陳 實，黃芝平，劉純武

（國防科學技術(shù)大學機電工程與自動化學院，長沙 410073）

基于可視化圖形特征的入侵檢測方法

陳 實，黃芝平，劉純武

（國防科學技術(shù)大學機電工程與自動化學院，長沙 410073）

入侵檢測是保障網(wǎng)絡(luò)安全的重要措施，網(wǎng)絡(luò)攻擊手段的多樣性和隱蔽性不斷增強導致入侵檢測愈加困難，迫切需要研究新的入侵檢測方法；結(jié)合可視化技術(shù)和k近鄰分類算法，提出一種基于圖形特征的入侵檢測方法；采用信息增益方法對原始特征進行排序選擇，并進行雷達圖可視化表示，提取雷達圖的圖形特征構(gòu)成新的數(shù)據(jù)集并送入k近鄰分類器進行訓練和測試；通過KDDCUP99數(shù)據(jù)集仿真實驗表明，該方法不僅能直觀顯示攻擊行為，而且獲得較好的攻擊檢測性能，對DOS攻擊的檢測率可達97.9%，誤報率為1.5%。

入侵檢測；雷達圖；圖形特征；可視化

0 引言

隨著計算機網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)安全問題也顯得越加突出。雖然許多網(wǎng)絡(luò)安全技術(shù)已經(jīng)被運用于提高網(wǎng)絡(luò)的安全水平，比如防火墻技術(shù)、防病毒軟件、安全掃描技術(shù)等，但仍有一些安全問題未能解決，所以從上世紀八十年代開始，許多研究人員致力于研究一種新的安全系統(tǒng)——入侵檢測系統(tǒng)（IDS）［1］。為了提高入侵檢測的準確性和穩(wěn)定性，模式識別的方法被廣泛地應用于入侵檢測系統(tǒng)，比如模糊邏輯方法［2］、支持向量機［3］、人工神經(jīng)網(wǎng)絡(luò)［4］、貝葉斯網(wǎng)絡(luò)［5］等。將模式識別引入到入侵檢測系統(tǒng)中，不但能夠?qū)σ阎娜肭诌M行檢測，而且能夠檢測未知的攻擊行為，極大地提高了入侵檢測系統(tǒng)的實時性和有效性。這些典型的模式識別方法中，特征通常包括物理特征、統(tǒng)計特征和結(jié)構(gòu)特征。本文中，我們使用圖形特征來描述模式識別中的數(shù)據(jù)。

另外，多維數(shù)據(jù)的可視化技術(shù)隨著大數(shù)據(jù)時代的帶來越來越顯得重要。目前，在模式識別領(lǐng)域主要形成了星座圖、散點圖、平行坐標系、雷達圖等繪制高維數(shù)據(jù)的可視化表示方法［6］。通常，可視化圖形特征表示和分析方法主要有兩方面的優(yōu)勢［7］：1）可以將高維特征數(shù)據(jù)變換為簡單有效的2D或3D圖形化特征數(shù)據(jù)；2）提供一種直觀且易于理解的方式來直接分析數(shù)據(jù)集中的有效信息。其中，雷達圖常常被用于分析經(jīng)濟、銀行利率、企業(yè)風險等。而在模式識別領(lǐng)域，雷達圖被用于表示數(shù)據(jù)，并取得了一系列成果［8-10］。因此，本文基于雷達圖表示原理，結(jié)合可視化技術(shù)和k近鄰（k－Nearest Neighbor，k－NN）分類算法，提出一種基于可視化圖形特征的入侵檢測方法，并通過仿真實驗對算法有效性和可行性進行驗證。

1 多維數(shù)據(jù)雷達圖表示原理與圖形特征提取

1.1 多維數(shù)據(jù)的雷達圖繪制

雷達圖表示法是一種表達多維空間中數(shù)據(jù)點的幾何投影方法［11］。假設(shè)多維數(shù)據(jù)集D＝｛D1，D2，…，Di，…，Dn｝中的數(shù)據(jù)Di為一個N維向量，即Di＝（di1，di2，…，diN），N≥3，則雷達圖的幾何作圖方法如下：

1）先作一個單位圓，圓心代表0，圓周代表1；

2）將圓周2π弧度等分為N個部分，并畫出這N個半徑，相鄰半徑之間的角度用弧度ωi＝2π／N（i＝1，2，…，N）來表示，這N個半徑就作為N個變量的坐標軸；

3）將第i個樣本的歸一化特征D′i的N維變量值d′i1，d′i2，…，d′iN依次畫在N個均勻刻度的半徑上；

4）將所有半徑上的N維變量值所產(chǎn)生的點依次連接起來得到一個N邊形，這樣就產(chǎn)生了一個樣本的雷達圖。n個樣本數(shù)據(jù)能夠產(chǎn)生n個N邊形。

1.2 雷達圖特征提取

雷達圖圍成了二維平面里的一個封閉的不規(guī)則多邊形。明顯的一個結(jié)構(gòu)特征就是有多個三角形組成的多邊形，每個三角形都是由相鄰變量組成。還有一個明顯的視覺特征就是多邊形的面積和重心，此外，三角形還有很多特殊點，如垂心、內(nèi)心、外心等，以及雷達圖圓心到各點的幅值都可以作為圖形特征。

在入侵檢測系統(tǒng)中，所獲得的數(shù)據(jù)集的維數(shù)比較高，若采用各個三角形的面積或重心來形成新的特征數(shù)據(jù)，那么新數(shù)據(jù)的維數(shù)并沒有降低。為了達到數(shù)據(jù)降維、降低算法計算量的目的，本文選取新數(shù)據(jù)的平均值ˉdi、雷達圖中多邊形的總面積S以及周長L構(gòu)成新的特征數(shù)據(jù)集，從而將維數(shù)降為3維。其中，多邊形的面積和周長可由式（1）和（2）求出。

2 基于雷達圖特征的入侵檢測模型

本文提出的入侵檢測模型如圖1所示。主要包括數(shù)據(jù)預處理、特征排序、雷達圖特征提取、訓練和測試等階段。

圖1 基于雷達圖特征的入侵檢測模型

2.1 數(shù)據(jù)集

本文實驗采用的數(shù)據(jù)集是目前入侵檢測領(lǐng)域比較權(quán)威的數(shù)據(jù)集KDDCUP99（下載于Http：／／kdd.ics.uci.edu／databases／kddcup99）。完整的KDDCUP99數(shù)據(jù)集含有大概包含5，000，000多個網(wǎng)絡(luò)連接記錄，每條數(shù)據(jù)具有41個特征屬性和一個決策屬性?？紤]到實驗的便利性，本文只采用一個10%的子集——kddcup.data_10_percent，該子集包含494，021個樣本。除了標記為正常（Normal）的樣本外，該子集還包括4類攻擊樣本：拒絕服務攻擊（DOS）；遠程用戶未授權(quán)訪問攻擊（U2R）；未授權(quán)使用本地超級權(quán)限訪問攻擊（U2L）；掃描攻擊（Probe）。

2.2 數(shù)據(jù)預處理

在進行圖形特征提取之前，需要對原始數(shù)據(jù)集進行預處理。首先將10%KDDcup99數(shù)據(jù)集中的大量冗余重復的樣本刪除，得到只有145，585個樣本的子集，但該子集中仍含有87，832個正常樣本和54，572個DOS樣本，為了減少實驗時間，本文分別隨機選取10%的正常樣本和DOS樣本，而另外3種攻擊樣本保持不變。最后，用于實驗的樣本數(shù)量減少為17，421個，見表1所示。

表1 用于實驗的各類樣本的數(shù)量

因為10%KDDcup99數(shù)據(jù)集中各特征屬性的取值范圍各異，比如“l(fā)ogged in”只有0和1值，而“source bytes”的取值范圍為0到693，375，640。為了消除屬性之間的差異性對分類性能的影響，本文采用歸一化方法對數(shù)據(jù)集的樣本進行處理。首先將標稱型的屬性轉(zhuǎn)換為數(shù)值型屬性，即將每個標稱型屬性下的m個標稱值依次轉(zhuǎn)換為0，1，2，…，m的數(shù)值。然后根據(jù)式（3）將所有屬性的值映射到區(qū)間［a，1］。

式中，a＝0.2，1≤j≤N，n為樣本數(shù)，N 為每個樣本向量的維數(shù)。

2.3 特征排序

由于KDDcup99數(shù)據(jù)集含有41個特征屬性，文獻［11］對圖形分類器分析研究發(fā)現(xiàn)：當所要研究的數(shù)據(jù)集維數(shù)在3～20維時，采用雷達圖不僅可以確保在不丟信息的情況下對數(shù)據(jù)分類，而且可以提高分類精度。因此，在進行雷達圖繪制前需要進行特征選擇。本文通過衡量相對于分類的信息增益，來評估每個屬性的價值，根據(jù)信息增益的大小對41個特征屬性進行排序。然后選擇前M個屬性繪制雷達圖，通過實驗分析所獲得最好分類性能的最佳M值。

若D為訓練集，則信息熵：

式中，pi（i＝1，2，…，m）為具有m個類別屬性C在所有樣本中出現(xiàn)的頻率。假設(shè)用屬性A來劃分D中的數(shù)據(jù)，因為經(jīng)過預處理后數(shù)據(jù)變成連續(xù)型數(shù)據(jù)，所以按屬性A的取值遞增排序，將每對相鄰值的中點看作可能的分裂點，對每個分裂點，計算：

式中，|DL|和|DR|分別對應于該分裂點劃分的左右兩部分子集。則信息增益定義為按屬性A劃分數(shù)據(jù)集D的信息增益Gain（D，A）為樣本集D的熵減去按屬性A劃分D后的樣本子集的熵，即：

2.4 基于雷達圖特征的k-NN分類器

基于特征排序結(jié)果，通過選取排序靠前的不同數(shù)量特征屬性進行雷達圖表示，然后提取雷達圖特征構(gòu)成新的數(shù)據(jù)集。在新的數(shù)據(jù)集上，采用k－NN分類算法對樣本進行訓練和測試，采用十折交叉試驗對模型的性能進行評估和驗證。

k－NN分類算法是一種理論上比較成熟的方法，也是最簡單的機器學習算法之一。所謂k－NN算法，即是給定一個訓練數(shù)據(jù)集，對新的輸入樣本，在訓練數(shù)據(jù)集中找到與該樣本最鄰近的k個樣本，這k個樣本的多數(shù)屬于某個類，則把該輸入樣本分類帶著個類中。具體算法可參考文獻［12］。

3 實驗結(jié)果和分析

實驗平臺采用主頻為2.90 GHz，內(nèi)存為4 GB的計算機，操作系統(tǒng)為Window7，采用開源軟件Weka進行實驗仿真。實驗中采用攻擊檢測率 （Detection Rate，DR）、誤報率（False Positive Rate，F(xiàn)PR）來評估實驗結(jié)果。

表2 基于信息增益的特征排序結(jié)果

表2給出了基于信息增益的特征屬性排序結(jié)果，只給出了排在前25位的特征屬性。限于篇幅，本文針對每種類型各選取一個樣本進行25維特征的雷達圖繪制，雷達圖見圖2。

從圖2可看出，25維的特征數(shù)據(jù)可以在雷達圖上圍成一個封閉的不規(guī)則多邊形，而且不同攻擊類型雷達圖差異明顯。

基于表2的排序結(jié)果，分別選取不同數(shù)量的特征屬性進行雷達圖繪制，然后根據(jù)1.2節(jié)所述提取圖形特征構(gòu)成新的數(shù)據(jù)集，在新的數(shù)據(jù)集上采用k－NN算法進行十折交叉驗證，所獲得的結(jié)果見圖3和圖4。

從圖3可以看出，該方法對DOS攻擊的檢測率能夠保持在95%左右，對R2L和Probe攻擊的檢測率低于對DOS攻擊的檢測率，而且隨著特征屬性數(shù)量的增加而有所降低。同時，雖然對U2R攻擊的檢測率相對最低，這主要是因為U2R的樣本數(shù)只有52個，只占到了總樣本數(shù)的0.3%，但在屬性數(shù)量為14個時，對U2R的檢測率也達到了最大值（61.5%）。圖4給出了不同特征屬性數(shù)量下的誤報率，在屬性數(shù)量為14個時，4種攻擊的誤報率都低于1.5%。以上分析說明了，基于不同數(shù)量特征屬性構(gòu)成的雷達圖特征會對攻擊檢測性能產(chǎn)生較大影響，選取的特征屬性數(shù)量達到一定個數(shù)時，檢測性能會降低。表3給出了在特征屬性數(shù)量為14時的詳細檢測結(jié)果。

圖2 正常和攻擊樣本雷達圖

圖3 不同數(shù)量特征屬性情況下的攻擊檢測率

圖4 不同數(shù)量特征屬性情況下的誤報率

表3 特征屬性數(shù)量為14時的檢測結(jié)果

4 結(jié)論

結(jié)合可視化技術(shù)與k－NN分類算法，提出了一種基于雷達圖特征的入侵檢測方法。通過該方法將高維數(shù)據(jù)維數(shù)降低為3維。從實驗結(jié)果表明，雷達圖不僅能夠?qū)崿F(xiàn)入侵數(shù)據(jù)的可視化顯示，而且根據(jù)其提取的圖形特征能夠獲得較好的攻擊檢測性能，其中對DOS攻擊的檢測率能夠達到97.9%，四類攻擊的誤報率不高于1.4%。但是，本文只選取了數(shù)據(jù)平均值、多邊形面積和周長作為新特征屬性，其它圖形特征未予考慮，是否存在其它更好的圖形特征組合，有待于進一步研究。

［1］Liao H J，Lin C H R，Lin Y C，et al.Intrusion detection system：a comprehensive review［J］.Journal of Network and Computer Applications，2013，36（1）：16-24.

［2］Tajbakhsh A，Rahmati M，Mirzaei A.Intrusion detection using fuzzy association rules［J］.Applied Soft Computing Journal，2009，9（2）：462-469.

［3］康松林，周玖玖，李 瓊.入侵檢測中支持向量機參數(shù)選擇方法［J］.中國科技論文，2012，7（10）：762-765.

［4］Fisch D，Hofmann A，Sick B.On the versatility of radial basis function neural networks：a case study in the field of intrusion detection ［J］.Information Sciences，2010，180（12）：2421-2439.

［5］Baig Z A，Sait S M，Shaheen A.Gmdh－based networks for intelligent intrusion detection［J］.Engineering Applications of Artificial Intelligence，2013，26（7）：1731-1740.

［6］洪文學，王金甲，李 昕，等.可視化模式識別［M］.北京：國防工業(yè)出版社，2014.

［7］Luo B，Xia J B.A novel intrusion detection system based on feature generation with visualization strategy［J］.Expert Systems with Applications，2014，41（9）：4139-4147.

［8］劉文遠，李 芳，洪文學.基于多維數(shù)據(jù)雷達圖表示的圖形分類器研究［J］.計算機工程與應用，2007，43（22）：161-164.

［9］李惠君，李志全.基于改進雷達圖的可視化聚類方法研究［J］.燕山大學學報，2013，37（1）：58-62.

［10］陸汝華，李盛欣，段 盛.基于雷達圖重心特征提取的軸承故障診斷方法［J］.軸承，2014，（12）：54-57.

［11］劉文遠，李芳，王寶文，等.基于雷達圖表示的多維數(shù)據(jù)可視化分類方法［J］.系統(tǒng)工程理論與實踐，2010，30（1）：178-183.

［12］Liao YH，Vemuri V R.Use of K－Nearest Neighbor Classifier for IntrusionDetection［J］.Computers＆ Security，2002，21 （5）：439-448.

An Intrusion Detection Method Based on Visualization Graphical Feature

Chen Shi，Huang Zhiping，Liu Chunwu

（College of Mechatronics Engineering and Automation，National University of Defense Technology，Changsha 410073，China）

Intrusion detection is one of the important measures to guarantee the security of network.The growing diversity and concealment of network attacks lead to the difficult of intrusion detection，which make the research for new intrusion detection method is urgent.Combined with visualization technology and k－Nearest Neighbor classifier，an intrusion detection method based on graphical feature is proposed in this paper.The information gain method is used to rank the original features，and the front features are selected for radar chart visualization presentation.After a new dataset based on the graphical features is generated，k－Nearest Neighbor classifier is applied to train and test it.The results of experiment based on KDDCUP99 dataset show that the proposed method can not only visualize the attacks，but also has really satisfactory performance of intrusion detection，with 97.9%detection rate and 1.4%false positive rate for DOS.

intrusion detection；radar chart；graphical feature；visualization

1671-4598（2016）08-0049-03

10.16526／j.cnki.11－4762／tp.2016.08.013

：TP393.08

：A

2016-03-11；

：2016-04-09。

國家自然科學基金（61374008）；“863”項目（2015AA7115089）。

陳 實（1986-），男，廣西玉林市人，博士研究生，主要從事網(wǎng)電空間測控方向的研究。

黃芝平（1965-），男，湖南郴州人，教授，博士研究生導師，主要從事網(wǎng)電空間測控方向的研究。