基于数据挖掘技术的网络安全入侵检测系统研究：有效性和效率的算法优化

埃及信息学杂志（2014年）15，37开罗大学埃及信息学杂志www.elsevier.com/locate/eijwww.sciencedirect.com原创文章基于数据挖掘技术G.V. Nadiammai，M. Hemalatha*计算机科学系，Karpagam大学，Coimbatore 641021，Tamilnadu，印度接收日期：2013年5月22日;修订日期：2013年8月29日;接受日期：2013年2013年12月5日在线发布摘要随着计算机在网络上的使用和发展的巨大增长，在各种平台上运行的应用程序中，引起了人们对网络安全的关注。这种模式利用了所有计算机系统上的安全漏洞，这些漏洞在技术上很难解决，而且解决起来很昂贵。因此，入侵被用作破坏计算机资源的完整性、可用性和机密性的关键。入侵检测系统（IDS）在检测网络中的异常和攻击方面起着至关重要的作用。在这项工作中，数据挖掘的概念是集成了一个IDS，以确定相关的，隐藏的用户感兴趣的数据有效地和更少的执行时间。 EDADT 算法、混合IDS 模型、半监督方法和变HOPERAA算法分别解决了数据分类、高层次人机交互、缺乏标记数据和分布式拒绝服务攻击有效性等问题。我们提出的算法已经使用KDD杯数据集进行了测试。与现有算法相比，所提出的算法具有更好的准确性和更低的虚警率。©2013制作和主办由Elsevier B.V.代表计算机与信息学院开罗大学。1. 介绍*通讯作者。联系电话：+91 9003702602。电子邮件地址：gvnadisri@gmail.com（G.V.Nadiammai），csreaserch. hema@gmail.com（M. Hemalatha）。开罗大学计算机和信息系负责同行审查。制作和主办：Elsevier在这个现代世界中，入侵发生在几秒钟之内。入侵者巧妙地使用修改后的命令版本，从而消除了他们在审计和日志文件中的足迹成功的入侵检测系统能够智能地区分入侵记录和非入侵记录. IDS最早由James Anderson于1980年提出[1]。大多数现有系统都存在安全漏洞，这使得它们很容易受到攻击，并且无法解决。另外，入侵检测技术也在进行大量的研究，但目前还不成熟，还不能作为一种很好的防御入侵的工具。它也成为网络管理员最优先考虑和最具挑战性的任务1110-8665© 2013由Elsevier B. V.代表开罗大学计算机与信息学院制作和主办。http://dx.doi.org/10.1016/j.eij.2013.10.003关键词基于异常的算法;分类算法;数据通信;拒绝服务攻击;入侵检测38G.V. Nadiammai，M. 赫马拉塔图1入侵检测系统的总体结构安全专家。因此，它不能被更安全的系统所取代。基于数据挖掘的入侵检测系统可以有效地识别这些用户感兴趣的数据，并预测未来可以利用的结果。数据挖掘或数据库中的知识发现已经在IT行业以及社会中获得了大量的关注。数据挖掘是从大量含有噪声、模糊性和动态性的数据中分析有用信息的技术。图1说明了IDS的总体架构。它被集中放置，以捕获通过网络传输的所有传入数据包。收集数据并发送进行预处理以去除噪声;替换不相关和缺失的属性。然后，根据其严重性指标对预处理数据进行分析和分类。如果记录是正常的，那么它不需要任何更多的改变，否则它发送报告生成以发出警报。根据数据的状态，发出警报，使管理员提前处理情况。对攻击进行建模，以便对网络数据进行分类。传输开始后，上述所有过程都会继续。Ektefa[2]比较了C4.5 SVM，以显示算法和FAR值的性能。在这两个C4.5的作品比其他更好。由于分类器的性能通常由错误率来评估，因此它不适合复杂的实际问题，特别是多类问题。Holden[3]提出了一种混合粒子群算法，该算法可以处理名义属性，而不需要同时处理转换和名义属性值。为了克服PSO/ACO算法所缺乏的缺点（特性）。所提出的方法显示简单的规则集有效地提高精度。类似地，Ardjani[4]将SVM与PSO应用为（PSO-SVM）以优化SVM的性能。10-进行交叉验证以估计准确度。它利用最小结构风险的优势，具有全局优化功能。实验结果表明，在较高的实验时间内，该方法具有较好的精度.由于[5]存在多维数据集，因此有必要提取特征，并去除影响分类的冗余和不一致特征。在此基础上，将信息增益和遗传算法相结合，对特征进行选择。这种方法在选择特征时比单独应用时显示出更好的准确性。Panda[6]在正常或攻击方面使用两种分类方法。 J48和RBF的组合显示出更大的错误倾向和RMSE率。与此相比，嵌套二分法和随机森林法的错误率为0.06%，检测率为99%。Petrussenko Denis[7]使用LERAD检测网络数据包中的攻击，使用TCP流捕获新形式的攻击模式。他发现LERAD使用DARPA数据集的检测率很高。在文献[8]中，Mahoney使用PHAD、ALAD、LERAD等异常检测方法对应用层、数据链路层等进行建模，其中LER-AD表现较好。SNORT[9]在IDEVAL数据集上进行了测试，每天都有攻击报告，持续了近一周。SNORT，SNORT with PHAD，SNORT withNESTROWN和SNORT也与PHAD和NESTROWN结合作为预处理器。 因此，SNORT+ PHAD+ NESTARY分别从201次攻击中检测到近146次攻击。无监督方法[10]使用大量数据作为预先标记的训练数据，并且产生较低的准确性。为了克服这个问题，使用半监督算法。基于模糊连接度的聚类[11]方法使用欧氏距离和聚类的统计特性进行评估。它有助于发现任何形状，不仅可以检测已知形状，还可以检测其变体。Ching-Hao等人[12]提出一个联合训练框架，利用未标记的数据来改进入侵检测。该框架提供了比单视图方法更低的错误率，从而结合主动学习方法来提高性能。在[13]中，半监督学习机制被用来构建一个alter滤波器，以降低虚警率并提供高检测率。其中监督学习和半监督学习的特征在本质上是相同的。使用Tri-Training SVM算法来提高准确率和速度[14]。莫诺瓦尔河Bhuyan[15]提出了一种基于树的聚类技术，可以在不使用任何标记数据的情况下在入侵检测数据集中找到聚类。可以使用基于树CLUS算法的聚类标记技术来标记数据集。它对数字和混合类别的网络数据工作得更快。部分可观测马尔可夫决策过程[16]涉及误用和异常检测的组合以确定成本函数。半监督策略应用于三种不同的SVM分类器和相同的PSVM分类器。分布式拒绝服务攻击[17]近年来取得了巨大的增长，因为它很难解决。它通过两种方式获得。首先，从恶意流量中过滤合法流量，其次，使用数据挖掘技术的入侵检测系统的有效方法逐渐降低合法交易的性能。拒绝能力攻击是DDoS攻击存在的主要原因之一。DDoS攻击可以通过Sink树模型[18]表示分配给网络上每个域的配额来分布式拒绝服务攻击不仅适用于特定的目标机器，而且会危及整个网络。基于这种观点，Zhang等人提出了主动算法。[19]。网络被划分为一组集群。数据包需要允许进入、退出或通过其他集群。高速流量[20]通过基于IP前缀的聚合方法进行监控，以检测以流式方式促进的DDoS相关异常。在[21]中，作者提出了基于时钟漂移的同步通信。时钟与服务器的时钟相关。但任何确认丢失和客户端更快或更慢的时钟漂移都可能使攻击者对其造成直接攻击网络数据的预处理[22]耗费时间，网络管理员难以解决。即使预处理是成功的，数据的分类和未标记数据的标记似乎是一项具有挑战性的任务。在此基础上，解决了数据分类、高级别预处理、半监督方法和分布式拒绝服务攻击抑制等问题，使入侵检测系统能够在降低误报率的前提下准确识别攻击本文的组织结构如下。第二部分是工作动机。第3节描述了问题状态。第4节解释了拟议工作的方法。第5节介绍了所使用的数据集及其特点详细第六部分是基于实验研究的绩效评价。第七部分是结论和今后的改进。2. 动机本研究的重点是解决入侵检测社区中存在的问题，这些问题可以帮助管理员对数据进行预处理、分类、标记，并减轻分布式拒绝服务攻击的后果。因此，网络管理员感到难以预处理数据。由于攻击的压倒性增长使任务变得困难，只有在攻击发生后才能识别攻击。为了克服这种情况，需要经常更新配置文件。管理员工作量的减少提高了对攻击的检测。数据挖掘包括许多不同的算法来完成所需的任务。所有这些算法都旨在将模型拟合到规定的数据，甚至分析数据并模拟最接近被分析数据的模型。3. 问题陈述数据挖掘方法已被许多作者实现，以解决检测问题。这意味着我们接近解决方案。由于模式签名方法目前仅由网络管理员使用事实是，现有的作品处理的子集的问题，需要实现入侵检测，而不是其他人。为了解决上述问题，提出了以下解决方案，针对数据分类问题，提出了一种改进的数据自适应决策树算法.该算法不同于一般的决策树算法。它有效地将数据分类为正常和攻击，没有任何错误分类。为了减少网络管理员的工作量，SNORT与基于异常的方法相结合。利用这种技术，提出了一种混合入侵检测系统模型。这种技术根据数据中预定义的规则自动对数据进行分类。半监督方法可以解决监督和非监督方法的实现问题，它可以用少量的标记数据标记大量的未标记数据分布式拒绝服务攻击可以使用不同的时钟漂移来大大减少，在基于网络的应用程序中，借助不同的同时，任何客户端都可以与服务器进行更长时间的通信而不会中断。因此，提出的方法解决了这些问题，并有效地识别任何类型的攻击。所有这四种解决方案都将在下一节中详细讨论4. 方法一些开放的问题已经被用来检测网络上的攻击。为了实现这一点，下文讨论了所提出的方法的框架。入侵检测系统中所提出的方法的整个框架在图中描述。 二、4.1. EDADT（Efficient Data Adapted Decision Tree）算法图3中所示的所提出的EDADT算法的伪代码利用混合PSO技术来识别n次迭代的局部和全局最佳值以获得最优解。通过计算平均值并从给定的训练数据集中找到精确的有效特征来获得最佳解决方案。对于每个属性a，选择a的所有唯一值，以找到属于同一类标签的唯一值。如果n个唯一值属于同一个类标签，则将它们分成m个区间，并且m必须小于n。如果唯一值属于不同的c类标签，则检查值属于同一类的概率。如果找到，则将值的类标签更改为具有最高概率的类标签。将唯一值分割为c间隔，然后重复检查数据集中所有值的类标签中的唯一值找出每个属性的归一化信息增益，决策节点形成具有最高归一化信息增益的最佳属性。子列表使用最佳属性生成，这些节点形成子节点。这些过程一直持续到数据集收敛。最后对EDADT模型进行训练。●●●●40G.V. Nadiammai，M. 赫马拉塔入侵检测系统中提出的方法。图3所提出的EDADT算法的伪代码。图4提出的混合入侵检测系统的框架。4.2. 混合入侵检测系统框架安装图4所示的SNORTSNORT是一种基于签名的方法，因为它基于SNORT中预定义的规则集来检测攻击。如果发现任何攻击数据，它会自动丢弃数据包，否则特定记录将被视为正常记录。由于SNORT仅检测基于配置文件的攻击，因此使用了一些基于异常的方法，例如数据包报头异常检测、网络流量异常检测器、应用层异常检测器、异常检测的学习规则，以执行更好的预测。基于新的攻击，它在配置文件中更新为新规则通过使用这种方法，任何类型的攻击都可以被发现。4.3. 拟议半监督方法的框架在这种方法中，数据集分为训练数据和测试数据。首先，训练数据包括标记数据和未标记数据。使用标记的数据，未标记的数据可以被标记。因此，这种方法被称为半监督方法.将标记的训练数据应用于SVM分类器并生成模型然后，通过应用径向基函数核函数来改变SVM参数，并为每个调谐过程生成模型。将训练的未标记数据应用于SVM模型作为测试数据，并为所有模型生成结果检查所有模型的多数投票。删除不满足投票结果的记录。将更改后的标签作为预测标签包括在内。随机生成1000个数据点，以找到每个支持向量与数据点之间的向量距离。这图2整个框架使用数据挖掘技术的入侵检测系统的有效方法过程支持最机密的数据。为这些新数据实例提供经过训练的标记数据。最后，将未标记的测试数据加入分类器，分别检查分类器的正确率和相应的虚警率。该方法已成功地使用KDD Cup 99数据集进行了测试，并将所得结果与现有算法进行了比较，如图所示。 五、4.4. 提出的可变HOPERAA（跳频周期对准和调整）算法为 了 有 效 地 抵 御 分 布 式 拒 绝 服 务 攻 击 ， 提 出 了 变HOPERAA算法.本文在Zhang Fu等人[22]工作的基础上，提出了一种可变时钟漂移的方法，避免了客户端对服务器端的等待时间，同时极大地避免了它包括三个方面，● 接触启动部分。● 数据传输部分。● 变化HOPERAA算法。4.4.1. 接触起始部分此活动发生在客户端，向服务器发起连接和进一步通信的请求。服务器将端口号范围划分为间隔，端口在每个时间间隔内被均匀地分割，并且这些端口每S个时间单位改变一次。端口序列只有客户端和服务器知道，独立于其他客户端。假设如果任何消息丢失，则端口保持打开，被对手禁用，并开始通过假装为合法客户端来访问服务器。为了克服这个问题，伪随机函数和索引值可以由服务器发出，以提示客户端选择下一组端口，通过这一点，带宽将得到维持。一旦服务器接收到联系发起消息，它就发送客户端的变化的时钟值，并且服务器的时钟值为t1。. Tn，其表示相同消息以不同速率的到达时间。然后，Vh c = 1升/升，低倍率放电;中倍率放电;高倍率放电ð1Þ它将由客户端存储以估计可变时钟漂移。客户端等待来自服务器的确认一段特定的时间，比如说2l+L。 之后，它选择另一个间隔并开始发送消息。它可能需要任何a尝试访问服务器的次数。在我们所提出的算法中，客户端在接触启动部分所做的跟踪次数已被最小化，以提高应用程序的可靠性。一旦接收到消息，服务器就等待端口打开。一旦端口打开，它就向客户端发送具有伪随机函数、索引值和变化时间以及t1、t2的图5半监督方法的伪代码。42 G.V. Nadiammai，M. 赫马拉塔4.4.2. 数据传输部分在这一部分中，客户端开始向服务器发送消息。一旦客户端在联系初始化部分期间收到来自客户端的回复，它就获得了端口跳频序列。根据消息的状态，端口顺序会有所不同。开放时间是L+1时间单位，其中L大于1。当端口pi到达l个时间单位时，它一打开，新的后续端口pi+1就像那样同时端口根据消息长度增长。在我们的算法中，消息传递延迟已经得到改善，以获得更好的性能。当客户端c收到来自服务器的回复消息4.4.3. 变HOPERAA算法变化HOPERAA算法已使用图1进行了说明。 6，其中L c不偏离服务器。因为根据消息的长度来维持变化的时钟漂移在该部分中，客户端c具有与服务器相关的可变时钟漂移Vhc。服务器维护阈值以估计消息的性质。如果客户端连续发送数据，则将其视为高速率，如果消息发送适度，则将其视为中等速率，而不频繁则将其视为低速率。服务器保留HOPERAA算法的一部分来估计时钟漂移，并由此评估 消 息 的 状 态 在 最 大 值 下 ， 客 户 端 运 行 一 次 不 同 的HOPERAA来估计时钟漂移，但是在固定时钟漂移的情况下，客户端运行三次以上的HOPERAA来知道时钟漂移比服务器慢或快。通过提出的变HOPERAA算法的增长，增长的区间是极大地减少。5. 数据集描述攻击可以被描述为DOS攻击-这是一种攻击，攻击者使资源和内存的处理时间繁忙，以避免合法用户访问这些资源。U2 R攻击-攻击者嗅探密码或进行某种攻击，以合法用户身份访问网络中的特定主机。它们甚至可以提升某些漏洞以获得系统的根访问权限。R2 L攻击探测攻击-攻击者会扫描网络以收集信息，并在将来进行一些侵犯。KDD Cup 99数据集[23]包含23种攻击类型，它们的名称如表1所示，其特征分组为，1. 基本特征它包含了TCP/IP连接的所有属性，并导致检测延迟。2. 交通特征它是根据窗口间隔两个特征作为同一主机和同一服务来评估的。(a) 同一主机功能它检查过去2秒内来自同一目标主机的连接数。换句话说，连接的概率将在特定的时间间隔内完成(b) 相同的服务功能它检查在一个特定的时间间隔内连接的数量，太过相同的服务。3. 内容特征Dos探针攻击比R2L U2R具有更频繁的入侵序列模式。 因为这两种攻击在特定时间段包括到多个主机的许多连接，而R2L和U2R仅执行单个连接。 为了检测这些类型的攻击，领域知识是重要的，tant访问的TCP数据包的数据部分。 Ex.登录失败等。这些功能称为内容功能。图6变化HOPERAA算法的伪代码●●●●表1 分类为4组的攻击的名称拒绝服务探针远程到本地用户到root背，土地，海王星，荚，蓝精灵，泪珠Satan，ipsweep，nmap，port sweepftp_write，imap，guess_passwd，phf，spy，warezclient，multihop，warezmaster Buffer_over命令行，load module，Perl，root kit使用数据挖掘技术的入侵检测系统的有效方法6. 结果和讨论本研究采用KDD Cup 99数据集，其中60%作为训练数据，40%作为测试数据。该框架已在MatLab10和Java中使用数据挖掘技术实现。四种建议方法的性能，例如，使用EDADT算法对网络数据进行分类。建议混合IDS。半监督入侵检测系统的性能分析及改进，使用可变时钟漂移机制缓解DDoS攻击。已在精度和FAR值方面进行了评估，如下所示。6.1. 使用EDADT算法入侵检测系统中的数据挖掘技术能够很好地挖掘新的未知攻击的特征，是入侵检测系统动态防御的最大帮助。利用机器学习工具对KDD Cup 99数据集的5000条记录进行了实验，分析了该方法与传统算法的有效性。各种算法的表现以准确性、灵敏度、特异性及误报率衡量。表2显示了特定攻击的相关特性。 对于所有23次攻击，通过启用阈值来计算相关特征。如果属性满足指定的约束，则选择该属性作为特定攻击的相关特征。表3表示KDD Cup 99数据集的规则结构。使用这种规则结构，数据集可以很容易地在未来分类。如果发现任何新类型的攻击，也可以将其添加到本配置文件中，以获得更好的分类结果。图7表示EDADT算法的概述。使用这种算法的优点是，它将记录分为攻击或正常，而不会留下任何未分类的数据。此外，数据集可以有效地分类为正常或攻击记录。由于许多数据挖掘算法是可用的，这是一个创新和有效的工作，对IDS检测正在进行的攻击在一个大型网络。然而，该算法减少了数据集占用的空间。因此，这将是有用的网络管理员/专家，以避免攻击的到达和检测时间之间的延迟分别。它还产生更少的虚警率和实时计算时间。对现有的各种入侵检测算法的性能与本文提出的EDADT算法系统.信息增益通过特征提取来提高入侵检测系统的准确率。然后，选择训练和测试数据集。在生成EDADT模型之后，将测试数据集应用于其上以评估检测率（DR）和虚警率（FAR）值。因此，比较上一步中获得的值，并最终通过模型的性能度量来表示结果。表4给出了C4.5、SVM、C4.5+ ACO、SVM+ ACO、C4.5+ PSO、SVM+ PSO和改进EDADT算法的准确度、灵敏度和ROC曲线显示为灵敏度和特异性的图形图。基于所获得的值，C4.5的准确率为93.23%，SVM的准确率为87.18%，精度的C4.5+蚁群算法的识别率为95.06%，SVM+蚁群算法的识别率为90.82%，C4.5+PSO算法的识别率为95.37%，SVM+ PSO算法的识别率为91.57%，改进EDADT算法的识别率为98.12%。最后，与所有六种基于分类的算法相比，改进的EDADT具有图8详细说明了表4中获得的结果的相应图表。图9示出了C4.5、SVM、C4.5+ ACO、SVM+ ACO、C4.5+PSO、SVM+ PSO和改进的EDADT算法的构建时间。C4.5+ PSO需要更多的时间来建立模型。SVM+ ACO算法比传统的蚁群算法耗时少，但准确率低。然而●●●表2在区分分析后，减少了每个攻击的特征集。攻击名称相关特征回来二十七、二十八、三十一、三十六、三十八、三十九、四十、四十一布氏超声波十四、十六、三十六、三十七ftp_write1、5、6、9、10、12、13、16、17、19、22、31、34、35、36、37guess_pwd二十七、二十八、三十一、三十八、三十九、四十、四十一IMAP八、十二、二十四、二十五、二十八、三十八ipsweep第五、二十七、二十八、三十一、三十四、三十五、三十六、三十七、四十、四十一条土地1、6、15、17、34、35、38、39负载模块十二、二十三、二十五、三十六、三十八、四十、四十一多跳第一、五、六、十、十二、十七、二十二、三十一、三十四、三十五、三十六、四十条海王星二十九、三十、三十四、三十五Nmap五、二十五、二十六、三十四、三十五、三十六、三十八、三十九正常三十一，三十四，三十五，三十六，三十七Perl1、5、34PHF五、十、十五、二十四Pod三十四三十五三十六左舷扫掠1、25、26、27、28、29、30、34、35、36、38、39、40、41根工具包9、10、11、12、13、16、17、341撒旦1、6、12、27、29、30、34、35、36、39、40●44 G.V. Nadiammai，M. 赫马拉塔表3 KDD Cup 99数据集的规则结构。规则编号攻击描述攻击类型1protocol= HTTP，service= ecr_i，src_byte=1032，HTTP= SF，host_count= 2552protocol= tcp，service= private或ctf，slogag= SO或SF，serror_rate= 1，srv_serror_rate= 13protocol= IP，service= SF或SH，src_byte= 8，same_srv_rate= 1，srv_di主机速率=14protocol= tcp，service= http，HTTP= SF或RSTFR，src_byte= 54540，dst_byte= 7300或8314，same_srv_rate= 1，srv_countP 55protocol= UDP，service= private，sender= SF，src_byte= 1，dst_host_count= 255，dst_host_same_src_port_rate= 16协议=UDP，服务=SF，src_byte= 28，错误片段=3，dst_host_count= 2557协议=icmp，服务=eco_i，路由器=SF，src_byte=18，计数=1，dst_host_count= 18protocol= TCP，service= Private或remote_ic，dst_host_count=255，dst_host_srv_count= 19duration= 26或134，protocol= tcp，service= FTP或login，logged_in= 110protocol= tcp，service= telnet，trigger= RSTO，src_byte= 125或126，dst_byte= 179，hot= 1，num_failed_login= 111服务=imap4，计数64，dst_host_same_srv_rate=1，dst_host_srv_count<= 112service= tcp，HTTP= telnet或ftp_data，HTTP= SF，dst_host_srv_count6 3，dst_host_same_src_port_rate= 113duration= 377 or 299，service= tcp，trigger= telnet，dst_host_count= 255，dst_host_di trigger_srv_rate= 0.0114protocol= tcp，service= ftp，sf= SF，src_byte> 980，dst_byteP1202，hotP 3，dst_host_count= 25515protocol= tcp，service= telnet或ftp_data，socket= SF，loggin_in= 1，dst_host_same_srv_rate= 116持续时间P2，协议=tcp，服务=ftp或ftp_data，缓存=SF，dst_host_count> 2，dst_host_srv_countP 117协议=tcp，服务=telnet，路由器=SF，dst_host_count=1，dst_host_same_src_port_rate= 118持续时间P25，协议=tcp，服务=telnet，日志=SF，logged_in=1，dst_host_srv_count6 2，dst_host_di_srv_rate6 0.0719协议=tcp，服务=telnet或ftp，路由器=SF，dst_host_count=255，dst_host_di路由器_srv_rate= 0.0220protocol= tcp，service= finger，sag= SO，land= 1，srv_count= 2，dst_host_srv_serror_rateP 0.1721protocol= TCP，service= ecr_i，sag= SF，src_byte= 1480，wrong_fragment = 1，dst_host_count = 255，dst_host_di错误_srv_rate= 0.0222协议=tcp，服务=telnet，路由器=SF，dst_host_count=255，dst_host_sererror rate= 0.02SmurfNeptuneNmap返回Satanteardropipsweepportsweepftp_writeguess_passwdImap多跳间谍软件客户端Buffer_over卸载warezmaster加载模块Perlroot kitLandPodPhf图7提出的EDADT算法概述。图8 EDADT算法与现有算法的结果。图9现有的和提出了EDADT算法。表4 申报EDADT与现有算法。使用数据挖掘技术的入侵检测系统的有效方法算法灵敏度（%）特异性（%）准确度（%）FAR（%）C4.586.5782.0093.231.56SVM83.8264.2987.183.2C4.5+ ACO89.2685.4295.060.87SVM+蚁群算法87.4267.9590.822.42C4.5+ PSO92.5188.3995.370.72SVM+ PSO90.0670.8091.571.94拟议EDADT96.8692.3698.120.18图10示出了基于虚警率（FAR）的现有和提出的EDADT算法的性能。因此，所提出的EDADT算法有效地检测攻击，具有更少的计算时间和误报率。6.2. 建议的混合入侵检测系统本研究采用了基于误用和基于异常的方法。混合入侵检测系统是为了克服人工交互对预处理。大多数入侵检测的评估是基于专有数据和结果是不可重复的。为了解决这个问题，KDD Cup 99（2009）已经被使用。公共数据可用性是入侵检测系统评估的主要问题之一。本研究使用了混合数据集（实时+模拟）。在500个数据实例中，320个实例参与训练阶段，剩余180个实例用于测试阶段。每个数据包括源IP地址，目的IP地址，数据包的状态等。数据可以在其中预定义的异常规则和每个数据包的异常分数的帮助下进行分析。在基于异常的方法中，我们有四种类型的统计方法，分别是包头异常检测（PHAD）、网络流量异常检测器（NEOLD）、应用层异常检测器（ALAD）和异常检测的学习规则（LERAD）。分析是根据以下情景进行的：● 基于SNORT。● 基于SNORT+ PHAD。● 基于SNORT+ PHAD+ ALAD。● 基于SNORT+ ALAD+ LERAD。6.2.1. SNORT性能SNORT在实时流量和模拟数据集（包括攻击的一周数据）上进行了测试，并每天列出检测到的攻击。文件已从局域网下载。每天检测到的攻击如图11所示。SNORT在180次攻击中检测到77次攻击，而没有添加任何基于异常的方法。图10建议EDADT算法与现有算法的误报率。与C4.5+ PSO和SVM+ PSO相比，改进的EDADT所需时间更少，并且在所有现有算法方面提供了更好的准确性。6.2.2. SNORT+PHAD的性能图12显示了SNORT和PHAD各自检测到的攻击以及混合入侵检测系统的结果。 据了解，在将PHAD与Snort一起添 加后， 它的 检测效 果比以前 更好。 在SNORT+PHAD中，SNORT检测到的攻击次数从77次增加到105次。46G.V. Nadiammai，M. 赫马拉塔6.2.3. SNORT+ PHAD+ ALAD的性能当PHAD和ALAD被添加到网络中时，它可以检测到比以前更多的攻击。它清楚地显示在图Fig. 13岁当增加PHAD 和 ALAD 与 SNORT 时 ， 攻 击 的 数 量 增 加 在SNORT+ PHAD+ ALAD 版 本 的 IDS 中，SNORT+PHAD检测到的攻击数量从105增加到124。主要原因是Snort基于规则定义文件检测攻击，而PHAD和ALAD使用数据包报头和网络协议进行检测6.2.4. 建议的混合IDS（SNORT + ALAD + LERAD）SNORT+ ALAD+ LERAD单独检测到的攻击以及混合入侵检测系统（SNOR-T+ALAD+ LERAD）的结果如图14所示。与其他方法相比，加入SNORT + ALAD +LERAD后的入侵检测系统效果更好。在SNORT + ALAD+ LERAD （ 混 合 IDS ） 版 本 的 IDS 中 ， SNORT +PHAD + ALAD检测到的攻击数量从124增加到149。6.3. 半监督入侵检测入侵检测系统很难收集和分析数据。针对这一问题，采用了基于规则的技术。但是，如果数据有任何微小的变化，那么规则似乎毫无意义。为了完成这个任务，我们采用半监督的方法.在有监督的方法中，标记的数据可以用于训练阶段，未标记的数据已经用于测试阶段。通常网络数据是未标记的。它需要安全专家对未标记的数据进行标记，这是昂贵且耗时的。因为有监督方法需要对测试数据进行形式化的标记，以分析测试数据是否受到攻击。但它不是实时的现实主义。因此，半监督方法被认为是最有意义的方法之一。它只需要少量的标记数据和大量的未标记数据。这种方法是在假设的基础上进行的。通过分析数据点之间的距离进行标记。这些数据点被认为是最可靠的数据。然后，将这些数据作为训练数据，并应用相应的测试数据来标记未标记的数据。SVM的参数在0和1之间调整。这个过程继续，直到偏差值对于许多试验是相同的。总共有5000个数据集在这种方法中。训练阶段包括标记数据和未标记数据，并使用未标记数据进行测试。根据预测标签，计算准确度。数据集的四个类，即Dos，Probe，图11 SNORT每天检测到的攻击。图12SNORT + PHAD每天检测到的攻击。图13 SNORT+ PHAD+ ALAD每天检测到的攻击。图14建议的IDS每天检测到的攻击。图15所提出的半监督方法的性能使用数据挖掘技术的入侵检测系统的有效方法R2L和U2R标记分别标记为1、2、3和4。在图15中，将所提出的半监督方法与现有算法（如简化支持向量机、半监督聚类算法（PCKCM）和基于模糊连接的聚类）进行比较。其中，所提出的半监督方法在准确性方面示出了98.88%，图16示出了6种现有方法（例如RSVM、一步马尔可夫、10阶马尔可夫、马尔可夫链+漂移、PCKCM和FCC）的误报率。在这些比较中，所提出的半监督方法分别显示0.5%的误报率6.4. 使用可变时钟漂移机制缓解DDoS攻击通过执行拒绝服务攻击，对手捕获网络中机器的僵尸，并通过恶意包来使服务器繁忙来探索攻击，这是难以检测的，并促进拥塞，从而受害者资源将被来自成百上千个多个源的请求所覆盖。端口跳变机制由执行。本文提出了在固定时钟漂移的情况下，基于确认的同步通信，由跳频周期调整算法（HOP-ERAA）来维持，其中客户端时钟与服务器端时钟相关。但是，任何确认丢失和客户端时钟漂移的加快或减慢都可能使对手对其造成直接攻击。图17执行变化HOPERAA算法时的客户端和服务器通信。– 计算了计算率，以证明服务器的接收能力的效率– 由于可变时钟漂移，消息丢失不会造成严重损害。引理假设当我们使用服务器客户端将时钟设置为Vs1，并执行可变HOPERAA算法来调整跳频周期，并随机接收端口序列。在时间t5，客户端搜索，找到端口并开始向特定序列发送消息。在时间t7，服务器分析消息的状态，并在t7发送回复，并且该过程分别持续到t8。然后我们有，随着时间的推移逐渐增长并打开端口似乎是对手能够进行可能攻击的简单原因。此外，委员会认为，服务器不必担心时钟同步Vhct9-Vhct4200-200升6pc6Vhct9-Vhct41000 - 1000-1000ð2Þ在多方沟通中。为了克服这个问题，已经提出了可变HOPERAA算法来调整客户端和服务器之间的跳频偏差，同时改变时钟漂移。通过观察客户端和服务器端之间的消息开销及其平均值来评估算法的性能。在前人工作的基础上，我们还做了三个实验来验证所提算法的有效性。它包括，– 用户需要与服务器通信– 变化HOPERAA执行间隔的增长大大减少，这是为了估计客户端的时钟漂移。从这个引理可以证明，可以通过基于数据的长度选择适当的端口来避免延迟。因此，所提出的可变HOPERAA可以减少消息传输延迟，并将执行时间减少到几分之一秒，如图所示。 十七岁图18（a和b）表示在各种时间单位（例如1000和5000ms）中的接触启动部分的平均数。对于1000 ms，同样地对于5000 ms估计踪迹的数目。与已有结果相比，本文算法在1000 ms时为9000个端口提供了3.6条路径，在5000 ms时提供了3.2条路径，即使我们有10，000- 50，000个消息可以是30、40、50字节等，这部分平均花费的时间将小于3秒。图16所提出的半监督方法与现有方法的误报率性能。48G.V. Nadiammai，M. 赫马拉塔图18在一个接触起始部分中，在（a）1000和（b）5000 ms中的接触起始试验的 平均数。图19不同HOPERAA执行间隔的长度与不同HOPERAA执行次数的关系。图 19示出了HOPERAA执行间隔的长度是用服务器的跳频周期来估计的。在D=0.3 L且pc={0.7，0.9，1.1，1.3}，变化的HOPER- AA执行间隔在每个阶段都大大减少，并且在10次执行之后，客户端保持在几分钟在pc=0.7时，执行间隔似乎为14 ms，如果pc=0.9，则执行间隔似乎为13 ms，如果pc=1.1，则执行间隔似乎为10 ms，而在pc=1.3时，HOPERAA执行间隔大约超过9ms。如果pc的值增加，则执行次数减少。在一次VaryingHOPERAA执行之后，客户端将知道时钟速率比服务器快还是慢，因为它根据消息的状态从服务器接收到变化的时钟漂移细节。因此，在短时间序列内分别减少了跳频策略。图20（a）和（b）示出了考虑客户端的各种时钟漂移的服务器的接收能力。客户端pc的时钟漂移为{0.6，0.7，0.8，1.1，1.2，1.3，1.4，1.5}D={0.1 L，0.2 L，0.3 L}，l=40和100 ms。在这个模拟场景中，客户端执行可变HOP-ERAA算法10次，服务器以阈值的形式保持消息的状态，根据消息发送率发布端口号范围。因此，变化HOPERAA算法在100 ms速率下显示99%的接收容量，并且对于40 ms速