2.4 構(gòu)建三級模塊式檢測系統(tǒng)模型過程中的探索

在設(shè)計三級模塊式檢測系統(tǒng)的過程中，本章首先依據(jù)危險模型完成了系統(tǒng)模型的搭建，在具體實現(xiàn)其中模塊的功能時，以網(wǎng)絡(luò)入侵檢測的典型應(yīng)用為例設(shè)計了幾個方案進(jìn)行實驗。一方面對系統(tǒng)模型進(jìn)行初步驗證，另一方面通過對實驗結(jié)果進(jìn)行比較和分析以選擇最終采用的檢測器和數(shù)據(jù)融合算法。

所有方案的仿真實驗所用數(shù)據(jù)均取自KDD-CUP-99數(shù)據(jù)庫。該數(shù)據(jù)庫由大量真實的正常和攻擊網(wǎng)絡(luò)連接數(shù)據(jù)組成，每個連接數(shù)據(jù)含有41個特征，可分成3組：固有特征、內(nèi)容特征和通信特征，詳細(xì)介紹參見5.3.1節(jié)。

本書所有實驗均在Windows XP操作系統(tǒng)平臺上進(jìn)行，使用Matlab 6.5編程實現(xiàn)。

2.4.1 方案一的實施及仿真結(jié)果

第一級模塊中的檢測器用學(xué)習(xí)矢量量化（Learning Vector Quantization, LVQ）網(wǎng)絡(luò)實現(xiàn)，數(shù)據(jù)融合算法采用的是動態(tài)分類器選擇（Dynamic Classifier Selection，DCS）算法，不考慮危險信號。

動態(tài)分類器選擇算法[172]如下：

輸入為待檢測模式X*，驗證數(shù)據(jù)、鄰域范圍值、拒絕閾值和選擇閾值，輸出為檢測數(shù)據(jù)的類別。設(shè)分類器個數(shù)為K，類的個數(shù)為M。

Step1：輸入未知模式X*，如果各分類器輸出結(jié)果相同，即C1=C2=…=CM，那么輸出結(jié)果即為該模式的類別；否則繼續(xù)進(jìn)行以下步驟。

Step2：在X*與所有驗證樣本之間，分別計算X*與各個樣本的歐幾里德距離dn，當(dāng)dn<D（D為鄰域范圍值）時，視該樣本為X*的鄰域樣本，設(shè)鄰域樣本的個數(shù)為N。

式中，。

Step3：將鄰域樣本輸入每個分類器，分別計算局部準(zhǔn)確度CLAj（X*）。

Step4：如果CLAj（X*）小于拒絕閾值，就不再考慮該分類器Cj。

Step5：找出局部準(zhǔn)確度中的最大值CLAm（X*）。

Step6：對于每一個分類器，計算dj=[CLAm（X*）-CLAj（X*）]。

Step7：如果所有dj（j≠m）都大于選擇閾值，那么選擇分類器Cm的結(jié)果，否則在dj小于選擇閾值的分類器中任選一個分類器的輸出作為最終結(jié)果。

實驗數(shù)據(jù)

選取KDD-CUP-99數(shù)據(jù)庫中樣本較多的3種攻擊：smurf、ipsweep和neptune，以及正常數(shù)據(jù)normal。所涉及特征共有31個，其中固有特征9個，內(nèi)容特征13個，通信特征9個。訓(xùn)練集含有200個樣本，其中正常連接與攻擊連接各100個。測試集含有80個樣本，其中正常連接20個，攻擊連接60個。

實驗方案

由于網(wǎng)絡(luò)連接數(shù)據(jù)的特征分為3組，因此第一級模塊中使用3個LVQ網(wǎng)絡(luò)實現(xiàn)3個檢測器，分別針對這3組特征進(jìn)行檢測。

·檢測器1：LVQ1檢測固有特征

·檢測器2：LVQ2檢測內(nèi)容特征

·檢測器3：LVQ3檢測通信特征

各個檢測器的輸入為連接數(shù)據(jù)的對應(yīng)特征，輸出均為連接所屬的類別：正?；蚬?，分別用數(shù)字1和2表示。

由于不考慮危險信號，因此DCS算法的融合結(jié)果即為最終檢測信號：正常或攻擊，也分別用數(shù)字1和2表示。

實驗步驟

首先，用部分已知樣本訓(xùn)練3個LVQ網(wǎng)絡(luò)建立初級檢測器；其次，用測試樣本對3個LVQ檢測器的性能分別進(jìn)行測試；最后，加入DCS算法對3個檢測器的結(jié)果進(jìn)行融合，并用同樣的測試樣本對融合后的檢測性能進(jìn)行測試。

實驗結(jié)果及分析

3個LVQ檢測器的檢測結(jié)果圖，如圖2-4所示。

根據(jù)檢測結(jié)果可計算出3個檢測器的準(zhǔn)確度分別為：

LVQ1（9-9-1）：91.25%

LVQ2（13-10-1）：91.25%

LVQ3（9-15-1）：85%

用DCS算法對3個檢測器的檢測結(jié)果進(jìn)行融合后得到的結(jié)果如圖2-5所示。經(jīng)計算，檢測的準(zhǔn)確度達(dá)到95%，高于單個檢測器。

2.4.2 方案二的實施及仿真結(jié)果

第一級模塊中的檢測器用BP網(wǎng)絡(luò)實現(xiàn)，數(shù)據(jù)融合算法采用決策模板算法，考慮危險信號。

由于考慮危險信號的作用，因此這里使用的決策模板算法的融合結(jié)果按照本書在2.3.4節(jié)提出的方法重新定義，增加了可疑信號。有關(guān)決策模板算法融合的詳細(xì)步驟，將在第4章給出。

實驗數(shù)據(jù)

本實驗增加了攻擊種類，考慮KDD-CUP-99數(shù)據(jù)庫中TCP協(xié)議類型的連接，共涉及36個特征，其中固有特征6個，內(nèi)容特征11個，通信特征19個。這些連接覆蓋了4類攻擊中的16種，將正常連接和其中10種攻擊連接作為已知模式，其余6種攻擊作為未知模式。訓(xùn)練集包括從已知模式中任選的1230個樣本，其中正常連接有612個，攻擊連接有618個。測試集含有從已知模式中選取的172個正?；蚬魳颖?，以及從未知模式中選取的80個攻擊樣本。模式的選取和樣本數(shù)據(jù)的預(yù)處理說明見5.5節(jié)。

實驗方案

與方案一相同，只是本實驗使用3個BP網(wǎng)絡(luò)實現(xiàn)3個檢測器，分別針對這3組特征進(jìn)行檢測。但在實驗中發(fā)現(xiàn)，如果特征按照固有、內(nèi)容和通信分組，那么有些特征的檢測效果不理想，因此在原有基礎(chǔ)上重新對這些特征進(jìn)行了分組，以提高單個檢測器的性能。將通信特征細(xì)分為2組，新固有特征包括原有的特征和一組通信特征，新內(nèi)容特征包括原有的特征和原來的固有特征，新通信特征包括原有的另一組特征和原來的固有特征。

·檢測器1：BP1檢測新固有特征組

·檢測器2：BP2檢測新內(nèi)容特征組

·檢測器3：BP3檢測新通信特征組

實驗步驟

首先，用部分的已知樣本訓(xùn)練3個BP網(wǎng)絡(luò)建立初級檢測器；其次，用另外的已知樣本建立兩個檢測模板；最后，用相同的測試數(shù)據(jù)分別對3個檢測器的結(jié)果、采用決策模板算法進(jìn)行融合的方法以及考慮危險信號作用的方法進(jìn)行測試。

實驗結(jié)果及分析

采用決策模板融合算法和關(guān)聯(lián)危險信號兩種方法獲得的檢測結(jié)果如表2-2所示。為便于比較，在此同時列出了3個單個檢測器獲得的檢測結(jié)果，括號中的數(shù)字表示該網(wǎng)絡(luò)的結(jié)構(gòu)。對結(jié)果的比較包括對已知行為的檢測準(zhǔn)確度、誤報率和漏報率以及對未知攻擊的檢測準(zhǔn)確度的比較。關(guān)聯(lián)危險信號時，St1=0.3，St2=0.5。危險信號將伴隨攻擊連接數(shù)據(jù)發(fā)出。

分析表2-2中的數(shù)據(jù)可知：

①盡管有的性能不如個別檢測器的效果，但經(jīng)過融合后，整體性能得到提高。

②單個BP檢測器對未知攻擊的檢測效果不佳。

③采用決策模板算法后對未知模式的檢測效果改善作用不大。

④關(guān)聯(lián)危險信號后，對已知模式的檢測效果沒有影響，但可提高對未知模式的分類效果。

2.4.3 實施方案分析及結(jié)論

通過對上面兩個實施方案的仿真結(jié)果進(jìn)行分析，可得出以下幾點結(jié)論：

①入侵檢測系統(tǒng)的整體檢測性能與第一級模塊中使用的初級檢測器的性能有關(guān)，即單個檢測器的性能越好，系統(tǒng)的整體檢測性能也就越好。另外，有些特征對于分類識別的作用不大，可以不予考慮，因此特征提取至關(guān)重要。

②兩個方案中的初級檢測器都是用神經(jīng)網(wǎng)絡(luò)實現(xiàn)的。盡管對已知連接模式獲得了不錯的檢測效果，但所用網(wǎng)絡(luò)一旦訓(xùn)練完成，網(wǎng)絡(luò)結(jié)構(gòu)和權(quán)值就不再改變，這在面對行為模式不斷變化以及出現(xiàn)未知攻擊模式的情況下，表現(xiàn)出一定的局限性，而解決的辦法往往是定期重新訓(xùn)練。

③雖然兩種融合算法都改善了檢測效果，但動態(tài)分類器選擇算法需要在已知數(shù)據(jù)中確定與未知模式鄰近的樣本，利用對這些鄰近樣本的分類結(jié)果得出最終結(jié)果。而決策模板算法也需要利用已知數(shù)據(jù)預(yù)先為每個類別建立決策模板。因此，這兩種融合算法都無法改善對未知模式的分類效果。

④通過訓(xùn)練，檢測器已經(jīng)學(xué)習(xí)了已知模式的特征，不需要利用危險信號就可識別，因此危險信號對已知連接的檢測能力沒有提高，但對未知攻擊或未知模式的識別能力有所改善。這說明本章將危險信號作為系統(tǒng)無法根據(jù)原有知識作出準(zhǔn)確判斷時的依據(jù)信號是合理且有效的，所設(shè)計的關(guān)聯(lián)危險信號的方法是可行的。

針對結(jié)論中發(fā)現(xiàn)的問題，本章采取了以下措施：

第一，結(jié)論①和②說明，要想提高檢測系統(tǒng)的檢測性能，首先需要尋找其他方法來實現(xiàn)第一級模塊中的檢測器。鑒于人工獨特型網(wǎng)絡(luò)具有與人工神經(jīng)網(wǎng)絡(luò)相似的學(xué)習(xí)和記憶能力，且經(jīng)研究發(fā)現(xiàn)該網(wǎng)絡(luò)具有動態(tài)調(diào)整能力，可以實時更新且不斷學(xué)習(xí)新的行為特征。因此本章嘗試用人工獨特型網(wǎng)絡(luò)代替人工神經(jīng)網(wǎng)絡(luò)來設(shè)計檢測器，提出了多變異模式獨特型網(wǎng)絡(luò)自適應(yīng)檢測器。

第二，結(jié)論③和④說明，本章為了利用危險信號的作用，對Kuncheva提出的決策模板算法的融合結(jié)果重新定義的方法是合理的。但要想依靠數(shù)據(jù)的融合提高對未知異常行為的檢測能力，還需要對現(xiàn)有的融合算法進(jìn)行改進(jìn)或者采用其他的融合算法。而經(jīng)研究發(fā)現(xiàn)，在Kuncheva提出的決策模板算法中，第i類模板實際上是對訓(xùn)練集中標(biāo)簽為i的樣本獲得的決策輪廓取平均值得到的。那么，只需將當(dāng)前計算出的決策輪廓通過簡單的運算就可加入對應(yīng)的模板，從而使模板不斷根據(jù)新的數(shù)據(jù)進(jìn)行調(diào)整，當(dāng)然包括對未知異常行為的學(xué)習(xí)?？梢哉f，通過這種方法，入侵檢測系統(tǒng)實現(xiàn)了對檢測模板的在線調(diào)整。這是本章提出模板可調(diào)式自適應(yīng)決策融合算法的初衷。

至此，完成了對整個檢測系統(tǒng)模型的設(shè)計，由于設(shè)計的多變異模式獨特型網(wǎng)絡(luò)自適應(yīng)檢測器具有自動更新能力，模板可調(diào)式自適應(yīng)決策融合算法也具有在線調(diào)整能力，因此所設(shè)計的三級模塊式檢測系統(tǒng)具有自適應(yīng)能力。