靳旭玲 余桂賢 徐亞飛 李光平 薛陽

1 北京建筑工程學(xué)院理學(xué)院 北京 100044

2 北京兆方投資控股股份有限公司 北京 100028

3 安徽省皖北煤電集團錢營孜煤礦 安徽 234000

4 北京政法職業(yè)學(xué)院 北京 102600

0 前言

無線網(wǎng)絡(luò)給我們的生活工作帶來了極大的方便，人們在利用無線網(wǎng)絡(luò)實現(xiàn)信息共享和信息交流的同時，無線網(wǎng)絡(luò)入侵(入侵是指任何試圖危害系統(tǒng)資源的完整性、保密性和可用性的行為或活動)也給我們帶來了很大的麻煩，為了保證無線網(wǎng)絡(luò)的機密性、完整性和可用性，人們正在研發(fā)無線網(wǎng)絡(luò)入侵檢測系統(tǒng)(Intrusion Detection system, IDS)。入侵檢測系統(tǒng)是一個試圖檢測到針對一個系統(tǒng)或者無線網(wǎng)絡(luò)的入侵并發(fā)出警報的系統(tǒng)。它是一項復(fù)雜的工程。入侵檢測系統(tǒng)檢測入侵者一般包括四個步驟：①數(shù)據(jù)收集；②特征提??；③入侵者識別；④報告和反應(yīng)。

入侵者識別是根據(jù)經(jīng)過提取的特征來判斷當(dāng)前的行為是不是入侵。這種判斷方法可分為兩大類：“異常檢測”和“誤用檢測”。誤用檢測方法是假定所有入侵行為和手段(及其變種)都能過表達為一種模式或特征，系統(tǒng)地目標(biāo)就是檢測主體活動是否符合這些模式。異常檢測方法是首先建立目標(biāo)系統(tǒng)及其用戶的正?；顒幽Ｐ?，然后基于這個模型對系統(tǒng)和用戶的實際活動進行審計，當(dāng)主體活動違反其統(tǒng)計規(guī)律時，則將其視為可疑行為，認為主體活動(例如一個程序)有可能是一個入侵者。由此可見在這兩大類方法中，關(guān)鍵是如何和那些已建立的“模式或模型”進行比較。這種比較方法可分為兩大類。一類是建立一些規(guī)則進行比較識別，其缺點是只能識別已知類型的入侵者，但不能識別未知入侵者；另一類則是基于模式識別的方法，例如，聚類分析算法。但是，一般的聚類分析結(jié)束后，需要人工確定每類代表的含義。本文在分類之前，預(yù)先選定一些已知入侵者的模板，把這些模板加入到待分類識別的樣本(入侵者)中去，然后，用聚類分析方法把已知模板和待識別的程序(入侵者或正常程序)一起分類。當(dāng)分類結(jié)束后，根據(jù)模板所在的類，就可知道該類是屬于哪個模板類(入侵者類型或正常程序)。這樣可省去一般分類方法分類結(jié)束后，還需人工識別的麻煩，提高了分類的自動化程度。同時，本文研究了一種新的分類方法----動態(tài)自適應(yīng)模板方法，在分類的同時，也可分出與已知模板(入侵者類型或正常程序)不同的新類(未知或新的入侵者)。最后，用訓(xùn)練好的動態(tài)自適應(yīng)模板方法識別新型入侵者。實驗表明用該方法檢測無線網(wǎng)絡(luò)系統(tǒng)中的新型入侵者的準(zhǔn)確率可達到98%。

下面對該方法給以比較詳細的介紹。

1 動態(tài)自適應(yīng)模板方法

動態(tài)自適應(yīng)模板方法可以自動完成分類識別入侵者，也可以加入一些試探性步驟和人機交互功能，能自動地進行類的合并和分裂，能吸取中間結(jié)果所得到的經(jīng)驗，主要時在迭代過程中可將一類一分為二，亦可能二類合二為一，從而得到類數(shù)較合理的聚類結(jié)果。這種算法已具有啟發(fā)式的特點。

下面我們給出動態(tài)自適應(yīng)模板方法：

(1) 動態(tài)自適應(yīng)模板方法的步驟，其基本步驟為：

① 選擇某些初始值—可選不同指標(biāo)，也可在迭代運算過程中人為修改，以將N個模式樣本按指標(biāo)分配到各個聚類中心去。

② 計算各類中諸樣本的距離函數(shù)等指標(biāo)。

③～⑤按給定的要求，將前一次獲得的聚類集進行分裂和合并處理(④為分裂處理，⑤為合并處理)，以獲得新的聚類中心。

⑥ 再次迭代運算，重新計算各項指標(biāo)，判別聚類結(jié)果是否符合要求，經(jīng)過多次迭代運算后，如結(jié)果收斂，運算結(jié)束。

(2) ISODATA算法的具體步驟：

已 知樣本集為{x1，x2，...，xN}，將 N 個模式樣本{x1，x2，...，xN}讀入。

預(yù)選Nc個初始聚類中心它可以不必等于所要求的聚類中心的數(shù)目，其初始位置亦可從樣本中任選一些代入。

第一步：規(guī)定下列控制參數(shù)：

預(yù)選：K=期望得到的聚類數(shù)，也即預(yù)期的聚類中心數(shù)目；

QN=一個聚類中的最少樣本數(shù)，即如少于此數(shù)就不作為一個獨立的聚類；

Qs=一個聚類域中樣本距離分布的標(biāo)準(zhǔn)偏差參數(shù)；

Qc=合并參數(shù)；

L=每次迭代允許合并的最大聚類對數(shù)；I=允許迭代的次數(shù)。

設(shè)初始的聚類數(shù)c和初始的聚類中心wi，i=1,2,...,c。

第三步：若有任何一個Ri，其基數(shù)Ni＜QN，則舍去Ri，并令c=c-1。

計算更新的均值向量。式中Ni是第 I個聚類的樣本數(shù)目(基數(shù))。

第五步：計算Ri中的所有樣本距其相應(yīng)的聚類中心wi的平均距離

第六步：計算所有樣本距離其相應(yīng)的聚類中心的平均距離：

第七步：(a)若這是最后一次迭代(由參數(shù) I確定)，則置θc=0，轉(zhuǎn)下面第十一步；

(c) 若是偶數(shù)次迭代，或若是c≥2K，則轉(zhuǎn)第(11)步。否則，往下進行。

第八步：對每一個聚類Ri，用下列公式求標(biāo)準(zhǔn)差

第九步：對每一個聚類，求出具有最大標(biāo)準(zhǔn)偏差的分量

σimax，i=1,2,...,c。

第十步：若對任一個 σimax，i=1,2,...,c，存在 σimax＞ θ ，并且有：

則把Ri分裂成兩個聚類，其中心相應(yīng)為和，把原來的wi取消，且令c=c+1。和的計算如下：

給定一個α值，0<α≤1，令ri=σimax，則和的距離不同，但又應(yīng)使Ri中的樣本仍然在這兩個新的集合中。

第十一步：對于所有的聚類中心，計算兩兩之間的距離：

第十二步：比較Dij和θc，將Dij<θc的值按上升次序排列：

第十三步：從最小的Di1j1開始，將距離為Di1j1的兩個聚類 中 心Wi1和Wj1合 并 ， 得 新 的 聚 類 中 心并令c= c-1。

第十四步：若這是最后一次迭代，則算法終止。否則，若根據(jù)經(jīng)驗需要改變參數(shù)，則轉(zhuǎn)第一步；若不需要改變參數(shù)，則轉(zhuǎn)第二步。本步中，還應(yīng)將迭代計數(shù)器加1。本算法完畢。

2 應(yīng)用動態(tài)自適應(yīng)模板法識別入侵者

基本做法是將每一個入侵者樣本與已存的模板——進行相似性度量測量，取距離最小或相關(guān)系數(shù)最大者歸類。動態(tài)自適應(yīng)模板法的基本思想是原有模板在聚類過程中不斷更新，并且允許在聚類分析過程中構(gòu)成新的模板。具體如下：

(1) 原有模板在聚類過程中不斷更新意思是指當(dāng)某一形態(tài)類別t增添了新樣本Xk時，則以下面的遞推公式對模板進行刷新：

式中Mt,k是第 K次更新的模板向量;Nt,k是歸入第t類的樣本數(shù)，所得的新模板是該類樣本的平均值。從統(tǒng)計學(xué)的觀點看，平均值更接近于真值。

(2) 允許在聚類分析過程中構(gòu)成新的模板的意思是對相似性測量的結(jié)果設(shè)定一個閾值，當(dāng)新的入侵者的樣本與原有所有模板的距離均大于這個閾值時， 則證明它不屬于已有的任一形態(tài)集，算法將以表達該入侵者的向量構(gòu)造一個新的模板。

定義第i個樣本和第m個模板之間的距離為：

式中：

下面表1是用該方法分類檢測入侵者的正確率。

3 實驗結(jié)果與討論

表1給出了用動態(tài)自適應(yīng)模板方法識別入侵者的結(jié)果。

表1 用動態(tài)自適應(yīng)模板方法識別入侵者的結(jié)果

由表1可以看出當(dāng)無線網(wǎng)絡(luò)流量達到1100Mbit/s時，幾種不同的入侵檢測系統(tǒng)(IDS)對入侵者的正確識別率是不同的。運用動態(tài)自適應(yīng)模板方法對入侵者的正確識率是最高的，從而證明本文研究的方法是有效的而且是可行的。當(dāng)網(wǎng)絡(luò)流量過大時，由于入侵檢測系統(tǒng)不能及時處理數(shù)據(jù)包，從而放棄對該數(shù)據(jù)包的檢測，導(dǎo)致對入侵者的正確識別率降低。

4 結(jié)論

實驗表明用本文提出的運用動態(tài)自適應(yīng)模板方法檢測入侵者的正確識別率是比較高的，從而證明本文研究的方法是有效的而且是可行的。該方法的優(yōu)點在于它能夠檢測到無線網(wǎng)絡(luò)系統(tǒng)中的未知類型的入侵者，提高了無線網(wǎng)絡(luò)系統(tǒng)的安全性，它也可檢測已知類型的入侵者。另外該方法識別入侵者的速度快，特別適合網(wǎng)絡(luò)流量很大時的入侵檢測，因為它處理速度快，不丟棄需要檢測的數(shù)據(jù)包，從而從另一個側(cè)面提高了對入侵者的正確識別率。

[1] 卿斯?jié)h,蔣建春,馬恒太.入侵檢測技術(shù)研究綜述[J].通信學(xué)報.2004.

[2] YG.Zhang.Intrusion Detection Techniques for Mobile Wireless Networks[J].Wireless Networks.2003.

[3] YG.Zhang.Feature Deduction and Ensemble design of Intrusion Systems[J].Computers & Security.2004.

[4] WK.LEE.Feature Selection of Intrusion Data using a hybrid genetic algorithm Approach[J].Wireless Networks.2007.