基于贝叶斯优化算法的入侵检测技术研究

摘要:针对目前的入侵检测技术误警率和漏警率较高,提出了一个优化的贝叶斯算法,通过引入滑动窗口技术改善入侵检测的实时性。该文利用贝叶斯优化算法对对Probe、DoS、U2R、R2L测试集进行实验仿真比较,结果表明:该算法能很好完成入侵检测分类;该算法能提高入侵检测正确率。

关键词:贝叶斯优化算法;入侵检测;分类

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)03-696-02

A Study on the Immersion and Examining Technology on the Basis of Bayesian Optimization Algorithm

PU Shi

(The Modern Technological Center of Neijiang Normal University, Neijiang 641112, China)

Abstract: As the erroneous of the present immersion and examining technology occur frequently, the author of this paper puts forward a Bayesian Optimization Algorithm, aiming to introduce the practicable method of a sliding window technology and improve this examining shill. By means of Bayesian Optimization Algorithm, the author intends to compare the experiment of Probe, DoS, UaR, R2L. Consequently, this method can complete the classification of the immersion and examination, meanwhile improving the ratio of correctness.

Key words: bayesian optimization algorithm; immersion and examining; classification

网络入侵检测技术通过分析数据包包头信息、网络流量和网络连接的各个特征属性来检测网络中存在的入侵行为,区分正常网络应用和恶意攻击。早在20世纪80年代就已经展开了对入侵检测技术的研究,根据所检测数据的来源不同,入侵检测技术经历了基于主机的入侵检测技术、基于网络的入侵检测技术和分布式入侵检测技术三个发展时期。不论是基于主机的入侵检测系统还是基于网络的入侵检测系统,早期的结构都是集中式的,数据采集模块和数据分析模块都位于同一台机器上,这和网络逐渐走向分布式、异构性的趋势并不符合。

根据采用检测方法的不同,现有的入侵检测技术从总体上可以分为三类:误用检测[1],异常检测[2]和混合检测[3]。目前,用于入侵检测技术研究方法有神经网络(Neural Network NN)、信息理论、支持向量机(Support vector machine, SVM)、贝叶斯统计(Bayesian Static)等。本文主要针对贝叶斯算法要么计算量大,要么信息丧失严重这一特点,引入免疫算法中的亲和度和浓度概念,提出了贝叶斯优化算法(Bayesian Optimization Algorithm BSOA),并通过检测技术的评价指标对数据进行仿真计算,得到了较好的结果。

1 优化贝叶斯算法在入侵检测中应用

1.1 贝叶斯算法

贝叶斯理论适合解决不确定事件,而入侵检测系统的性能指标和功能指标,都可用精确的数学公式描述和计算,可以把模糊的指标具体量化。检测率,P(B|A)表示系统在入侵情况发生的条件下,入侵检测系统能正确发出警报的概率;误报率,P(B|A)表示系统在没有实际入侵情况发生的条件下,入侵检测系统发出警报的概率;漏报率P(B|A)表示系统在入侵情况发生的条件下,入侵检测系统却检测不到而未发出警报的概率;正确率,P(B|A)表示系统在没有入侵情况发生的条件下,入侵检测系统未发警报的概率,属正确状态。在入侵检测中关键问题在于分类,用基于贝叶斯统计方法可以这样简单考虑,ki为第i个检测对象属性,{Aj}表示第j个入侵检测分类,可以用数学公式表示如下:

1.2 贝叶斯优化算法

由以上过程可知,该方法虽然能完成入侵检测的分类,但在存在以下不足:①如果不简化,计算量很大,而且很难计算,是一个不可实行的方法;②按照朴素贝叶斯方法简化,易于实现,但是过多地简化使得很多有用的信息丧失[10]。基于此引入免疫算法中的亲和度与浓度,作为贝叶斯优化算法(Bayesian Optimization Algorithm,BOA)。本如下假设:个体为某个入侵检测对象;种群为入侵检测分类。这样将个体适应度概率与个体浓度概率一起作为优良个体的选择依据,选择低浓度、高适应度的个体,能够有效地保持种群的多样性,克服容易陷入局部最优问题。设有N个个体,每个由S={0,1}中的M个分类组成,则第j个分类的信息熵为:

式中:Pij表示第i个检测对象在第j个入侵检测分类中出现概率。

若入侵检测分类j所有状态相同,那么Hj(N)=0。平均信息熵:■它反映多样性。由此得到两种入侵检测分类u和v的亲和度:

Auv的取值范围为(0,1],Auv越大表示两种入侵检测分类相似度越高,Auv=1表示两种入侵检测分类完全相同。这样可定义为:

这样每个入侵检测个体评价指标变为:

式中:pif为入侵检测分类适应度概率;pid为入侵检测分类浓度概率;α为常数调节因子。这样选择能够很好地保持入侵检测的多样性,提高算法的性能。

2.3 BSOA算法的总体框架设计

BSOA算法的总体框架如图1所示,分为训练阶段和检测阶段两部分,训练阶段按以下步骤处理:

1) 数据预处理。对符号型字段编码为数值型数据,同时对所有数据进行归一化处理。设输入数据为(α1,α2, …,αn),平均值为:

标准方差为:

归一化后的值为:

2) 随机生成初始种群。

3) 由个体的基因位确定所选择的特征、权重以及SVM训练模型参数,根据适应度函数计算每个个体的适应度函数值,计算交叉率和变异率。

4) 对被选中的两个个体进行交叉操作,产生后代个体。对被选中的个体进行变异操作。根据赌选择法按照个体的适应度丞数值大小对个体进行选择操作,并保留种群中的最优个体直接进入下一代种群。由此产生新的种群。

5) 重复执行3),直到满足适应度要求或进化到最大代数,选择当前种群的最优个体作为最优解。

检测阶段,根据选择的最优特征子集及其权重和BSOA优化参数建立BSOA检测模型,对待分类个体进行判断。

2 仿真与分析

2.1 检测技术的评价指标

为了评估检测技术的优劣,需要一系列的定量评价指标。主要的评价指标包括分类正确率、漏警率、误警率、检测时延和学习能力等。

分类正确率=被正确分类的测试样本个数/全体测试样本个数(9)

漏警率=攻击样本中被认为是正常样本的个数/全体攻击样本个数(10)

误警率=正常样本中被认为是攻击样本的个数/全体正常样本个数(11)

2.2 窗宽对结果影响

在入侵检测研究中,窗宽长度的选择,对于分类精度影响较大。在研究中针对19个窗口在mat lab中仿真,实验数据表明随着窗宽长度的增大,引进的噪声也会增大,导致预测精度的下降,耗费更多的训练及测试时间。表1是在matlab仿真实验中,所得相关数据集的实验结果。可以看出,随着窗宽增加,分类预测精度有所提高,但提高幅度有限。考虑到运算速度,我们选择窗宽15。

2.3 仿真数据集

实验数据来源于KDD CUP99数据集,该数据集由麻省理工学院林肯实验室提供。KDD CUP99数据集分为训练集和测试集两部分,包含了监听到的大量网络连接信息。每条连接信息包含4l维特征,包括基本特征集、内容特征集、流量特征集和主机流量特征集。训练数据集中的每个网络连接都被标记为正常或攻击,可能的取值包括Normal、Probe、DoS、U2R(User to Root)和R2L(Remote to Local)五种类型。在仿真中,将实验数据集分为四个部分:Probe数据集、DoS数据集、R2R数据集和U2R数据集,各个数据集的样本数量如表2所示。

2.4 仿真结果与分析

实验在Matlab 7.0环境中运行。BSOA的实验结果如表3所示。通过对各类数据集(Probe、DoS、U2R、R2L)的测试集进行实验,由仿真结果可以看出,对特征进行维数约减和空间变换后,不仅入侵特征的数量基本减少了一半,而且正确检测率仍然取得了满意的结果。

3 结论

本文在贝叶斯算法基础上,针对其局限性:要么计算量大,要么信息丧失严重这一特点。提出了改进贝叶斯优化算法,并使用该方法对入侵检测正确率进行实验仿真,并和Bayesian Belief Network方法比较,结果表明贝叶斯优化算法具有更好的分类预测性能。

参考文献:

[1] Denning D.E.An Intrusion-Detection Model[J].IEEE Transactions on Sofhvare Engineering.1987,13(2):222-232.

[2] Anderson J P. Computer security threat monitoring and surveillance[R]. Technical Report,79F296400,Fort Washington:James P.Anderson Company,1980.

[3] 卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报.2004,25(7):19-29.

[4] Chebrolu S, Abraham A, Thomas J P. Feature deduction and ensemble design of intrusion detection systems[J].Computers and Security,Elsevier,Amsterdam.2005,24(4):295-307.