基于特征相关性分析和关联影响尺度分析的网络入侵检测模型

⃝⃝可在www.sciencedirect.com上在线获取ScienceDirectICT Express 2（2016）103www.elsevier.com/locate/icteFCAAIS：基于特征相关性分析和关联影响尺度分析的诉Jyothsna，V.V.拉玛·普拉萨德西安工程大学A.天气-班加罗尔，印度接收日期：2016年3月2日;接收日期：2016年8月6日;接受日期：2016年8月8日2016年8月26日在线发布摘要由于信息的敏感性，需要有效地检测网络入侵，收集大量的网络交易是不可避免的，近年来可获得的网络交易的数量和细节都很高。基于元启发式异常的评估是对入侵相关网络事务数据进行探索性分析的关键。为了从网络事务中所涉及的属性的可用细节来预测和提供关于入侵可能性的在这方面，一个元启发式评估模型，称为特征相关性分析和关联影响规模的探索，估计程度的入侵范围阈值的最佳功能的网络交易数据可用于训练。基于“基于特征关联影响尺度的网络入侵检测”模型在该策略中，使用线性典型相关进行特征优化，并从所选择的最佳特征中探索特征关联影响尺度实验结果表明，特征相关性对最小化测量特征关联影响尺度的计算复杂度和时间复杂度具有显著影响。c2016韩国通信信息科学研究所。出版社：Elsevier B.V.这是一篇开放获取的文章，CC BY-NC-ND许可证（http：//creativecommons. org/licenses/by-nc-nd/4. 0/）。关键词：入侵检测;特征约简;关联分析;关联影响尺度1. 介绍入侵检测系统主要分为误用入侵检测系统和异常入侵检测系统两误用入侵检测系统根据已知攻击参数和系统弱点识别然而，它不承认新的或不熟悉的攻击类型。异常入侵检测系统是基于正常行为的参数，并使用它们来识别任何明显偏离正常行为的行为。误用入侵检测机制对现有的入侵模式进行训练，并将考虑检查的数据与以前的模式进行匹配，以识别入侵，而异常入侵检测机制则可以识别入侵。*通讯作者。电子邮件地址：jyothsna1684@gmail.com（五）Jyothsna），vvramaprasad@rediffmail.com（V.V. RamaPrasad）.同行评审由韩国通信信息科学研究所负责。本文是题为《互联网中的ICT融合》特刊的一部分。由Yacine Ghamri-Doubang，Yeong Min Jang，Daeye-Kim，HossamHassanein和JaeSeung Song客座编辑。故障检测基于从正常使用的检查数据中识别模式。由于数据挖掘技术具有良好的入侵检测性能和泛化能力，因此通常利用数据挖掘技术来开发本质上有效的入侵检测系统。然而，实施和安装这样的系统的过程本质上是复杂的系统的固有复杂性可以根据准确性、能力和可用性的参数组织成单独的问题集与使用数据挖掘技术构建的IDS相关联的一个关键问题，并且主要与基于异常检测的那些技术相关联的是，与基于手工签名的先前检测技术相比，它们显示出更高的误报率因此，审计数据的处理和入侵检测的在线这些技术是困难此外，与现有的方法相比，这些技术需要大量的训练数据，并且与系统的学习过程相关联的复杂性很大。该方法的核心思想是将启发式技术应用于基于异常的入侵检测。启发式方法倾向于定义一个有助于评估网络http://dx.doi.org/10.1016/j.icte.2016.08.0032405-9595/c2016韩国通信信息科学研究所。Elsevier B. V.的出版服务。这是CC BY-NC-ND许可证下的开放获取文章（http：//creativecommons.org/licenses/by-nc-nd/4. 0/）。104诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103交易日设计的过程需要特征提取，降维减少提取的特征和特征选择。特征提取涉及使用具有变换的所有特征，所述变换包括所有初始特征的组合。在特征选择期间，根据分类标准选择特征。2. 相关工作Eduardo DelaHoz等人[1]提出了一种分类方法，该方法结合了统计技术和自组织映射来检测网络中的异常主成分分析（PCA）和FisherUjwala Ravale等人[2]提出了一种结合数据挖掘方法的混合技术。该方法采用K-means聚类算法减少与每个数据点相关的属性数，并采用支持向量机（SVM）的径向基函数（RBF）核进行分类。Gaikward等人[3]提出了一种实现IDS的机器学习方法采用遗传算法对特征集进行降维，并以部分决策树作为基本分类器实现入侵检测系统。Sunil Nilkanth Pawar等人[4]提出了一种基于遗传算法的可变长度染色体网络入侵检测系统具有相关特征的染色体用于规则生成。一个有效的适应度函数被用来定义每个规则的适应度每个染色体都有一个或多个规则，用于有效检测异常。匡方军等[5]提出了一种新的支持向量机模型，结合核主成分分析（KPCA）和改进的混沌粒子群优化算法。采用核主元分析作为支持向量机的预处理器，降低特征向量的维数，缩短训练时间;采用改进的混沌 粒 子 群 算 法 对 行 为 进 行 正 常 或 入 侵 判 断 。 IftikharAhmad等人[6]提出了一种基于特征值的PCA特征子集选择方法。与传统的PCA等选择特征值最高的方法不同，本文采用遗传主成分选择特征子集和支持向量机进行分类。Chun Guo等人[7]提出了一种混合学习方法，称为基于距离和的SVM（DSSVM），用于建模有效的IDS。DSSVM利用数据样本与数据集中聚类中心特征维数的相关性求出距离和，SVM作为分类器。Saurabh Mukherjee等人[8]提出了一种基于特征活力的约简方法来识别用于检测选择系统中异常的重要特征，并应用朴素贝叶斯分类器来检测IDS中的异常。3. 数据集描述由Lee和Stolfo等人[9]开发的数据集KDD- 99是一个广泛使用的数据集，通常用于评估异常检测。DARPA 1998年的入侵检测评估计划生成的数据是用于构建原始KDD-99数据集[10，11]，该数据集包含近4，900，000个唯一连接向量，其中每个连接向量由41个特征组成，其中34个是连续特征，7个是离散特征。NSL-KDD [12，13]数据集是其前身KDD-99数据集的改进版本由于NSL-KDD数据集包括大量数据，出于实验目的，从Kdd-www.example.com 10.gz中获取样本数据用于训练目的。cup.data用于训练的NSL-KDD数据集是主数据集的10%，相当于494，020个连接向量，并标记为正常或攻击。相对于“正常网络行为”表现出变化的活动在我们的实验中模拟的攻击属于下面描述的四种类型中的任何一种[15]：1. 拒绝服务攻击（DOS）：DOS攻击是一种攻击类型，攻击者通过消耗计算机或内存资源阻止对有效用户的访问，使系统无法处理有效请求。DOS攻击的例子有很多，如2. U2 R（User-to-root attack）：root攻击是一种攻击类型，攻击者获得对系统中有效用户帐户的访问权限有几种类型的U2R攻击，如3. 远程到本地攻击（R2L）：远程到本地攻击是一种攻击类型，其中没有帐户的攻击者基于现有的机器漏洞访问本地合法用户帐户。R2L攻击类型包括4. 探测攻击（Probing Attack，PROBE）：探测攻击是一种攻击类型，攻击者逃避安全并收集网络中计算机上的数据。PROBE攻击的类型有在 NSL-KDD 数 据 集 中 ， 考 虑 的 协 议 是 TCP 、 UDP 和UDP。4. 数据集预处理网络事务集包含42个特征，其值类型为连续和分类。为了促进优化过程，这些值应该是数字和分类的。首先，所有字母数字值必须转换为数值，然后连续值需要转换为分类值。4.1. 将字母数字值表示为数值，将连续值表示为分类值考虑每个具有字母数字值的特征，然后列出所有可能的唯一值，并以从1开始的增量索引列出它们。• 用相应的索引替换这些值。·诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103105}--|||| =||||∈∈Xy表1T和V之间关联的二进制表示。Val1val2Val3val4val5val6val7val8电视110000101（val1，val6，val8）电视201001101（val2，val5，val6，val8）电视311100010（val1，val2，val3，val7）电视400000010（val7）电视500010111（val4，val6，val7，val8）电视611110010（val1，val2，val3，val4，val7）Fig. 1.计数8的分类值集的示例加权图。考虑具有连续值的每个特征，然后将它们划分为具有最小值和最大值的一组范围，使得事务均匀地分布在所有这些范围中。4.2. 基于异常的入侵检测特征优化对预处理后的网络事务集进行了分类，将正常事务分为一个集合，DOS攻击事务分为另一个集合，以此类推。考虑结果正常事务集（NTS）中的每个特征值集fiv（NTS）及其覆盖百分比为fivfi（v1，c1）， fi（v2，c2），fi（v3，c3），fi（v4，c4），.f i（v j，c j）.然后，可以如以下步骤中所描述的那样执行针对每个攻击Ak的考虑表示攻击类型Ak的事务集ts（ Ak）(as例如，考虑称为DOS的攻击）。对于每个特征fi（ Ak），将所有值视为集合fiv（ Ak）。创建一个大小为fiv（ Ak）的空集fiv，并根据覆盖率填充fiv中的值，使得fiv（ Ak）≠fiv。这里fiv（ Ak）表示fi（ Ak）的特征值集合的大小。• 此过程建议准备的是功能值图二. STVS和V之间的对偶图。‘这个过程应该应用于攻击Ak的网络事务中设置的所有特征值。求fiv（ Ak）和fiv之间的典型相关。如果所得到的典型相关小于给定阈值或为零，则特征fi（Ak）可以被认为是评估入侵范围尺度的最佳特征。根据上述步骤中解释的过程，可以识别特定攻击Ak4.3. 典型相关分析考虑两个多维数据集X和Y，并使用基于CCA的标准统计技术，通过二阶自协方差矩阵和互协方差矩阵建立数据集之间的线性关系。该技术基于找到两个基，每个基用于数据集X和Y，其中互相关矩阵变为对角，并且对角的相关性被最大化。研究了用于实现典型相关的参数[16，17]，其中，X和Y数据向量应该是相等的;然而，数据向量x假设平均值为零，则X和y Y可以具有不同的维度。利用特征向量方程求解典型相关函数。Cx−1Cx yCy−1Cyxwx=ρ2wx−1 −1 2向量 fiv，使得 fiv兼容于CyyCyx CxxCxywy=ρ wy（1）·····106诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103图三.不同标签对正态数据的典型相关。这里，Cyx=E{yxT}，其中ρ2或特征值是典型相关性的平方，Wx和Wx或特征向量是归一化CCA基向量。的解等式等价于其数目等价于x和y的非零值，考虑具有较小维度值的向量。诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103107C=U（3）xyii=XY=XYYX00}}--∈我们的团队={个||||见图4。不同典型相关阈值下FCAAIS的完成时间。表2对偶图中边权的矩阵表示（取整到近似值）。表3矩阵的转置表示0.34 0 1 0 0 1.17单位矩阵 当C yx= C T时，等式（1）转换为，CxyCTwx =ρ2wxC y x C Twy= ρ2wy。（二）这些方程描述了互协方差矩阵Cxy的奇异值分解[18，19LT T我i=1这里U和V表示正交方阵（UT UI，VTV I），包括表示奇异向量的ui和vi在该方法中，考虑的奇异向量是表示传递规范相关性的基向量的wXi和wyi矩阵U和V以及随后的ui和vi奇异向量维度通常根据x和y数据向量的不同维度而变化=伪对角矩阵包括对角矩阵D，其包含等于非零的奇异值并且附加有零矩阵，这使得矩阵D与x和y的各种维数兼容。如果Cxy或互协方差矩阵具有满秩，则非零奇异值基本上是非零典型相关，其数量小于x和y5. 基于特征关联影响尺度的提出的特征关联支持度（FAS）度量方法首先考虑了网络事务将给定训练集的记录和在这些网络事务中使用的特征分类值作为两个独立的集，并进一步在这两者之间构建双工图。5.1. 假设特征f1，f2，f3，. . . . . . ，f n f ifiv1 ， fiv2，..... fivm是分类值并且对于特定攻击Ak是最优的，其通过对网络事务集合T（ Ak）应用典型相关分析来选择。这里T（ Ak）是给定训练集的特定攻击Ak的网络事务记录的集合，使得T={t1，t2，t3，. . . . . . t n={val（f 1），val（f 2），val（f i），val（f i+1），val（f n）}}.属于每个网络事务的特征的分类值的集合将被认为是事务值集合tvs，并且所有事务值集合被称为在上面的描述中，val（fi）可以被定义为val（fi）fiv1，fiv2..。 在此 之后，术语特征指的 是特征的当前分类值。两个特征5.2. 过程为了通过一个例子来探索这个过程，考虑特征的发散值的总数为8，并表示为集合Vval1，val2，. . . . val8和T6，这里，T是网络交易记录的大小。在表1和图2中，每个元素{val1，val2，. . . . val8}可以是f iv j，使得{f ivj<$i ∈ [1，2，. . . . . . n]<$j∈ [1， 2，m]}。0.3400000.6700.6700.521001.1700.52000.520.8400.84001001.171110001000000.670.840000000000.5200000000.6700.840.670.840.670.84000.8401.171.171.170.84001.34000100.671.340.670.84000.840典型相关性Cxx和Cyy都被转换为108诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103≥表4不同标号下PROBE范畴的场对正态数据的典型相关。攻击类型IPSWEEPNMAP波茨韦普持续时间000协议类型0.96558910服务0.3047480.3462880标志0.5751250.7551220src字节0.3237960.4333330DST字节0.04949600土地111图五、FCAAIS预报精度的性能分析错误片段111发散典型相关阈值。紧急111热000登录失败次数111登录100数量受损111root shell000苏企图111num root111num文件创建000num shell111num访问文件000出站命令数111是主机登录111是访客登录000计数0.7174190.2491870srv计数器0.3792260.6089430图六、在FAIS上观察到FCAAIS的过程时间复杂度优化错误率000srv服务错误率000错误率101srv错误率101同srv率0.999911差异srv率000srv diff主机速率0.1773730.4132730dst主机计数0.1506180.4838680dst主机服务器计数0.8469760.6185820dst主机相同srv速率0.9672120.7255550dst主机差异srv速率0.2804520.0776171dst主机相同src端口速率0.3241680.367440dst主机服务器差异主机速率0.4979230.6800340dst主机服务错误率000dst主机服务器错误率000dst主机错误率101dst主机服务器错误率111图7.第一次会议。观察到FCAAIS的流程完成时间优于FAIS。在检测被称为val k的每个特征分类值f ivj与网络交易记录的关联的过程中，首先在交易值集合STVS和特征分类值V之间建立一个双工图（图1）。3）。特征val（ f1），val（ f2）将被加权如下：return0;foreach{ tvs<$ tvs∈ STVS}ctvs +={1（val（f 1），val（f 2））tvs}。（五）当图的关系是二分的，并且在特征和事务值集之间形成边时，可以认为形成了一个双图。此图中的每个关系都指示了功能对网络事务的作用边缘在上面的等式中，ctvs表示事务的计数，它包含两个特征val（ f1），val（ f2）。然后，特征val（ f1）和val（ f2）之间的边权重可以如下测量。当且仅当特征F是TVS的一部分时，在事务值集合TVS和特征F之间的交互是可能的。这可以中央电视台w（val（f1）Participal（f2））=|校车|（六）表示为etvs<$f<$f∈tvs。在加权无向图（图1）中，表示以特征值作为顶点和特征值之间的边的加权图。任何两个在构造加权图的过程中，我们认为任意两个特征之间存在边当且仅当ctvs为1。在双工图（图2）中，虚线表示连接的元素属于双工诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103109表5PROBE类别的最佳特征（小于CC值的平均值表6正态数据下不同标号DOS范畴域的典型相关攻击类别：DOS攻击类型回来土地海王星POD蓝精灵泪珠持续时间00000 0协议类型0.9736718240.93200700.9716840.972549服务0.3041893820.3132100.3593820.303898标志0.9309592820.87287200.9838010 0.96171src字节0.418457014000.7354040.479463DST字节0.4749843880000.007766土地10111 1错误片段11111 0紧急11111 1热0.060474470000 0登录失败次数11111 1登录0.988362410000 0数量受损11111 1root shell00000 0苏企图11111 1num root11111 1num文件创建00000 0num shell11111 1num访问文件00000 0出站命令数11111 1是主机登录11111 1是访客登录00000 0计数0.6466760930.15110300.6392810 1srv计数器0.6591468260.69796900.6626110 1错误率00.07359000 0srv服务错误率00.218218000 0错误率11000 0srv错误率10000 0同srv率0.9997334810.97477400.9995270 1差异srv率00.996815000 0srv diff主机速率0.209491810.39443500.2493030 0dst主机计数10.30334100.4220840.780417dst主机服务器计数10.88335200.6868620.828144（接下页）110诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103表6（续）攻击类别：DOS攻击类型回来土地海王星POD蓝精灵泪珠dst主机相同srv速率0.9941140360.94269500.85294900.833876dst主机差异srv速率00.58635300.016100.014048dst主机相同src端口速率0.0573981670.26492700.19846100.236948dst主机服务器差异主机速率00.5707610100dst主机服务错误率0.0569629680.0280090000dst主机服务器错误率0.0362738130.291770000dst主机错误率10.6507910000dst主机服务器错误率110011表7DOS类的最优特征（小于CC值的平均值诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103111={个联系我们={个表8U2R范畴在发散标号下的场对正态数据的典型相关攻击类别：U2R攻击类型缓冲区溢出负载模块PerlRootkit持续时间0.0646800.6031720协议类型0.9477580.9320070.8703881服务0.264150.313210.5985280.599632标志0.7505830.8728720.8164970.822192src字节0.70143900.9887610.52679DST字节0.18360600.8207120.193833土地1011错误片段1111紧急1111热0.214286000登录失败次数1111登录1011数量受损1111root shell100.577351苏企图1111num root1101num文件创建000.577350num shell1101num访问文件0000出站命令数1111是主机登录1111是访客登录0000计数0.1508110.1511030.7966620.816236srv计数器0.5484710.6979690.664720.834614错误率00.0735900srv服务错误率00.21821800错误率0100srv错误率1000同srv率10.9747740.962250.987763差异srv率00.99681500srv diff主机速率00.39443500dst主机计数0.5701810.3033410.9938780.521379dst主机服务器计数0.4634040.8833520.8437330.466736dst主机相同srv速率0.9998380.9426950.7357180.545537dst主机差异srv速率00.5863530.3123480dst主机相同src端口速率0.2391580.2649270.0428180.331178dst主机服务器差异主机速率0.3923180.57076100.377964dst主机服务错误率00.02800900dst主机服务器错误率dst h00.3429970.291770.6507910100错误率dst主机服务器错误率1100图中实线表示特征值和交易值集合之间的关系如果在tvs1中存在被称为val1的特征分类值fivj，则val1和tvs1之间的连接的权重将是val1和tvs1的每个特征分类值fivjfivjtvs1之间的边的权重之和，graph.此外，将形成矩阵A，其表示事务值集合与特征分类值之间的双工图的然后得到矩阵A的转置A′将STVS视为一个数据库，并将其描述为一个没有信息丢失的双工图。让STVS tvs1，tvs2，，tvs6是交易值集合的列表，Vval1，val2，al8是特征分类值的对应集合然后，明确 校车 是 等效 到 图 DG（STVS，V，E）。这里，E={（tvsi， valj）：valj∈tvsi， tvsi∈STVS，valj∈V}。假设给定双工图的事务值集为枢轴，特征分类值为纯特权，枢轴和特权值可以如下测量事务值集合和特征连接的矩阵表示被表示为矩阵该值表示目标枢轴的特权特征分类值和其他特征分类值之间的边权重之和，该目标枢轴是事务值集。如果特征分类值val1存在于事务值集合tvs1中，则val1和tvs1之间的连接的权重将是val1和tvs1之间的边的权重之和。=112诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103联系我们F-F电视机||F-TV电视机 0=I J=−表9U2R类别的最佳特征（小于CC值的平均值每个特征分类值vali vali tvs1。这些权重是在加权图W G中表示的边权重。矩阵A的转置是A′（见表3）。|STVS|{（k）<$（ivj，i′vj′）<$ k}k=1.（九）|校车|通过聚合A′的每一行来查找特权权重（表示特权权重的矩阵V将是k=1 u（ tvsk）形成）。现在通过A和v之间的矩阵乘法来找到主元权重。u=A × v。（七）然后，特征分类值fivj的fas可以如下测量：在上述等式描述中，STVS表示总交易价值集的数量。每个事务值集合tvsi的特征关联影响尺度（FAIS）可以如下测量：财务会计准则（电视一）|STVS|{（k）：（ivj→k）= 个文件夹fas（f v）k=1。（八）M{fas（{valjvalj∈V}）：（valj tvsi）}1j=1|电视i|.（十）k=1 u（ tvsk）FAIS阈值faist可以如下找到然后，特征分类值fivj和fi′vj′之间的fas可以如下faist=|STVS|i=1 财务会计准则（电视一）=诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103113.（十一）fas（ fivj参与i′vj′）|校车|114诉Jyothsna，V.V.Rama Prasad/ICT Express 2（2016）103≥（|校车|−1）||表10发散标号下R2L范畴的域对正态数据的典型相关攻击类别：R2L攻击类型FTP写入猜密码IPMAP多跳PHF撒旦间谍WAREZ客户端瓦雷斯大师持续时间00.01137400.90920.447214 0.014181 0.663675 01协议类型0.8838830.9672970.903696 0.878310.866025 10.894427 0.9735240.92966968服务0.3218150.3035720.346826 0.2870290.527506 0.266065 0.720078 0.2159490.354636861标志0.8109310.86975610.8058230.802955 0.882091 0.857493 0.9424950.869318288src字节0.6378150.3885060.493244 0.5976090.989973 0.010764 0.978258 0.0752320.18312681DST字节0.9677430.3095170.094107 0.4158690.713570.024110.999118 0.2036390.715331926土地111111111错误片段111111111紧急111111111热00.12500.9702690.50000登录失败次数111111111登录11111110.9886611数量受损111111111root shell00010.50000苏企图111111111num root111111111num文件创建0000.68599400000num shell111111111num访问文件10010.50100出站命令数111111111是主机登录111111111是访客登录110100011计数0.6367750.6560920.522655 0.665710.698297 0.641479 0.723356 0.6782450.670388708srv计数器0.6362430.6660860.535262 0.6202930.717775 0.167174 0.754606 0.6447060.72429978错误率011000000srv服务错误率010.421042 000000错误率010001010srv错误率010001010同srv率0.9847980.997650.989762 0.9827080.970725 10.948683 10.993812023差异srv率000001010srv diff主机速率000.378165 00000.0456820dst主机计数0.6920290.7459010.100371 0.4182960.737716 0.755822 0.928125 0.3669170.120146782dst主机服务器计数0.5596880.8056510.795927 0.9124570.945191 0.210034 0.892864 0.7839550.75331486dst主机相同srv速率0.9684270.9976870.956324 0.8414310.998623 0.171688 0.996833 0.8873090.94792623dst主机差异srv速率00000.577350.085977 0.707107 00dst主机相同src端口速率0.430490.4162110.315129 0.45263300.179867 00.3755130.32159335dst主机服务器差异主机速率0.3597340.044368000000.501440dst主机服务错误率00.0413380.254121 0010.707107 11dst主机服务器错误率00.0329490.254121 0000.695795 00dst主机错误率00.1435140001000dst主机服务器错误率0.3429970.1435140101100在上面的等式中，STVS指示交易值集合每个交易价值集的fais的标准差需要进一步测量，以估计faist的低，中，高范围。估计标准差的数学符号如下：faist范围的较高阈值为faisth=faist + sdv faist。（十四）网络事务nt可以说是安全的，当且仅当<费斯湖网络交易nt可以说是疑似入侵当且仅当fais（nt）faistl&&fais（nt）

下载后可阅读完整内容，剩余1页未读，立即下载