摘 要 本文旨在設(shè)計(jì)出整套嶄新網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)來(lái)表明遺傳算法、模糊數(shù)據(jù)挖掘技術(shù)檢測(cè)網(wǎng)絡(luò)入侵具有有效性。該系統(tǒng)綜合運(yùn)用了在模糊數(shù)據(jù)挖掘技術(shù)和專家系統(tǒng)的基礎(chǔ)上的異常檢測(cè)和濫用監(jiān)測(cè)兩種模式。本文首先簡(jiǎn)要介紹了新式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)，隨后從模糊邏輯、數(shù)據(jù)挖掘這兩方面對(duì)模糊數(shù)據(jù)挖掘技術(shù)下的異常檢測(cè)進(jìn)行分析，說(shuō)明模糊邏輯頻率集可使入侵檢測(cè)誤判率降低。最后用遺傳算法對(duì)模糊數(shù)據(jù)隸屬函數(shù)進(jìn)行調(diào)整，證明遺傳算法在識(shí)別各種入侵類型時(shí)十分有效。

【關(guān)鍵詞】遺傳算法 數(shù)據(jù)挖掘 檢測(cè)方法

網(wǎng)絡(luò)入侵檢測(cè)通常氛圍異常檢測(cè)和濫用檢測(cè)兩種方法，濫用檢測(cè)技術(shù)通常是以專家知識(shí)鑒別入侵出現(xiàn)與否，這就導(dǎo)致它檢測(cè)偽裝后入侵模式和新入侵模式的檢出率較低。為此，人們嘗試采用異常檢測(cè)技術(shù)處理該問(wèn)題，采取異常檢測(cè)會(huì)檢測(cè)出同正常行為有別的行為，并發(fā)布相應(yīng)警報(bào)。

1 新式入侵檢測(cè)系統(tǒng)的體系構(gòu)造

故此，我們向模糊邏輯理論轉(zhuǎn)變檢測(cè)理念。事實(shí)上，模糊邏輯理論十分適合解決網(wǎng)絡(luò)入侵檢測(cè)難題。

（1）模糊邏輯中擁有大量定量特性可以對(duì)應(yīng)網(wǎng)絡(luò)入侵檢測(cè)的特征；

（2）用模糊邏輯理論對(duì)網(wǎng)絡(luò)入侵檢測(cè)問(wèn)題進(jìn)行處理安全性會(huì)更高。

本文中我們運(yùn)用模糊邏輯來(lái)使數(shù)據(jù)挖掘技術(shù)性能增強(qiáng)，并以此創(chuàng)建新智能入侵檢測(cè)系統(tǒng)，并且將模糊數(shù)據(jù)挖掘技術(shù)和遺傳算法技術(shù)運(yùn)用在其中。

將一個(gè)新式、智能的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)和創(chuàng)建出來(lái)是我們的終極目標(biāo)，該系統(tǒng)應(yīng)具備靈活、精準(zhǔn)、及時(shí)、分布性等特性，不會(huì)由于極小的差別就會(huì)出現(xiàn)檢測(cè)失誤，且擁有適應(yīng)新?tīng)顩r的能力。

該種新式的系統(tǒng)體系結(jié)構(gòu)在邏輯模糊論的基礎(chǔ)上，機(jī)器學(xué)習(xí)組件對(duì)網(wǎng)絡(luò)系統(tǒng)的正常行為展開(kāi)學(xué)習(xí)。最后，采用模糊和非模糊這兩種頻率集儲(chǔ)存正常行為。

審計(jì)試驗(yàn)監(jiān)測(cè)數(shù)據(jù)時(shí)采用異常入侵檢測(cè)模塊，且在對(duì)比正常行為和新行為之后判定出異常是否產(chǎn)生。假若與提供的闕值相比，模式集合相近度低，就可以判定為異常行為產(chǎn)生，則系統(tǒng)就要將這一入侵警告發(fā)出。

作為使用模糊集合和專家知識(shí)這兩種規(guī)則的濫用入侵檢測(cè)模塊，要使新行為匹配已知的攻擊行為，從而對(duì)新行為是否為入侵行為做出判斷。

該系統(tǒng)不但可以綜合運(yùn)用異常檢測(cè)和濫用檢測(cè)模式，而且可使用模糊邏輯方式。在各檢測(cè)模塊中，運(yùn)用模糊邏輯，能夠更為靈活、敏捷的判定入侵行為之規(guī)則，使其遭受損壞的概率大幅降低。

系統(tǒng)在機(jī)器學(xué)習(xí)組件的支持下能夠很快的與新環(huán)境相適應(yīng)，實(shí)行該檢測(cè)方式時(shí)可視作入侵檢測(cè)模塊集合。而某入侵檢測(cè)模塊不但能對(duì)一種入侵類型進(jìn)行處理，還能處理融合若干入侵的類型。而若干個(gè)入侵檢測(cè)模塊彼此協(xié)作可對(duì)繁瑣入侵行為進(jìn)行檢測(cè)，該種協(xié)作式檢測(cè)具有松耦合的特性，它們依然相對(duì)獨(dú)立的展開(kāi)作業(yè)，模塊不同運(yùn)用的方式也有較大差異。比如，某模塊入侵檢測(cè)基本規(guī)則可設(shè)定為專家系統(tǒng)，而另外模塊在進(jìn)行入侵檢測(cè)時(shí)可運(yùn)用神經(jīng)網(wǎng)絡(luò)分類器展開(kāi)。該種松耦合形式的協(xié)作，對(duì)系統(tǒng)擴(kuò)張的抑制有益，也就是在持續(xù)增加入侵行為種類時(shí)，可采用各模塊間的恰當(dāng)協(xié)作來(lái)抑制，不用再增添新檢測(cè)模塊。

通信模塊是決策和入侵檢測(cè)這兩大模塊的橋梁，而某一入侵檢測(cè)是否激活或者對(duì)各模給出的評(píng)估結(jié)果進(jìn)行整合則取決于決策模塊。

2 在模糊數(shù)據(jù)挖掘基礎(chǔ)上的異常檢測(cè)

在龐大數(shù)據(jù)中將有用信息挖掘出來(lái)是數(shù)據(jù)挖掘技術(shù)應(yīng)履行的職能。模糊邏輯集合論在該技術(shù)協(xié)助下，更為靈活的滿足入侵檢測(cè)要求。

2.1 模糊邏輯

在對(duì)入侵檢測(cè)功能進(jìn)行履行的過(guò)程中，能進(jìn)行兩秒內(nèi)“目的各異的IP地址”數(shù)目進(jìn)行檢測(cè)，下面就這一數(shù)據(jù)對(duì)以下規(guī)則進(jìn)行編制：

If“秒內(nèi)“目的各異的IP地址”數(shù)目”為高；

Then該異常狀況就此生成；

在標(biāo)準(zhǔn)集合邏輯論之下，務(wù)必要確定目的IP地址數(shù)目最高的是哪個(gè)分類器，應(yīng)當(dāng)離散規(guī)劃典型地址的可能值，各集合則是由相應(yīng)的范圍代表。并且其中各值隸屬度則是由Y軸表示。比如：“10”這一值比該集合“低”，那么集合隸屬度就是1，然而之于“高”集合和“中”集合來(lái)說(shuō)，0就是其隸屬度。

在模糊集合邏輯論中，某數(shù)據(jù)的一部分或者全部隸屬于若干個(gè)類種，也就是隸屬度不是唯一性。比如“9”這一值要比該集合“低”，而0.35是其隸屬度，然而之于集合“中”卻有0.7的隸屬度。在該例子中，分段線性函數(shù)是模糊集合隸屬函數(shù)種類。運(yùn)用模糊邏輯屬于，模糊變量是目的端口數(shù)目，其在模糊集合的整個(gè)集合中，不但有在中、低區(qū)間的可能，還有可能出現(xiàn)在高區(qū)間。

2.2 數(shù)據(jù)挖掘

2.2.1 關(guān)聯(lián)規(guī)則

為了方便表明關(guān)聯(lián)規(guī)則，運(yùn)用零售行業(yè)中的審計(jì)數(shù)據(jù)間的相關(guān)性進(jìn)行闡釋。比如，消費(fèi)者在購(gòu)買飲料A的同時(shí)還會(huì)采購(gòu)薯片B，進(jìn)而就能夠用A—>B的形式進(jìn)行兩種零售食品的關(guān)聯(lián)。假設(shè)四分之一的銷售者同時(shí)購(gòu)買兩種物品，這就會(huì)有一般的消費(fèi)者在買完薯片后再去買薯片。那么S=0.25是A—>B的支持度，而可信度C則為0.5。在文獻(xiàn)[1]中，對(duì)某一迅速推測(cè)算法在進(jìn)行關(guān)聯(lián)規(guī)則挖掘進(jìn)行表述，該算法只要有最小的支撐度和可信度這兩個(gè)闕值即可。然而受到挖掘的規(guī)則關(guān)聯(lián)程度維持與否取決于這兩個(gè)闕值。

2.2.2 模糊關(guān)聯(lián)規(guī)則

為了運(yùn)用文獻(xiàn)[1]中的迅速使用在關(guān)聯(lián)規(guī)則挖掘的推測(cè)算法，應(yīng)當(dāng)將定量變量向離散的類別劃分。這就需要對(duì)敏銳的“邊界問(wèn)題”進(jìn)行考量，即即便是改變極小的數(shù)值就會(huì)使類別產(chǎn)生巨變。故此，在資料[2]中引入模糊關(guān)聯(lián)規(guī)則定義來(lái)處理該問(wèn)題。在該資料中，準(zhǔn)許某值對(duì)若干個(gè)模糊集合的支撐度發(fā)揮作用。

在該次研究的系統(tǒng)中，我們修復(fù)了資料[2]中的算法，也就是將歸一化因數(shù)引入來(lái)保證所有處理均只進(jìn)行一次計(jì)算。而本文研究的系統(tǒng)采用模糊關(guān)聯(lián)規(guī)則對(duì)某審計(jì)數(shù)據(jù)集合進(jìn)行挖掘的詳細(xì)案例為：{FN=低，SN=低}—>{RN=低}，s=0.49，c=0.924，然而在該例子中，SYN標(biāo)記量用SN表示，F(xiàn)IN標(biāo)記量用FN表示，RST在第二階段標(biāo)記量用RST表示。

假若將全套審計(jì)數(shù)據(jù)確定后，系統(tǒng)能從本組數(shù)據(jù)中將模糊管理規(guī)則之集合挖掘出來(lái)，而此類規(guī)則是精準(zhǔn)對(duì)該集合的行為模式的描繪。

在異常檢測(cè)過(guò)程中，首先在未入侵的數(shù)據(jù)中將規(guī)則性的一個(gè)集合挖掘出來(lái)，作為表述正常行為模式的集合，可視其為參照集合。當(dāng)對(duì)某組數(shù)是否屬于入侵行為進(jìn)行檢測(cè)時(shí)，應(yīng)當(dāng)將新數(shù)據(jù)集合相應(yīng)的規(guī)則集合同參照集合間展開(kāi)相近度核算，假若有較低的相近度就意味著這一集合為異常行為，同時(shí)發(fā)布警報(bào)。

而入侵未發(fā)生和入侵發(fā)生后的規(guī)則集合分別對(duì)比參考集合得出的相近性結(jié)果，可在表1中看出它們具有差異性。

設(shè)定本次模糊規(guī)則集合中最小支撐度和可信度分別為0.1和0.6。有入侵網(wǎng)絡(luò)1是仿真端口掃描入侵網(wǎng)絡(luò)，而有入侵網(wǎng)絡(luò)2則是仿真IP展開(kāi)欺騙型入侵。

2.2.3 頻率集

在參考資料[1]中，頻率集是以產(chǎn)生率最小為基礎(chǔ)、在事件序列中找出的最具簡(jiǎn)潔性序列頻率集的一種算法。而在審計(jì)數(shù)據(jù)中對(duì)暫時(shí)模式問(wèn)題進(jìn)行頻繁表征就使用了該辦法。在本系統(tǒng)中，我們?cè)趯?duì)參考資料[1]的方式進(jìn)行改良的基礎(chǔ)上展開(kāi)模糊頻率集的挖掘。在參考資料[2]中，[t，t]這一事件窗格內(nèi)產(chǎn)生的事件序列則是P（e1，e2……，ek）這一集合。假若在該這一時(shí)間間隔的子區(qū)間中沒(méi)有產(chǎn)生事件，則視該集合為最小。提供某一窗口闕值，在某一事件序列中，在所有比事件窗口間隔小的發(fā)生率最小之和為頻率P（e1，e2……，ek）。故此，如果提供的頻率闕值最小，假若頻率P/n比最小頻率要大或者等于最小頻率，那么P（e1，e2……，ek）的集合就是頻繁集合。

2.2.4 模糊頻率集

在本次所使用的系統(tǒng)中，是綜合頻率集和模糊邏輯之后進(jìn)行運(yùn)用。與過(guò)去使用方法相比，本次所使用的方法改良了最小發(fā)生率。以下就是本次研究中對(duì)模糊頻率集規(guī)則展開(kāi)挖掘的其中某一實(shí)例。

{E1比PN為低，E2比PN為中}->{E3比PN為中}，其中s為0.108，c為0.854，w為10秒，在這個(gè)例子中E1、E2、E3是按著順序出現(xiàn)的事件，各種目標(biāo)端口在兩秒鐘之內(nèi)的端口數(shù)則是PN。為確保本次方法準(zhǔn)確，還分別使用模糊和非模糊這兩種頻率集對(duì)入侵檢測(cè)誤判率進(jìn)行檢測(cè)。而結(jié)果可知模糊邏輯頻率集可降低入侵誤判率。

3 遺傳算法對(duì)模糊集合隸屬函數(shù)的調(diào)整

遺傳算法是對(duì)優(yōu)化問(wèn)題進(jìn)行處理的常見(jiàn)方式，在模糊集合中使用時(shí)，遺傳算法的各個(gè)體對(duì)象涵蓋了隸屬函數(shù)的參數(shù)序列，能夠采用其使參照規(guī)則幾何與入侵行為相近度降低、與正常行為的相近度提升，采用遺傳算法對(duì)適當(dāng)?shù)暮瘮?shù)進(jìn)行定義之后，一旦處理某一入侵?jǐn)?shù)據(jù)與參考數(shù)據(jù)高相似度的失敗時(shí)，那么該函數(shù)就會(huì)得到某正常數(shù)據(jù)高相似與參考數(shù)據(jù)，遺傳算法采用逐步進(jìn)行好解決辦法個(gè)體對(duì)象群體，實(shí)現(xiàn)最后最佳目標(biāo)。在圖1中是遺傳算法調(diào)整適應(yīng)度函數(shù)的整個(gè)流程。

在圖1中呈現(xiàn)了采用遺傳算法是如何改變適應(yīng)度函數(shù)值的。最頂端的一條線是適應(yīng)度最好的個(gè)體，我們一直保留一代至下一代中最佳個(gè)體，故此，最好個(gè)體的適應(yīng)度值在群體中絕對(duì)不會(huì)降低。中間線則展現(xiàn)出群體均適應(yīng)度，說(shuō)明該群體所有適應(yīng)度呈現(xiàn)出持續(xù)提升的態(tài)勢(shì)，一直到其趨于穩(wěn)定為止。最低的線則表述了適應(yīng)度最差的個(gè)體適應(yīng)度水平，應(yīng)當(dāng)持續(xù)運(yùn)用交叉、突變的遺傳作業(yè)將變量引入到群體中。

從審計(jì)痕跡中要想掌握哪項(xiàng)能夠?qū)⒆罾硐氲男畔⒐┙o入侵檢測(cè)一般難度較大，確定最理想項(xiàng)的流程在機(jī)器學(xué)習(xí)領(lǐng)域叫做特征選擇。在若干實(shí)驗(yàn)之后，運(yùn)用遺傳算法在各種入侵行為的最佳指標(biāo)對(duì)軌跡進(jìn)行審計(jì)，將調(diào)整和估測(cè)模糊變量的隸屬函數(shù)篩選出來(lái)。根據(jù)挖掘規(guī)則各種結(jié)果為據(jù)：規(guī)則一：特征篩選和最優(yōu)化均無(wú)，規(guī)則二無(wú)特征篩選只有最優(yōu)化；規(guī)則三，特征篩選和最優(yōu)化均有。這三種結(jié)果說(shuō)明遺傳算法對(duì)隸屬函數(shù)進(jìn)行調(diào)整時(shí)，均可以對(duì)入侵檢測(cè)的整套特征值進(jìn)行篩選，同時(shí)得知遺傳算法能識(shí)別出各種入侵種類的特性。

4 結(jié)論

數(shù)據(jù)挖掘技術(shù)與模糊邏輯進(jìn)行有機(jī)融合之后，將整套新式系統(tǒng)方略提供給網(wǎng)絡(luò)入侵檢測(cè)。該系統(tǒng)的結(jié)構(gòu)不但對(duì)異常檢測(cè)給以支持而且在濫用檢測(cè)中使用，不但可以在個(gè)人工作站中使用，而且在復(fù)雜網(wǎng)絡(luò)同樣適用。非模糊和模糊規(guī)則均可用使用該系統(tǒng)進(jìn)行檢測(cè)。另外，還可以運(yùn)用遺傳算法對(duì)系統(tǒng)中運(yùn)用模糊變量的隸屬函數(shù)進(jìn)行調(diào)整，且篩選最具成效的特殊入侵的特征集合，因此遺傳算法和模糊數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)法值得廣泛推行。

（通訊作者：賈婧鎣）

參考文獻(xiàn)

[1]王晟，趙壁芳.基于模糊數(shù)據(jù)挖掘和遺傳算法的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)[J].計(jì)算機(jī)測(cè)量與控制，2012（03）：660-663.

[2]蔡文君.基于數(shù)據(jù)挖掘的入侵檢測(cè)方法研究[D].長(zhǎng)沙：中南大學(xué)，2008.

作者簡(jiǎn)介

呂峰（1978-），男，云南省昆明市人。碩士學(xué)位。現(xiàn)為云南中醫(yī)學(xué)院信息技術(shù)學(xué)院副教授。研究方向?yàn)橹嗅t(yī)藥與教育信息化、醫(yī)學(xué)高等教育、數(shù)據(jù)挖掘與云計(jì)算、智能醫(yī)療系統(tǒng)設(shè)計(jì)。

葉東海（1978-），男，云南省昆明市人。博士學(xué)位。現(xiàn)為云南中醫(yī)學(xué)院信息技術(shù)學(xué)院講師。研究方向?yàn)橹嗅t(yī)藥計(jì)算機(jī)教育、中醫(yī)藥信息挖掘。

楊宏（1977-），男，云南省昭通市人。碩士學(xué)位?，F(xiàn)為云南中醫(yī)學(xué)院信息技術(shù)學(xué)院副教授。研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)、多媒體及數(shù)據(jù)庫(kù)的教學(xué)及研究。

通訊作者簡(jiǎn)介

賈婧鎣（1979-），女，四川省瀘州市人。碩士研究生學(xué)歷?，F(xiàn)為云南中醫(yī)學(xué)院信息技術(shù)學(xué)院講師。研究方向?yàn)橹嗅t(yī)藥數(shù)掘挖掘、思想政治教育。

作者單位

云南中醫(yī)學(xué)院信息技術(shù)學(xué)院 云南省昆明市 650500