張昊

（沈陽理工大學(xué)信息科學(xué)與工程學(xué)院，遼寧 沈陽 100159）

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到工業(yè)、商業(yè)和人類生活的各個(gè)領(lǐng)域，隨著世界向云計(jì)算，移動(dòng)應(yīng)用和無線網(wǎng)絡(luò)發(fā)展，網(wǎng)絡(luò)安全比以往任何時(shí)候都更加重要。網(wǎng)絡(luò)中的攻擊行為種類繁多，網(wǎng)絡(luò)攻擊事件也屢屢發(fā)生。計(jì)算機(jī)安全協(xié)會(huì)的一份調(diào)查報(bào)告發(fā)現(xiàn)，45.6%的受訪者表示他們?cè)谶^去一年中至少遭受過一次有針對(duì)性的攻擊，數(shù)據(jù)泄露通常也會(huì)導(dǎo)致公司損失數(shù)十億美元資產(chǎn)[1]。因此，構(gòu)建可靠的網(wǎng)絡(luò)對(duì)IT管理員來說是一項(xiàng)非常重要的任務(wù)。同時(shí)，信息技術(shù)的快速發(fā)展也為建立可靠網(wǎng)絡(luò)帶來了若干挑戰(zhàn)，建立一個(gè)易于實(shí)現(xiàn)的網(wǎng)絡(luò)安全體系已經(jīng)成為一項(xiàng)非常艱巨的任務(wù)。針對(duì)上述問題，入侵檢測系統(tǒng)（IDS）應(yīng)運(yùn)而生，它是指被設(shè)計(jì)用來發(fā)掘那些對(duì)網(wǎng)絡(luò)安全可能產(chǎn)生威脅的行為的軟件或硬件系統(tǒng)，入侵檢測系統(tǒng)不僅易于實(shí)現(xiàn)并且切實(shí)可靠，是構(gòu)建網(wǎng)絡(luò)安全體系的重要措施。入侵檢測系統(tǒng)的主要任務(wù)是通過檢測網(wǎng)絡(luò)系統(tǒng)或主機(jī)設(shè)備上的惡意攻擊來保護(hù)計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)，監(jiān)視計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件并挖掘他們?nèi)肭值嫩E象[2]。IDS能夠?qū)W(wǎng)絡(luò)安全事件進(jìn)行發(fā)現(xiàn)、記載并產(chǎn)生安全報(bào)告，一般放在內(nèi)聯(lián)交換機(jī)的生成端口或集線器上，用來取代交換機(jī)。

1 常見的入侵檢測系統(tǒng)

常見的入侵檢測系統(tǒng)主要有：基于主機(jī)的IDS（HIDS）、基于網(wǎng)絡(luò)的IDS（NIDS）以及基于簽名的IDS，其具體介紹如下：

基于主機(jī)的IDS是一種通常在計(jì)算機(jī)、節(jié)點(diǎn)或設(shè)備中運(yùn)行的IDS，現(xiàn)如今已經(jīng)開發(fā)了許多可用于監(jiān)視網(wǎng)絡(luò)的HIDS變種。它的主要功能是內(nèi)部監(jiān)控，首先，它監(jiān)視和分析計(jì)算機(jī)、節(jié)點(diǎn)或設(shè)備的內(nèi)部[3]。然后，HIDS確定系統(tǒng)是否已被入侵并警告管理員。例如，它可以檢測到一個(gè)流氓程序，以可疑的方式訪問系統(tǒng)資源，或者發(fā)現(xiàn)程序以有害的方式修改注冊(cè)表。

基于網(wǎng)絡(luò)的IDS與HIDS的不同之處在于它通常沿著LAN線放置。它試圖通過分析遍歷到多個(gè)主機(jī)的線路的流量來發(fā)現(xiàn)對(duì)LAN的未授權(quán)和惡意訪問。目前已經(jīng)有許多用于檢測惡意流量的算法，它們通常讀取入站和出站數(shù)據(jù)包并搜索任何可疑模式[4]。NIDS生成的任何警報(bào)都允許它通知管理員或采取主動(dòng)操作，例如阻止源IP地址。NIDS最常見的位置是使用網(wǎng)絡(luò)分路器直接連接到交換機(jī)跨接端口，并且在內(nèi)部連接[5]。

在基于簽名的IDS中，IDS查找數(shù)據(jù)包并將其與預(yù)定義的規(guī)則或模式（稱為數(shù)據(jù)庫中定義的簽名）進(jìn)行比較[6]。該技術(shù)的主要優(yōu)點(diǎn)是簡單有效地處理審計(jì)數(shù)據(jù)?；诤灻姆椒ǖ膬?yōu)點(diǎn)是具有低得多的誤報(bào)率。但是基于簽名的檢測這種方法對(duì)未知攻擊是無效，隨著每小時(shí)新攻擊和惡意活動(dòng)的更新速度的加快，基于簽名的IDS僅能檢測到與其簽名數(shù)據(jù)庫和規(guī)則集的貼近度一樣的攻擊方式。

2 KNN算法在入侵檢測中的適用性

面對(duì)肆意發(fā)生的網(wǎng)絡(luò)攻擊，入侵檢測系統(tǒng)需要通過對(duì)網(wǎng)絡(luò)攻擊行為有更高檢測率的檢測算法來維護(hù)網(wǎng)絡(luò)安全。在本節(jié)首先介紹樸素貝葉斯、C4.5決策樹和KNN算法的原理，然后比較分析KNN算法相比于樸素貝葉斯和C4.5決策樹算法在入侵檢測系統(tǒng)中有更好的適用性。

2.1 樸素貝葉斯

根據(jù)貝葉斯定理有，給定樣本特征B,樣本屬于類別A的概率為：

樸素貝葉斯是基于貝葉斯定理和特征條件獨(dú)立假設(shè)的分類方法，則有：

在上式中，分母對(duì)于所有類別來說都相等，因此只需將分子最大化，所以有：

對(duì)于一個(gè)新的測試樣本X,對(duì)各個(gè)類別計(jì)算P( X | yi) P( yi)概率，如果某個(gè)類標(biāo)yi使該概率最大化，則該測試樣本的類標(biāo)則為yi[7]。

2.2 C4.5決策樹算法

C4.5決策樹是一種用于分類和回歸的有監(jiān)督學(xué)習(xí)方法，C4.5決策樹的本質(zhì)是構(gòu)建一個(gè)樹，其中每個(gè)分支顯示多個(gè)可能性之間的概率，每個(gè)葉子用來顯示決策[8]。C4.5決策樹算法收集信息并將其用于決策，在C4.5決策樹中，每個(gè)類別根據(jù)不同的屬性劃分?jǐn)?shù)據(jù)，目標(biāo)是以最少的決策數(shù)量實(shí)現(xiàn)完美的分類。

2.3 K-近鄰算法（KNN）

K近鄰算法(k-nearest neighbor, KNN)是一種基于實(shí)例的學(xué)習(xí)方法，也可以稱為懶惰學(xué)習(xí)，它是用于分類或回歸的非參數(shù)方法[9]。KNN的分類原理為對(duì)于訓(xùn)練集中待分類的對(duì)象，每個(gè)對(duì)象的分類由最近的K個(gè)數(shù)據(jù)投票確定，即對(duì)象被分配給最近的K個(gè)對(duì)象中最多的類，并由訓(xùn)練集中K個(gè)最近鄰居的多數(shù)標(biāo)簽表示。每個(gè)對(duì)象的特征由位置矢量描述，并且特征之間的距離由歐幾里德或曼哈頓距離測量。

2.4 比較分析

從上述對(duì)算法原理的分析我們可以得出，樸素貝葉斯算法對(duì)輸入數(shù)據(jù)的要求較為嚴(yán)格，若某個(gè)屬性值在訓(xùn)練集中沒有與某個(gè)類同時(shí)出現(xiàn)過，則直接基于條件概率與先驗(yàn)概率的計(jì)算公式進(jìn)行計(jì)算，將出現(xiàn)不論其它屬性如何，該類的判別概率都為0的問題，導(dǎo)致分類質(zhì)量大大降低，這在我們?nèi)肭謾z測系統(tǒng)中將會(huì)產(chǎn)生嚴(yán)重的漏判問題，導(dǎo)致大部分網(wǎng)絡(luò)攻擊行為無法檢測出來，給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來嚴(yán)重問題。而C4.5決策樹算法相比于樸素貝葉斯來說，雖然在輸入數(shù)據(jù)要求上并不嚴(yán)格，可以處理具有不相關(guān)特征的數(shù)據(jù)，但同時(shí)由于其分類原理是選擇最佳特征進(jìn)行分類，很容易造成過度匹配的問題，在入侵檢測系統(tǒng)中往往會(huì)產(chǎn)生對(duì)某種攻擊行為檢測率較高，而對(duì)其他攻擊行為檢測率很低的問題，對(duì)于入侵檢測系統(tǒng)來說，這都不是我們希望看到的。

入侵檢測系統(tǒng)需要的是算法易于實(shí)現(xiàn)，對(duì)數(shù)據(jù)結(jié)構(gòu)并不敏感，且檢測精度較高的檢測技術(shù)。KNN算法是基于不同數(shù)據(jù)特征值之間的距離進(jìn)行分類的，采用計(jì)算不同數(shù)據(jù)之間的歐幾里德或曼哈頓距離來判別待測數(shù)據(jù)的類別，通過這種精確的數(shù)學(xué)計(jì)算，在入侵檢測系統(tǒng)中，會(huì)對(duì)網(wǎng)絡(luò)攻擊行為產(chǎn)生較好的檢測效果。

3 實(shí)驗(yàn)結(jié)果分析

為了分析上述入侵檢測技術(shù)的性能，本節(jié)采用應(yīng)用廣泛的樸素貝葉斯、KNN和C4.5決策樹算法在KDD Cup99 數(shù)據(jù)集[10]上進(jìn)行仿真實(shí)驗(yàn)。并給出評(píng)價(jià)指標(biāo)準(zhǔn)確率和召回率。準(zhǔn)確率指正確檢測到入侵記錄數(shù)與記錄總數(shù)的比例，召回率指正確檢測到入侵記錄數(shù)與入侵記錄總數(shù)的比例。

表1給出了樸素貝葉斯、K-NN和C4.5決策樹檢測算法對(duì)攻擊行為檢測的準(zhǔn)確率和召回率。

表1 不同算法對(duì)攻擊行為的檢測效果Tab.1 Detection effect of different algorithms on attack behavior

圖1給出了樸素貝葉斯、KNN和C4.5決策樹檢測算法對(duì)攻擊行為檢測準(zhǔn)確率和召回率的柱狀圖。

圖1 不同算法對(duì)攻擊行為的檢測效果Fig.1 Detection effect of different algorithms on attack behavior

由上述實(shí)驗(yàn)結(jié)果可以看到，樸素貝葉斯和C4.5決策樹檢測算法對(duì)網(wǎng)絡(luò)攻擊行為檢測都有一定的效果，但KNN算法的檢測效果最好，樸素貝葉斯檢測算法的準(zhǔn)確率和召回率明顯低于K-NN和C4.5決策樹檢測算法，檢測效果較差。而KNN和C4.5決策樹檢測算法雖然在準(zhǔn)確率上相差不多，但KNN的召回率要明顯高于C4.5決策樹檢測算法，說明KNN相比C4.5決策樹檢測算法對(duì)網(wǎng)絡(luò)中的攻擊行為有更好的檢測效果。由此可見，KNN算法相比于樸素貝葉斯和C4.5決策樹檢測算法在入侵檢測系統(tǒng)中有更好的檢測效果，非常適合應(yīng)用到入侵檢測系統(tǒng)當(dāng)中。

4 結(jié)論

本文介紹了IDS在網(wǎng)絡(luò)安全的重要性，以及不同類型的入侵檢測系統(tǒng)、方法和技術(shù)。每種技術(shù)和IDS都有其優(yōu)越性和局限性，因此在選擇最佳方法時(shí)應(yīng)注意。本文通過算法原理和在KDD Cup99數(shù)據(jù)集上的實(shí)驗(yàn)分析發(fā)現(xiàn)，樸素貝葉斯、K-NN和C4.5決策樹檢測算法都可以用于入侵檢測系統(tǒng)中對(duì)網(wǎng)絡(luò)攻擊行為的檢測，但K-NN算法在入侵檢測系統(tǒng)中有更好的檢測效果，非常適合應(yīng)用于入侵檢測系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊行為的檢測。在今后會(huì)將研究重點(diǎn)放在常見的入侵檢測模型上，同時(shí)也會(huì)對(duì)KNN算法的計(jì)算復(fù)雜度進(jìn)行進(jìn)一步的研究。