Boosting方法在網(wǎng)絡(luò)攻擊分類中的性能分析

Boosting方法在網(wǎng)絡(luò)攻擊分類中的性能分析1引言 面對日益嚴峻的網(wǎng)絡(luò)安全問題，各種安全防御技術(shù)已被提出并得以應(yīng)用。以防范和自我保護為主的被動保護方式，主要包括數(shù)據(jù)加密、安全路由、訪問控制、報文鑒別等，其在有效防范網(wǎng)絡(luò)攻擊上雖有重要作用，但缺少實時發(fā)現(xiàn)攻擊行為的能力。入侵檢測系統(tǒng)通過采集主機審計數(shù)據(jù)和網(wǎng)絡(luò)全局流量，來實現(xiàn)關(guān)鍵點的實時監(jiān)控，并依靠檢測分析引擎來發(fā)現(xiàn)異常行為，與其他安全技術(shù)可有效互補，共同為網(wǎng)絡(luò)系統(tǒng)提供安全保障[1]。檢測分析模塊的構(gòu)建是入侵檢測技術(shù)實施的關(guān)鍵，傳統(tǒng)方式下的人工編碼，對專家領(lǐng)域知識依賴大，存在效率低、適應(yīng)性差、不易擴展等缺點。數(shù)據(jù)挖掘技術(shù)用于入侵檢測分類建模中，可從訓(xùn)練數(shù)據(jù)集中自動提取攻擊模式，生成分類模型，有效改善了分類建模效率，提高了分類檢測準確率。分類模型可以判定用戶行為是否異常，在兩類行為的區(qū)分認識上，不同算法的處理方式不同。常用的分類算法包括NaiveBayes[2] 、RIPPER[3]、SVM（支持向量機 SupportVectorMachine）[4]等。Boosting 方法屬性能提升算法 [5]，通過多次迭代來改善基分類器的分類性能，本文將NaiveBayes、RIPPER和SVM作為Boosting方法的基分類算法，在KDDCUP99數(shù)據(jù)集上加以應(yīng)用，通過分類結(jié)果的相關(guān)性能比較來分析 Boosting算法的提升效果，并進一步給出更適合于 KDDCUP99的基分類算法。分類算法原理分析分類屬數(shù)據(jù)挖掘中的預(yù)測任務(wù)，是根據(jù)其他屬性值來預(yù)測離散的目標屬性值。 在KDDCUP99中，目標屬性是 class，取離散的 23種類型。分類之前，需要事先產(chǎn)生一個分類模型，不同分類算法學(xué)習(xí)到的分類模型也不同。2.1NaiveBayes 算法原理分析NaiveBayes為貝葉斯分類的一種，其基于統(tǒng)計學(xué)原理，通過事件的先驗概率，來獲得事件可能所屬每類的后驗概率，選最大后驗概率的對應(yīng)類作為該事件的所屬類。對于KDDCUP99數(shù)據(jù)集，NaiveBayes引入條件概率來量化數(shù)據(jù)集的樣本類序列中，出現(xiàn)某類攻擊事件的概率，該條件概率記為 P（Itr |Evt），Evt表示樣本類序列， Itr 表示某類攻擊事件。使用Bayes公式可得出 P（Itr |Evt）的值，如公式（1）所述：P（Itr|Evt ）=P（Evt|Itr ）P（Itr ）/P（Evt）（1）*P

P（Evt）=P（Itr（Evt| ┐Itr ）

）*P（2）

（Evt|Itr

）

+P

（┐Itr

）公式（1）的P（Itr ）為先驗概率，可依據(jù)領(lǐng)域?qū)＜医?jīng)驗或數(shù)據(jù)集的樣本分布來給定。 P（Evt|Itr ）為給定攻擊下的事件序列的條件概率，系統(tǒng)全部事件構(gòu)成了每個攻擊的事件序列，進而可算出構(gòu)成給定攻擊的事件序列占全部攻擊事件序列的相對概率，即為

P（Evt|Itr

）。同樣，可算得P（Evt|

┐

Itr

）的條件概率。應(yīng)用公式（

1）和（

2），算得

P（Itr|Evt

）的值，反映了事件序列中存在攻擊事件的可能程度。攻擊檢測中，將取最大P（Itr|Evt ）值所對應(yīng)的 Itr 作為檢測類別。NaiveBayes以屬性相獨立為前提， 在屬性相關(guān)較小的數(shù)據(jù)集上的性能較好。當屬性相關(guān)較大或?qū)傩暂^多時，NaiveBayes的分類效果下降。2.2RIPPER算法原理分析RIPPER屬基于規(guī)則的分類算法， 通過樣本學(xué)習(xí)可產(chǎn)生類似

ifcndt1thenclass1elseifcndt2thenclass2

，，elsedefault

的規(guī)則集。

if

部分為某類的判定條件，

then部分為預(yù)測類，

default

為算法定義的默認類。在兩類問題中，RIPPER選擇多數(shù)類為默認類， 學(xué)習(xí)少數(shù)類的分類規(guī)則。在多類問題中，依據(jù)類別出現(xiàn)頻率的大小，按小到大進行排序，設(shè)排序后的類別序列為 class1，class2，，classn ，class1代表了極少發(fā)生的類， classn為最頻繁發(fā)生的類，是 RIPPER定義的default 。對于KDDCUP99，RIPPER按類別出現(xiàn)頻率遞增產(chǎn)生類別序列，并按此順序為每個類別尋找檢測規(guī)則， class1 的檢測規(guī)則應(yīng)可將 class1 與{class2 ，，class23} 相區(qū)分，依此產(chǎn)生其他類別的檢測規(guī)則。在對用戶行為進行檢測時，仍按規(guī)則順序進行匹配，匹配項對應(yīng)的類別即為檢測類別，沒有滿足的規(guī)則時，就檢測為 default 。RIPPER算法的類別序使得出現(xiàn)頻率極小的類在預(yù)測時得以關(guān)注，在不均衡類分布的數(shù)據(jù)集中 [6]，其分類性能往往優(yōu)于其他算法。2.3SVM算法原理分析SVM按線性方程式的求解來對待分類問題，通過尋找類間超平面來實現(xiàn)分類模型的構(gòu)建。超平面選取基于了結(jié)構(gòu)風(fēng)險最小化的理論，在樣本的特征空間中，尋找最優(yōu)的分割超平面，進而產(chǎn)生最優(yōu)分類器。針對線性不可分的情況， SVM通過引入核函數(shù)可將樣本空間轉(zhuǎn)為高維空間下的線性可分，在分類以及回歸等數(shù)據(jù)挖掘任務(wù)中得到廣泛應(yīng)用。對于 KDDCUP99數(shù)據(jù)集，SVM將樣本按向量對待，通過求解線性方程的參數(shù)，來確定類別的支持向量。2.4Boosting 算法原理分析Boosting 算法通過多輪迭代以產(chǎn)生一個用于分類預(yù)測的函數(shù)系列，并結(jié)合權(quán)重加以組合共同決策，進而改善原有弱分類算法的分類準確度。將迭代次數(shù)記為 T次，可產(chǎn)生出 T個簡單分類器。每個簡單分類器的分類準確度，通過其發(fā)言權(quán)加以表達。在進行預(yù)測時，T個簡單分類器的加權(quán)組合將是最終的分類結(jié)果。3分類建模及結(jié)果分析3.1 參與分類建模的數(shù)據(jù)樣本

KDDCUP99網(wǎng)絡(luò)攻擊數(shù)據(jù)集共包含

42個屬性，樣本分屬

23個類別

[7]

，同類別的樣本實例數(shù)量差別極大。本文從

KDDCUP99_10%中無放回隨機抽樣，抽樣比例為 10%，樣本分布如表 1所示。3.2 參與建模的分類算法及結(jié)果比較本文選用Boosting 算法中較具代表性的 AdaBoost算法進行模型構(gòu)建，選用的基算法為： NaiveBayes、RIPPER和SVM。為較直觀的分析 Boosting 算法的性能提升效果，依次與三類算法產(chǎn)生的單個分類模型進行指標比較。表和表4分別為單算法和基于該算法的 AdaBoost（以/作為兩算法的分隔）。

2、表3的分類結(jié)果本文做兩類比較。（1）三個基算法間的分類比較。

表2、表3和表4的單分類器產(chǎn)生的分類結(jié)果中，對數(shù)量較多的Normal、Neptune和Smurf，NaiveBayes不及RIPPER和SVM；對極小量的類， RIPPER優(yōu)于SVM和NaiveBayes，中間類的分類效果較為相似。（2）基算法與 AdaBoost算法的分類比較。比較每張表中的基算法與 AdaBoost算法的結(jié)果，AdaBoost對NaiveBayes的提升無效，對RIPPER和SVM的分類效果改善明顯。本次所選樣本共包含 49402條，使用三類基算法NaiveBayes、RIPPER和SVM的建模耗時依次為： 0.33秒、24.77秒和4.54秒；使用AdaBoost后，耗時均有所增加，依次為：79.92秒、179.45秒和72.81秒。結(jié)束語本文圍繞入侵檢測系統(tǒng)的檢測分析模塊的構(gòu)建方法，分析了NaiveBayes、RIPPER、SVM和Boosting 的相關(guān)原理，并在KDDCUP99的部分數(shù)據(jù)上進行分類建模。從實驗分類結(jié)果及耗時上做總體比較： RIPPER對KDDCUP99的總體分類效果較好，尤其在小類分類上表現(xiàn)極佳，但規(guī)則學(xué)習(xí)過程花費時間較長；使用 Boosting（本文以AdaBoost