行了仿真,对模型中的几个重要参数进行了分析。实验表明这种新型的入侵检测模型具有较好的自适应性。
文献[8]中受人工免疫系统危险学说的启发,基于人工智能的免疫系统代理 ABAIS被用在入侵检测系统中。代理配合计算成熟环境抗原值(MCAV,mature context
antigen value),并且为了安全响应更新活跃门限值。树突状的细胞代理(DC
agent)用来仿真内在免疫子系统和人工T细胞代理 (TC agent)来适应免疫子系统。
文献[9]中提出了一种集成树突状细胞算法和负选择算法的人工免疫系统,该方法具有进行实时入侵检测的优点。
文献[10]中受生物免疫响应中抗体浓度和入侵时网络流量模式相似性的启发,提出了一个新的入侵检测方法,在不影响检测率的情况下,降低了虚警率。 文献[11]中采用了动态克隆选择算法,提出了一种基于免疫移动代理的分布式入侵检测新方法,用来降低网络的负担、提高系统的实时性能。
基于人工免疫的入侵检测中,随机生成检测器会导致一些问题:在系统达到稳定平衡之前,入侵检测系统检测率很低,此时,整个网络和主机系统遭到攻击的概率会增大。疫苗注入是解决这些问题的一种方法。而粗糙集是对数据库中的批量客观数据进行区分识别,从而更快速地获取知识规则。尤其是在缺乏先验知识时,以考察数据的分类能力为前提,对模糊或不确定的数据进行相应的分析和处理。为了获取有效的疫苗,粗糙集方法是一种有效的技术手段。
早在1982年,波兰华沙理工大学科学家Pawlak Z创先提出了粗糙集理论[12]。经过了多年的发展,粗糙集理论和其他学科相结合,如机器学习、模式识别、知识发现。粗糙集在数据挖掘方面主要体现在:使用不可分辨(等价)关系对数据进行聚类形成等价集合,对属性、对象进行约简计算,生成决策规则[13]。
在入侵检测中,采集来的日志数据量很大,并且特征数据中包含大量的冗余特征、不完备数据,势必加大检测的工作量,影响检测速度,从而最终导致异常行为不能得到及时的处理。粗糙集方法通过处理大数据量、处理不确定数据、消除冗余信息等步骤,约简训练数据,寻找最小属性集,得到有效的决策规则。正是鉴于粗糙集理论的这些优点,许多研究者将粗糙集理论应用于入侵检测中。
2) 粗糙集在入侵检测中的应用
文献[14]中提出了基于粗糙集和支持向量机的入侵检测分类方法,文中采用粗糙集方法(辨识矩阵)进行属性约简,采用支持向量机方法对数据进行分类。提出了启发式的属性约简算法,实验证明,该方法在不牺牲检测率的情况下,能提高检测的速度,减少数据存储的空间。
文献[15]中采用 RIPPER规则建立真报警和误报警的分类器,开发出了一个降低误报警的原型系统 ALAC(adaptive learner for alert classification),能够显著地降低误报警。
文献[16]中提出了一个基于粗糙集理论和支持模糊向量机的入侵检测模型。采用了粗糙集方法对知识属性进行约简,并过滤掉一些容易识别的日志数据;支持模糊向量机的方法对剩下的数据进行训练和分类。实验证明该方法能够提高检测的速度。
表3列出了相关文献对入侵检测研究方面所做的贡献。其中,文献[7~11]中存在的问题是在系统达到稳定之前需要浪费很长的时间进行试探性检测,收敛较慢。这些研究者将人工免疫应用于异常检测中,强调了对未知行为的检测,并没有考虑检测的速度问题。而入侵检测中,采集到的特征数据量很大,而绝大多数数据属于正常范畴,而未知行为(新的入侵行为)数量较少。因此需要对已知行为进行过滤,以提高检测速度。根据表1的分析可知,引入误用检测对已知行为进行过滤,能有效地减小异常检测的工作量。并且找到有效的疫苗能缩短异常检测的收敛时间速度。
表3 入侵检测的相关研究文献 贡献文献[7~11]使用人工免疫原理进行异常检测,能有效地对未知攻击进行检测,系统具有自适应能力文献[14, 15] 将粗糙集算法用于异常检测中,可以有效地获取决策规则文献[16] 将支持向量机和粗糙集方法进行结合研究,结合不同的机器学习方法