基于模糊理論的入侵檢測(cè)

汪 濤

（國(guó)家新聞出版廣電總局724臺(tái) 陜西 岐山 722400）

1 引言

早在1965年，美國(guó)著名自動(dòng)控制專家L.A.Zadeh教授，便在權(quán)威雜志上發(fā)表了模糊集的文章，自此開創(chuàng)了此領(lǐng)域的先河[1]，模糊集憑借其前衛(wèi)、先進(jìn)的思想，已經(jīng)融入到數(shù)學(xué)的整個(gè)體系架構(gòu)當(dāng)中，比如模糊圖論、模糊矩陣、模糊積分、模糊群、模糊概率、模糊系統(tǒng)等[2-11]。自此，模糊集理論在實(shí)際應(yīng)用領(lǐng)域，取得了比較大的發(fā)展與進(jìn)步[12-19]。而在其整個(gè)架構(gòu)中，其應(yīng)用最多的領(lǐng)域除了有模糊聚類分析、模糊綜合決策之外，還有模糊控制、模糊模式識(shí)別等。

伴隨計(jì)算機(jī)技術(shù)的不斷發(fā)展與完善，計(jì)算機(jī)在通信網(wǎng)絡(luò)方面所存在的安全問題日漸凸顯，針對(duì)以往的網(wǎng)絡(luò)安全措施而言（防火墻），已無法滿足當(dāng)前需要。為了能夠更好的、更加全面的保護(hù)網(wǎng)絡(luò)安全，社會(huì)中出現(xiàn)了各種殺毒軟件，而且還專門開發(fā)出了各種有效的入侵檢測(cè)系統(tǒng)。針對(duì)現(xiàn)階段的入侵檢測(cè)技術(shù)而言，人們應(yīng)景對(duì)此展開了深入、系統(tǒng)化研究，取得了不錯(cuò)的研究成果，比如以特征檢測(cè)為基礎(chǔ)而設(shè)定的協(xié)議分析，以特征檢測(cè)為基礎(chǔ)而開展的行為異常檢測(cè)。除此之外，近年來，入侵檢測(cè)系統(tǒng)的智能化已經(jīng)成為時(shí)下的研究重點(diǎn)與熱點(diǎn)。而對(duì)于模糊推理系統(tǒng)而言，從總體上來講，其與人的思維更為接近。2000年，Dicker—son便根據(jù)當(dāng)時(shí)情況，指出了構(gòu)建模糊入侵檢測(cè)系統(tǒng)相關(guān)理念，而且還專門為此進(jìn)行了網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)實(shí)驗(yàn)，從中對(duì)其實(shí)用性及可行性進(jìn)行了驗(yàn)證。以模糊理論為基礎(chǔ)而開發(fā)的入侵檢測(cè)系統(tǒng)，截止到今天，已經(jīng)有8年的時(shí)間，關(guān)于此領(lǐng)域的研究，涉及到了與模糊數(shù)學(xué)理論相關(guān)的多個(gè)方面，比如模糊數(shù)據(jù)挖掘等。從總體上來講，針對(duì)模糊理論而言，其應(yīng)用于入侵檢測(cè)系統(tǒng)，相比于非模糊應(yīng)用，盡管能夠?yàn)榇朔矫鎺碓S多益處，但是，模糊入侵檢測(cè)系統(tǒng)所具有的模糊性特質(zhì)，往往會(huì)使誤警率維持在高位，因而對(duì)其長(zhǎng)久發(fā)展造成了嚴(yán)重影響與限制?；诖藛栴}，本文運(yùn)用了兩大現(xiàn)今技術(shù)，其一為協(xié)議分析，其二為模糊綜合評(píng)判。以網(wǎng)絡(luò)協(xié)議分析為基礎(chǔ)，對(duì)各種網(wǎng)絡(luò)服務(wù)所具有的優(yōu)越性進(jìn)行分析，能夠更好的通過模糊綜合評(píng)判，來達(dá)成或?qū)崿F(xiàn)入侵檢測(cè)的目的。

2 方法原理

（1）協(xié)議分析

針對(duì)TCP／IP協(xié)議來講，其乃是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵所在，針對(duì)此協(xié)議而言，其由一組屬于各個(gè)層次的協(xié)議構(gòu)成。針對(duì)網(wǎng)絡(luò)協(xié)議而言，其所具有的層次特性，為協(xié)議分析的正常開展提供了穩(wěn)定性與可靠性。首先，針對(duì)數(shù)據(jù)包而言，需對(duì)其中的協(xié)議類型進(jìn)行判斷，然后，依據(jù)各協(xié)議所具有的不同特性，從中選擇合理特征。針對(duì)文中而言，所采用協(xié)議分析主要由層組成：

其一，協(xié)議類型（protocol type），即tep udp iemp.

其二，服務(wù)類型（server），即（tcp）private other http ftp smtp；（icmp）eco_i；

其三，等連接標(biāo)識(shí)（flag），即SF REG SO SH等。

（2）模糊綜合評(píng)判原理

所謂模糊評(píng)判，實(shí)際即為結(jié)合所提供的實(shí)測(cè)值及評(píng)價(jià)標(biāo)準(zhǔn)，通過開展模糊變換，來評(píng)價(jià)事物的一種方法。而對(duì)于綜合評(píng)判而言，即對(duì)由各種因素所影響的事物展開評(píng)價(jià)，從本質(zhì)上來講，就是以評(píng)判對(duì)象為對(duì)象，依據(jù)所提供的相關(guān)條件，分別對(duì)各對(duì)象賦予一個(gè)非負(fù)實(shí)數(shù)—評(píng)語結(jié)果，然后根據(jù)這種順序，從中進(jìn)行優(yōu)選。針對(duì)模糊綜合評(píng)判來講，其步驟為：

針對(duì)因素集來講，從本質(zhì)上來講，就是將那些對(duì)評(píng)價(jià)對(duì)象造成影響的各種因素當(dāng)作其元素，由此而構(gòu)建起的一個(gè)普通集合。

②構(gòu)建權(quán)重集：對(duì)于各因素而言，因其核心程序存在一定的差異性，對(duì)此，為了能將各因素所具有的重要程度給體現(xiàn)出來，需要基于各因素，分別賦予其一個(gè)權(quán)數(shù)ai，各個(gè)權(quán)數(shù)經(jīng)過規(guī)律性組成，便構(gòu)成了集合

即權(quán)重集。

③構(gòu)建評(píng)價(jià)集：針對(duì)評(píng)價(jià)集來講，實(shí)際就是評(píng)價(jià)者根據(jù)實(shí)際情況，針對(duì)評(píng)判對(duì)象所作出的總評(píng)集合：

④將評(píng)判矩陣找出來：針對(duì)評(píng)判對(duì)象，依據(jù)因素集當(dāng)中的第i個(gè)因素μi，開展系統(tǒng)化評(píng)判，除此之外，針對(duì)評(píng)價(jià)集當(dāng)中的第j個(gè)元素vi，如果其隸屬程度是rij，那么對(duì)于第i個(gè)因素μi而言，其評(píng)判結(jié)果便可以運(yùn)用模糊集合來表示

單因素評(píng)價(jià)集由Ri表示，其實(shí)為整個(gè)評(píng)價(jià)集V上當(dāng)中的一個(gè)典型的模糊子集，即：，模糊評(píng)判矩陣為：

⑤綜合評(píng)判：針對(duì)單因素模糊評(píng)判而言，其僅僅能夠?qū)⒁粋€(gè)因素對(duì)整個(gè)評(píng)判結(jié)果所具有的影響給反映出來。從總體上來講，其實(shí)遠(yuǎn)遠(yuǎn)不足的，最終目的即為開展綜合評(píng)判，從中獲取準(zhǔn)確、詳細(xì)的評(píng)判結(jié)果。針對(duì)模糊綜合評(píng)判來講，可用公式進(jìn)行表示，在此公式當(dāng)中，“Ο”所表示的是模糊關(guān)系框架下所生成的合成算子，而對(duì)于bj而言，實(shí)際就是進(jìn)行模糊綜合評(píng)判的一項(xiàng)重要指標(biāo)?；趶V義模糊運(yùn)算條件下，即M（Λ，V），在整個(gè)運(yùn)算模型中，“n”所表示的是 “與”運(yùn)算，而“V”所表示的是“或”的運(yùn)算，由于運(yùn)算不同，與之相對(duì)應(yīng)的模型含義也會(huì)存在差異。

（3）入侵檢測(cè)算法

模糊入侵檢測(cè)的算法思路為：

①依據(jù)判決輸出方面所給出的具體要求，完成模糊集合的構(gòu)建；

②將網(wǎng)絡(luò)數(shù)據(jù)包提取出來，基于TCP／IP協(xié)議，可將其劃分為三種類型，其一為tcp，其二為udp，其三為icmp；

③結(jié)合協(xié)議的相應(yīng)服務(wù)類型，開展總體的分類工作，比如以u(píng)dp為基礎(chǔ)進(jìn)行分類，即private and others；

④結(jié)合②中所給出的分類，來對(duì)網(wǎng)絡(luò)傳輸標(biāo)志flag實(shí)施劃分，比如SF；

⑤結(jié)合某類容易遭受攻擊的特征屬性所對(duì)應(yīng)的數(shù)據(jù)集，并以上述分類為參照，來權(quán)重賦值與之相關(guān)的各種因素，從中便可以將權(quán)重分配向量A的出來，用于切實(shí)滿足各向量所對(duì)應(yīng)的元素之和為1的基本條件，并且從中將其單因素確定下來，當(dāng)作判決向量，最終，便能夠經(jīng)過單因素，對(duì)矩陣R進(jìn)行判決；

⑥通過開展系統(tǒng)化的合成運(yùn)算，能夠從中獲得評(píng)判向量結(jié)果B，結(jié)合模糊識(shí)別所持有的最大隸屬原則，便能夠從中得到最終判決結(jié)果，也就是所說的模糊集。

3 入侵檢測(cè)算法的具體實(shí)現(xiàn)

（1）實(shí)現(xiàn)原理，圖l為算法的實(shí)現(xiàn)原理。

圖1 文中提出算法的實(shí)現(xiàn)原理

（2）確定模糊數(shù)據(jù)參數(shù)的具體方法

無論是模糊綜合評(píng)判的三要素，還是對(duì)因素權(quán)重進(jìn)行評(píng)判的相關(guān)分配，均以諸多攻擊數(shù)據(jù)的系統(tǒng)化統(tǒng)計(jì)所得。針對(duì)KDD Cup 1999 Data數(shù)據(jù)庫來講，其無論是在數(shù)據(jù)挖掘領(lǐng)域中，還是在知識(shí)發(fā)現(xiàn)領(lǐng)域，均為具有較高權(quán)威性的數(shù)據(jù)集合。比如早在1999年，所組織的2大競(jìng)賽，其一為分類器競(jìng)賽，其二為知識(shí)發(fā)現(xiàn)競(jìng)賽。針對(duì)分類器競(jìng)賽來講，其基礎(chǔ)背景就是入侵檢測(cè)，通過此檢測(cè)的運(yùn)用，較好的且系統(tǒng)化的提供了與入侵檢測(cè)相關(guān)的數(shù)據(jù)集，針對(duì)參賽者來講，其運(yùn)用此該數(shù)據(jù)，開展集中訓(xùn)練，另對(duì)各自所對(duì)應(yīng)的分類器進(jìn)行計(jì)算，從中將對(duì)分類器各項(xiàng)技術(shù)性能進(jìn)行準(zhǔn)確評(píng)估。首先，以KDD Cup 1999 Data數(shù)據(jù)庫為基礎(chǔ)，對(duì)其中的一些重要數(shù)據(jù)進(jìn)行提取，比如kddcup.data-10-percent.gz，而在整個(gè)數(shù)據(jù)集當(dāng)中，所記錄的全部是某類型的攻擊，然后，結(jié)合受攻擊的具體類別與對(duì)象屬性，完成統(tǒng)計(jì)圖的繪制工作，最后結(jié)合所得出的統(tǒng)計(jì)結(jié)果，對(duì)模糊數(shù)據(jù)參數(shù)進(jìn)行劃分，并對(duì)界限加以明確，設(shè)定具體的參數(shù)賦值，完成上述步驟后，系統(tǒng)化修整這螳參數(shù)。

（3）實(shí)驗(yàn)仿真

①實(shí)驗(yàn)數(shù)據(jù)庫介紹

基于KDD Cup 1999 Data數(shù)據(jù)架構(gòu)中，主要可劃分為5種數(shù)據(jù)類別：分別為R2L攻擊數(shù)據(jù)、DOS攻擊數(shù)據(jù)、正常數(shù)據(jù)，Probe攻擊數(shù)據(jù)、U2L攻擊數(shù)據(jù)。而針對(duì)KDD Cup 1999 Data數(shù)據(jù)來講，其一共有多大41個(gè)屬性，在這些屬性當(dāng)中，數(shù)值型屬性占據(jù)其中的34個(gè)，而字符型屬性則占其中的7個(gè)。比如Probe攻擊類別當(dāng)中的satan攻擊。針對(duì)Satan攻擊而言，從本質(zhì)上來講，就是以某些探測(cè)程式為軸心，針對(duì)同一主機(jī)，開展關(guān)于網(wǎng)絡(luò)通信方面的掃描，以此種方式對(duì)主機(jī)當(dāng)中的網(wǎng)絡(luò)服務(wù)進(jìn)行查找，另外，還能查找其中的主要弱點(diǎn)。結(jié)合專家建議與經(jīng)驗(yàn)，對(duì)satan攻擊所持有的相應(yīng)特征屬性向量加以明確。

②確定數(shù)據(jù)參數(shù)值

針對(duì)模糊綜合評(píng)判來講，其判決因素所對(duì)應(yīng)的權(quán)重分配向量，以及與之相滿足的單因素評(píng)判向量為：

1）基于tcp連接情況下，在整個(gè)A=（0 0.1 0.1 0.1 0.3 0.4）中；其實(shí)為一種典型的服務(wù)類型（service），無論是其中的哪一種，與之呈對(duì)應(yīng)關(guān)系的單因素，所持有的評(píng)判向量均為（0.4 0.4 0.2）；而對(duì)于網(wǎng)絡(luò)傳輸而言，其核心標(biāo)志為flag，如果是SF，那么與之呈對(duì)應(yīng)關(guān)系的單因素，其評(píng)判向量就是（1 0 0），針對(duì)REJ而言，其評(píng)判向量是（0.1 0.4 0.5），除此之外的其它判斷向量，均認(rèn)定為（0.1 0.50.4）；而對(duì)于向?qū)?yīng)的變量為count，如果在取值上＞400，那么此時(shí)的單因素評(píng)判向量就是（0.1 0.1 0.8），如果＜400，那么就是（0.3 0.3 0.4）；針對(duì)變量rerror—rate來講，如果在實(shí)際取值時(shí)，其＞0.7，那么經(jīng)過單因素評(píng)判，其向量的取值區(qū)間為（0.1 0.1 0.8），如果是＜0.7，那么其取值區(qū)間就是（0.8 0.1 0.1）。

2）udp連接下，A=（0 0.4 0 0.1 0 0.5）；其具體的服務(wù)類型為（service），如果為prirate，那么與之相對(duì)應(yīng)的單因素評(píng)判向量就是（O.1 0.2 0.7），另外的都設(shè)定為（0.4 0.4 0.2）；flag為其網(wǎng)絡(luò)傳輸?shù)暮诵臉?biāo)志，其在判決中沒有參與，因此，判決向量的取值范圍是（0 0 O）；如果是＞0，那么與之相對(duì)應(yīng)的單因素，對(duì)應(yīng)的評(píng)判向量就是（0 01）。

③數(shù)據(jù)舉例

1）數(shù)據(jù)記錄（0 tcp other RFJ00 00000000 0000 000 0 511 1 0.09 0.00 0.91 1.00 0.00 1.00 0.00 255 l 0.001.00 0.00 0.00 0.06 0.00 0.94 1.00 satan.），則

A=（0 0.1 0.1 0.1 0.3 0.4）。

B=A*R=（0.13 0.2 0.61）。

那么最終所得出的判決結(jié)果為satan攻擊。

2）數(shù)據(jù)記錄（0 tcp http SF 290 516 0 0 0 0 0 1 0 0 0 0 00 0 0 0 0 6 10 0.00 0.00 0.00 0.00 1.00 0.00 0.40 255 2551.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 normal.），那么

A=（0 0.1 0.1 0.1 0.3 0.4）。

B=A*R=（0.73 0.14 0.13）。

那么最終所得出的判決結(jié)果就是正常數(shù)據(jù)。

4 入侵檢測(cè)結(jié)果的評(píng)估

（1）入侵檢測(cè)結(jié)果評(píng)估方法

怎樣比較準(zhǔn)確的對(duì)此模糊入侵算法的好壞進(jìn)行評(píng)價(jià)，從本質(zhì)上來講，就是可以將入侵攻擊所對(duì)應(yīng)的檢測(cè)率當(dāng)作其評(píng)價(jià)尺度，還可以將其誤報(bào)率當(dāng)作具體的評(píng)價(jià)尺度。針對(duì)判決結(jié)果的輸出來講，其相比于實(shí)際結(jié)果，可以設(shè)定4個(gè)數(shù)值變量參數(shù)，分別時(shí)I，N，A與L，除此之外，初始值均可設(shè)置為0，見表l。

表1 入侵檢測(cè)評(píng)估參數(shù)的賦值

針對(duì)此實(shí)驗(yàn)而言，其檢測(cè)率是L／（L+I），而A／（N+A）為其誤檢率。

（2）評(píng)估結(jié)果

將corrected.gz數(shù)據(jù)庫，當(dāng)作開展實(shí)驗(yàn)的主要數(shù)據(jù)來源。

以下便是實(shí)驗(yàn)結(jié)果，如表2。

表2 論文提出的檢測(cè)算法的實(shí)驗(yàn)結(jié)果

運(yùn)用相同測(cè)試數(shù)據(jù)，并以模糊模式識(shí)別為基礎(chǔ)所得到的實(shí)驗(yàn)結(jié)果，見表3。

表3 基于模糊模式識(shí)別的入侵檢測(cè)結(jié)果

（3）結(jié)果分析

通過對(duì)上述實(shí)驗(yàn)結(jié)果進(jìn)行比較，可得治，本文所探討的入侵檢測(cè)算法，能夠得到比較準(zhǔn)確的檢測(cè)結(jié)果，即比較低的誤警率以及比較高的檢測(cè)率。相比于運(yùn)用相同測(cè)試數(shù)據(jù)，并且以模糊模式識(shí)別為基礎(chǔ)的攻擊檢測(cè)而言，誤警率得到大幅降低。

5 結(jié)語

綜上，本文所提出的算法，能夠較好的實(shí)現(xiàn)有傳統(tǒng)的模糊化所造成的誤警率偏高問題的有效解決。因而可以盡早發(fā)現(xiàn)且最大程度減少虛報(bào)入侵情況。因此，入侵檢測(cè)技術(shù)在實(shí)際當(dāng)中，有著良好的實(shí)用價(jià)值。但需指出的是，要想得到更加理想的結(jié)果，需結(jié)合攻擊類型的差異，從中選擇更為適宜、準(zhǔn)確的攻擊特征屬性，并且結(jié)合協(xié)議分析結(jié)果，權(quán)重分配綜合評(píng)判當(dāng)中的各種因素，并從中獲得所需要的統(tǒng)計(jì)信息。所以，將模糊綜合評(píng)判與協(xié)議分析有機(jī)融合在一起的入侵檢測(cè)算法，能夠使相關(guān)工作變得更加規(guī)范，從其所得出的檢測(cè)結(jié)果可以看出，其乃是值得的滲入研討的。