Embed Size (px)
Citation preview
iii
論文名稱:入侵偵測演算法效益之評估 總頁數:47
校(院)所組別:中國文化大學商學院資訊管理管理研究所
畢業時間及提要別:九十九年度第二學期碩士學位論文提要
研究生:莊雅淳 指導教授:蔡敦仁、郭乃文 論文提要內容:
網際網路普及化與網路攻擊工具易於取得,使得網路安全
議題日益突顯,網路安全事件日漸影響使用者之網路活動及企
業之營運。如何有效偵測網路入侵封包,並降低入侵偵測系統
(Intrusion Detection System, IDS)之誤判率,以採取適當之防護
措施,對於企業與網路管理者都是迫切且必須之工作。 本篇研究針對 KDD CUP’99 資料庫之網路入侵封包資料,
調校常見之 KNN、BPN、GRI 演算法,建構訓練模型,尋求較
佳之入侵偵測組態。研究結果顯示,調校使用單一演算法建構
之組態,準確率最高可達 98.77%,最低誤判率可達 0.3484%。
若並聯 3 個調校演算法進行偵測,準確率則可提高至 99.68%;
而串聯 3 個演算法進行偵測,誤判率則可降至 0.03318%。而研
究結果顯示,演算法建構之模型耗損電腦效能並不明顯,Max of
CPU Load Average 為 21%,Max of Average Memory Usage 為
26%。
關鍵字:入侵偵測系統(intrusion detection system, IDS)、K 最近
鄰法(K-nearest-neighbor, KNN)、倒傳遞類神經網路
(back-propagation network, BPN)、廣義規則歸納法
(generalizes rule induction, GRI) 。
iv
Effectiveness assessment of intrusion detection algorithms
Student : Ya-Chun Chuang Advisor:Prof. Dwen-Ren Tsai Prof.Nai-Wen Kuo
Ch i n es e Cu l t u r e U n i v e r s i t y
A B S T R A C T
Due to popularization of the Internet and easy access of network attack tools,
network security issues become apparent. Network security incidents affect network
users’ of activities and operations of enterprise. How to effectively detect intrusion
packets, which reduced false negatives, and engage appropriate countermeasures are
urgent and essential tasks for enterprises and network administrators.
This research evaluates data of network intrusion packet from KDD CUP’99
database, tunes common algorithms KNN, BPN and GRI to construct training model,
and seek a better configuration of intrusion detection.
The results show maximum accuracy of tuned configuration using single algo-
rithm could reach 98.77% with minimum false negative ratio 0.3484%. Tuned con-
figuration conjoining three algorithms could reach 98.68% accuracy. The minimum
false negative ratio of tuned configuration disjoining three algorithms could reduce
to 0.03318%. Research results also show computer performance affected by the
models constructed is not apparent. The Max of CPU Load Average is 21%, and the
Max of Average Memory Usage is 26%.
Keywords:intrusion detection system (IDS), K-nearest-neighbor (KNN),back-pr
opagation network (BPN), generalized rule induction (GRI)
v
誌 謝 辭
起初,對於研究論的方向感到茫然,由於對於網路安全與
入侵偵測方面有所興趣,感謝指導教授蔡敦仁教授與郭乃文教
授,提供充分資料給予參考,一一介紹相關領域所涉及之技術,
並時時給予鼓勵與關心。感謝口試委員孫振東教授、王美慈教
授與鄭為民教授,細心指導並給予修正,使本論文更加完善。
研究期間,很多人給予協助與幫助,感謝陳威宇學長,協
助並提供研究上之建議,讓研究之進度能如期完成,感謝研究
所所有同學,協助完成課業及論文之流程。
最後感激我的家人,不論是在求學階段與生活上的照顧,
讓我無後顧之憂專心於學業,並時時給予關愛與叮嚀。
vi
內 容 目 錄
中文摘要 ..................... iii 英文摘要 ..................... iv
誌謝辭 ..................... v
內容目錄 ..................... vi
表目錄 ..................... viii
圖目錄 ..................... ix
第一章 緒論................... 1 第一節 研究背景與動機............ 1
第二節 研究目的............... 3
第三節 研究架構............... 3
第二章 文獻探討................. 4
第一節 入侵偵測系統............. 4
第二節 應用於 IDS 之統計分析方法....... 10 第三節 類神經網路.............. 12
第四節 資料探勘............... 16
第五節 相關研究............... 19
第三章 研究方法................. 22
第一節 研究樣本............... 22
第二節 研究程序架構............. 23 第三節 資料前置處理............. 24
第四章 實驗結果................. 29
第一節 KNN 最近鄰分析............ 29
第二節 倒傳遞類神經網路分析......... 31
第三節 GRI 分析............... 36
vii
第四節 KNN、BPN、GRI 效益分析....... 39
第五章 結論與後續研究.............. 41
第一節 結論................. 41
第二節 後續研究............... 43 參考文獻 ..................... 44
viii
表 目 錄
表 1- 1 攻擊程式/軟體相關網頁............ 1 表 1- 2 歷年攻擊模式的案例............. 2 表 2- 1 入侵偵測系統基本類別優缺點......... 6 表 2- 2 入侵偵測系統的分析方法比較......... 8 表 2- 3 根據分析方法與監控目標之不同的歸類..... 10 表 2- 4 相關研究文獻整理.............. 21 表 3- 1 標記內容.................. 24 表 3- 2 標稱型之變數轉換表............. 26 表 3- 3 不同的特徵選取組合............. 28 表 4- 1 KNN分析結果................ 30 表 4- 2 BPN預測分析................ 35 表 4- 3 GRI預測分析................ 39 表 4- 4 測試環境.................. 39 表 5- 1 演算法之準確率與誤判率........... 41 表 5- 2 並/串聯演算法之準確率與誤判率........ 43
ix
圖 目 錄
圖 2- 1 IDS的組成.................. 5 圖 2- 2 HIDS.................... 5 圖 2- 3 NIDS.................... 6 圖 2- 4 倒傳遞類神經網路架構 ............ 14 圖 3- 1 研究程序架構................. 27 圖 4- 1 K值之錯誤率................. 29 圖 4- 2 特徵變數之示意圖............... 30 圖 4- 3 一層隱藏層節點個數之準確........... 32 圖 4- 4 二層隱藏層節點個數之準確率.......... 32 圖 4- 5 學習次數之準確率............... 33 圖 4- 6 Alpha Value之準確率.............. 33 圖 4- 7 21個特徵變數重要性.............. 34 圖 4- 8 BPN增益評估................. 35 圖 4- 9 GRI參數設定組合之準確率........... 37 圖 4-10 GRI增益評估................. 38 圖 4-11 模型建構時CPU與Memory Load使用狀況..... 40 圖 5- 1 演算法預測之正確率交集............ 41 圖 5- 2 演算法預測之誤判率交集............ 42
- 1 -
第一章 緒論
第一節 研究背景及動機
網際網路普及化,改變使用者的行為模式,藉由網際網路
進行資訊分享與交換,或透過搜尋引擎尋找所需資訊。使用網
路資源的情況越來越頻繁,不論是一般使用者或企業都極端仰
賴網路資源,資訊安全也變得日益重要,當其發生攻擊行為時,
將對個人或企業等造成的傷害難以估計。
目前大多數的攻擊行為其所擁有的技術並非具有創新性,
因為並非所有駭客都具備豐富的程式設計或相關專業技術,透
過網路搜尋引擎或特定駭客組織之社群等,可輕易獲得相關工
具程式、運作模式與說明(如表 1-1 所示),甚至可透過其他使用
者的協助,進行改良或模仿線有攻擊程式或者利用系統現有弱
點來發動一連串的攻擊模式,造成許多使用者或企業受害。
表 1-1 攻擊程式/軟體相關網頁
攻擊方式 相關網頁
Smurf http://www.rootshell.com/archive-j457nxiqi3gq59dv/199710/smurf.c.html
Trinoo http://staff.washington.edu/dittrich/misc/trinoo.analysis.txt
Tribe Flood Network
(TFN)
http://staff.washington.edu/dittrich/misc/tfn.analysis.txt
TFN2k http://packetstormsecurity.org/distributed/TFN2k_Analysis-1.3.txt
WinTrinoo http://packetstormsecurity.org/distributed/razor.wintrinoo.txt
Stacheldraht http://staff.washington.edu/dittrich/misc/stacheldraht.analysis.txt
Mstream http://staff.washington.edu/dittrich/misc/mstream.analysis.txt
Shaft http://home.adelphi.edu/~spock/shaft_analysis.txt
- 2 -
根據中華電信資安辦公室,2009 年每天平均 3.7 次大規模
DDoS 攻擊行為,以癱瘓應用程式和作業系統之目的為主。攻擊
行是主要有 4 種,TCP SYN Flood、ICMP Flood、IP Fragment Flood、TCP RST Flood (黃彥棻,2010) 。然而,攻擊手法層出
不窮,幾乎年年都發生數起大型攻擊行為,表 1-2 整理出歷年廣
為人知的數起攻擊案例。
表 1-2 歷年攻擊模式的案例 年代 攻擊模式 受害者
2000 年 2 月 利用分散式阻絕服務攻擊(DDoS)發動攻
擊,導致網站必須暫停服務,進行系統防
護。
Yahoo!、Amazon、EBay、CNN、E-trade 等。
2001 年 5 月 透過輸入目標位址—如白宮 IP 位址、端
口,與設定資訊封包數量及發送時間間
隔,然後,利用程式自動進行一連串癱瘓
該網站服務之攻擊行為。
FBI、NASA、CNN、 THE New York Times 等。
2007 年 4 月 利用殭屍網路(botnet)攻擊愛沙尼亞,該國
主要報社網站、銀行網站等官方網站、警
方通訊、自動提款機與手機等通信設備皆
無法正常運作,甚至號召眾多駭客展開
ping 攻擊,導致該國網路完全癱瘓。
愛沙尼亞的所有使用者、 欲瀏覽該國網站的使用
者。
2009 年 11 月 利用埠號掃瞄,找出在荷蘭 T-Mobile 網路
上使用 SSH 安全協議的手機,發送威嚇簡
訊,要求支付贖金,否則手機等各相功能
可能任有心人遠端操控。
不特定使用者。
2009 年 12 月 大量的異常查詢導致 DNS 服務失常,該攻
擊影響美國北加州地區的網路使用者。 AmazonWal-Mart、 Expedia、網路合法使用者
等
2010 年 11 月 利用網站程式設計缺點,進行攻擊,變更
網頁內容與造成網站無法提供正常服務。 亞跆盟官方網站、 其他正常合法使用者。
發生入侵行為或網路異常現象時,所造成的損害,如:浪費
硬體資源、人員成本浪費等,一般安全防護機制會利用防火牆、
- 3 -
防毒軟體、密碼認證等方式,來阻擋入侵者的惡意攻擊,但這
些防禦技術不僅無法完全阻止入侵者的攻擊,更會造成使用者
的不便,因此另一道防護機制—入侵偵測系統因而產生。
第二節 研究目的
網路攻擊行為一般都有規律可循,透過訓練入侵偵測模型
來定義正常行為,當未知行為進入系統之時,用以分辨該行為
模式是否為符合正常行為之定義,若能有效訓練,應可具備高
準確率與低誤判率的入侵偵測系統。
本篇研究利用叢集分析中 k-nearest-neighbor 演算法、類神
經網路中倒傳遞類神經網路(back-propagation networks)與序列
分析中 GRI 演算法來建構入侵偵測模式,運用其各自特性,先
行訓練模型並定義行為特徵,再進行模擬攻擊之偵測,比對其
正確率、誤判率與效益,以提供更多關於分析方法及演算法的
選取不同對於入侵偵測系統所產生的偵測能力及其效益之影
響。
第三節 論文架構
本論文第一章為緒論,說明研究背景及動機、研究目的與
論文架構。第二章為文獻探討,說明入侵偵測系統、應用於 IDS
之統計分析方法、類神經網路、資料探勘與相關研究。第三章
為研究方法,說明研究樣本、研究程序架構與資料前置處理。
第四章為實驗結果,說明 KNN 最近鄰分析、倒傳遞類神經網路
分析與 GRI 分析。第五章結論與後續研究,說明研究發現與後
續研究之方向。
- 4 -
第二章 文獻探討
本論文將入侵偵測系統、應用於 IDS 之統計分析方法,類
神經網路,資料探勘,依序整理出相關文獻。
第一節 入侵偵測系統
現在市面上防毒軟體除了未知的新型病毒外,幾乎可以達
到有效的偵測與清除病毒。然而,在防止駭客入侵機制往往是
藉由防火牆、對外連線使用者過濾、封包檢測、或是藉由密碼
保護等方式來維護主機/伺服器等安全性,但是,除了系統的安
全機制建置的完善度外,也應該加強使用者對於網路安全的概
念,往往可能因為使用者的人為疏失造成系統的漏洞產生,進
而危害系統。
有些入侵活動無法被防火牆所偵測,為了彌補系統缺失或
人為疏失等因素,入侵偵測系統是在目前安全防護等機制下,
再建置監督、偵測的防護,來幫助防火牆以及內部網路做特殊
異常活動的掃描,減少資訊安全的風險。
一、入侵偵測原理 入侵偵測是監控電腦網路和系統是否違反安全政策的
過程,一般而言,入侵偵測包含三個元件:
(一)資料來源 (information source):提供事件記錄器。
(二)分析引擎 (analysis engine):找出入侵行為的訊號。
(三)回應元件 (response component):根據分析引擎的輸出
來採取應有的行動。
- 5 -
入侵偵測系統對電腦網路和電腦系統的關鍵節點之資
訊進行收集與分析,檢測不正常入侵行為的系統,收集已
知駭客入侵行為模式特徵,偵測其中是否有違反安全策略
的事件發生或攻擊行為,加以記錄與分析,並通知系統安
全管理者(如圖 2-1)。
圖 2-1 IDS的組成
二、入侵偵測系統的基本類別 入侵偵測系統根據監控目標的不同,可分為二種基本
類別,分別為主機型的入侵偵測系統(host-base IDS, HIDS)
與網路型的入侵偵測系統 (network-base IDS, NIDS)。
(Mukherjee, Heberlein, and Levitt, 1994) (一)主機型的入侵偵測系統
主要監控使用者在系統上的行為,針對使用者稽核
追蹤的動作,可即時監控重要的日誌檔、執行檔等,當
偵測到異常行為時,立即執行反制行為(如圖 2-2)。
圖 2-2 HIDS
- 6 -
(二)網路型的入侵偵測系統
主要針對網路的封包分析及流量分析,以偵測網路
型的攻擊行為,針對網路通訊樣式作即時比對。和 HIDS不同的是,NIDS 主要不僅是保護單一電腦,可保護一
群電腦主機,例如:伺服器或監視整個網路(如圖 2-3)。
圖 2-3 NIDS
然而,綜合上述主機型的入侵偵測系統與網路型的入侵偵
測系統,以下整理二種入侵偵測類型之優缺點,如表 2-1 所示:
表 2-1 入侵偵測系統基本類別的優缺點 IDS 類別 優點 缺點
HIDS
1.可確認駭客是否成功攻擊/ 入侵 2.監控系統的特定活動 3.可偵測加密封包/交換網路中攻擊
4.監控系統關鍵部分 5.不需新增額外硬體
1. 成本花費較高 2. 稽核紀錄可能會被抹滅 3. 稽核紀錄須大量儲存空
間 4. 非即時偵測和回應
NIDS
1. 花費較少 2. 可分析封包 3. 防止入侵證據被移除 4. 即時偵測和回應 5. 不受作業系統影響
1. 加密封包無法分析 2. 系統必須能夠負荷網路
流量,否則會遺漏封包
- 7 -
三、入侵偵測系統的偵測技術 入侵偵測系統主要是從系統上與網路上相關資料作分
析,根據原理為入侵者的行為異於合法使用者的行為,以
達到資訊安全。
根據分析方法可分為:異常偵測法(anomaly detection)
與誤用偵測法(misuse detection)。(Srikant and Agrawal, 1996)
(一)異常偵測法
又被稱為政策比對(policy-based)方式。異常偵測式
的入侵偵測系統以識別不尋常的主機或網路運作行為
的方式來偵測是否有攻擊行為發生。通常使用統計方法
來進行分析,透過事先定義使用者的正常行為特徵後,
在對網路系統上的各種活動進行比對是否有別於一般
正常狀態下。
(二)誤用偵測法
又被稱為特徵比對(signature-based)方式。主要是以
比對的方是將所偵測到的可疑行為與系統事先所定義
的入侵攻擊模式資料庫進行分析比對,而入侵攻擊模式
資料庫中,通常使用規則基底(rule-base),事先詳細定
義各種入侵攻擊方式(attack pattern / signature pattern),
一旦比對出相似的入侵攻擊模式,便將其視為是一種入
侵。採用誤用偵測法的入侵偵測系統必須事先進行設定
微調以得到最高的效能及準確率。
然而,綜合上述主機型/網路型的入侵偵測系統,以下整理
二種入侵偵測類型優缺點,如表 2-2:
- 8 -
表 2-2 入侵偵測系統的分析方法比較 異常偵測
(anomaly detector) 誤用偵測
(misuse detector)
誤判高,偵測率也高 屬於建立正面行為模式
依賴已知事件來建立攻擊模式 不易誤判,但偵測率不高 屬於建立負面行為模式
著名系統: MAIDS、Murices Intrusion Detec-tion and Alerting System
著名系統: Snort、Computer Watch、Discovery
四、入侵偵測的分析工具 入侵偵測的分析工具應用眾多,參考施東河及黃于爵
(2003)文獻歸納整理出目前常見的大致可分為以下六類:
(一)統計分析(statistical measure)
利用統計方法來建立規則或是使用者的行為模
式。
代表方法:K-means、k-nearest-neighbor…等。 (二)類神經網路分析(neural network)
一種具有學習能力的演算法,經由適當訓練可使其
具有辨識使用者行為的能力。
代 表 方 法 : self-organization 、 back-propagation
network…等。
(三)規則設計分析(rule based) 利用語法去敘述目的事件,以建立事件規則的分析
工具,將資料建成 rule,然後與現行的 behavior 進行比
對。可分為 :forward-chaining rule、backward-chaining
rule。
- 9 -
代表方法: p-best rule language、wisdom and sense、
time-based inductive machine(TIM)…等。
(四)貝氏網路分析(Bayesian network) 利用貝氏條件機率所延伸出的一種學習演算法。使
用貝氏網路分析方式來表示入侵事件關係,以進行分析
與攻擊問題偵察。
(五)有限狀態機分析(finite-state machine)
利用狀態轉移的觀點來描述目的事件的分析工具。
將系統的狀態或行為利用有限狀態方式表示之。 代表方式: colored petri (CP)-nets…等。
(六)資料探勘(data mining)
利用資料挖掘與 meta-learning 有效將資料分類且
減少不必要的資料比對,且能產生新的 rule,用以偵測
未知入侵行為。
代表方法: 分類、連結序列、序列分析…等。 綜合上述,可依照分析方法與監控目標之不同,將其分別
歸類,如表 2-3:
- 10 -
表 2-3 根據分析方法與監控目標之不同的歸類 入侵偵測方式-- 根據分析不同
入侵偵測方式-- 根據系統監控目標不同
統計分析 Statistical Measure
適用於: 異常偵測(anomaly detector) 代表性 IDS: ARGUS;SPADE;W&S; MIDAS;IDES
類神經網路分析 Neural Network
適用於: 異常偵測(anomaly detector) 代表性 IDS: HyperView; ACME;
規則設計分析 Rule Based
適用於: 誤用偵測(misuse detector) 代表性 IDS: IDES; NIDS; ASAX
貝氏網路分析 Bayesian Network
適用於: 誤用偵測(misuse detector) 代表 IDS: ICE
有限狀態機分析 Finite-state Machine
適用於: 誤用偵測(misuse detector) 代表性 IDS: STAT; USTAT; NST AT; NetSTAT
資料挖掘 Data Mining
適用於: 異常偵測(anomaly detector)、 誤用偵測(misuse detector) 代表性 IDS: FIRE
第二節 應用於 IDS 之統計分析方法
早期統計分析多數採用參數式(parametric)來將使用者或系
統的行為特徵化,但是若假設非正確的話,偵測結果的錯誤率
相當高,舉例來說,假設使用者行為分佈或系統使用分佈為高
斯或常態分佈,這亦是造成錯誤率偏高之因 (Bace, 2000) 。
一、叢集分析(clustering) 叢集分析亦稱資料切割(data segmentation)、非監督式
分類(unsupervised classification),屬於多變量統計分析技術
之一,主要目的是將資料集合中的資料記錄(亦稱資料點、
觀察值),加以分群成數個異質群集(cluster),使得每個群集
- 11 -
中的資料點間相似度高於與其他群集中的資料點相似度。
因此,叢集分析主要在於分析資料彼此間相似度,藉由分
析而找到群集結果,推論出有用、隱含之特性和現象。 在叢集分析中,會先收集大量資料/樣本集合(sample),
然後根據不同特徵(feature)將其分為不同的群集。然而,在
非參數式的統計分析之異常偵測中,假設使用者的活動模
式可用特徵表示之,最後會落在兩個群集中,一為異常活
動之群集,另一為正常活動之群集。
然而,叢集與分類不同,分類法中每一筆訓練資料記
錄都給定一個類別資訊,並企圖從中找出一個判斷模式來
預測未知類別資訊得資料記錄;在叢集分析過程中,並沒有
預先指定類別資訊,亦無任何資訊可表示資料記錄間相互
關聯,因此,叢集分析可視為一種非監督式學習之過程。
Tulane 大學 Linda Lankewicz and Mark Benard 為了解
決統計分析的錯誤率偏高之問題,提出使用非參數式
(nonparametric)的方式來進行異常偵測,透過此方法能夠適
應並預測到少數使用者之使用行為模式 (Bace, 2000) 。
二、K-nearest-Neighbor (一)基本概念
Tulane 大學研究發現,非參數式之統計分析中最好
的叢集演算法為 k-nearest-neighbor 演算法,其會依據特
徵分類,轉換為向量方式表示之,而每個向量組會有 k
個最相近之資料點,而 k 是向量之函數,並非固定值,
必須依據樣本集合決定其值。(Bace, 2000)
- 12 -
KNN 演算法,在多維空間中找尋與欲分類的樣本
最鄰近 k 個相似點,根據此 k 個點的分類之類別來判斷
該樣本的類別。 (二)K-Nearest-Neighbor (KNN)演算法
兩個叢集間(ωk,ωL)最近距離的定義,如公式 2-1:
DkL=mini,j[dij] (2-1)
其中,dij為χi ∈ ωk與χj ∈ ωL間的距離。
然而,若ωL為ωp和ωq兩個群體所合併而成,其定
義可由公式 2-1 推導為公式 2-2:
DkL=min[Dkp, Dkq] (2-2)
第三節 類神經網路
類神經網路,是使用許多簡單的神經元(neuron)來模擬生物
神經網路的運算能力,神經元間利用加權連結(weighted con-
nection)來彼此溝通,然而,每一神經元運算結果會以扇狀模式
輸出,成為其他神經元的輸入來源之一。
一、類神經網路基本架構 類神經網路組成基本單位分為: (葉怡成,2003)
(一)神經元(neuron):類神經網路組成最基本單位。
(二)層(layer):由許多具有相同作用的處理單元所集合為層,
且層具有正規化輸出、競爭化輸出和競爭化學習三種作
用。
- 13 -
(三)網路(network):由許多具有不同的層所集合為網路,且
網路具有學習過程和回想過程兩種作用。
1.學習過程(learning): 從範例中學習,調整連結加權值的過程。
2.回想過程(recalling):
從輸入資料來決定輸出資料的過程。
二、倒傳遞類神經網路(back-propagation network, BPN) (一)基本架構
1957 年,Rosenbaltt 提出類神經網路模式-感知機
(perceptron),為類神經網路模式的開端,但後續數年,
因類神經網路相關理論無法有所突破,例如 :
XOR(exclusive OR)問題。1985 年,Rumellhart et al.,提出倒傳遞類神經網路(back-propagation network, BPN),
改善原本理論所無法克服之問題,也使得更多學者研究
此領域,是目前類神經網路學習模式中具代表性演算法
之一 (葉怡成,2003) 。
架構為多層感知器(MLP)配合誤差倒傳遞演算法
(error back propagation, EBP)來作為其學習演算法,屬多
層前饋式網路,是以監督式學習方式處理輸出入間非線
性映射關係,達到準確分類的效果。
倒傳遞類神經網路架構(如圖 2-4),其包含三層神
經元(或稱感知機):
1.輸出層:網路的輸入變數,神經元數目依問題而定。
2.隱藏層:神經元相互影響,不斷試驗決定最佳數目。 3.輸入層:網路的輸出變數,神經元數目依問題而定。
- 14 -
圖 2-4 倒傳遞類神經網路架構
在多層認知網路上,每一層神經元會接受一或多個
輸入,並產生一或多個相同的輸出; 每一個輸出就是神
經元輸入總和的簡易非線性函數; 輸入只會從輸入層
的節點向前傳遞到隱藏層的節點,再傳遞至輸出層;同
一層內的神經元間沒有相互連接。
(二)倒傳遞類神經網路演算法 在倒傳遞網路中,第 n 層的第 j 個處理單元的輸出
值為第 n-1 層處理單元輸出的非線性函數,定義如公式
2-3:
Ajn = f(netjn) (2-3)
其中, (summation function)netjn = ∑ wiji Ai
n−1 − θj;
θj:類神經元 j 之修正誤差;
f:非線性轉換函數;。
在監督式學習主要是降低網路輸出單元目標輸出
值與推論輸出值的差距,一般以誤差函數來表示學習品
質,定義如公式 2-4:
- 15 -
E =12��Tj − Aj�
2
j
(2-4)
其中,Tj:輸出層目標輸出值;
Aj:輸出層推論輸出值。
網路的學習過程,通常以最陡坡降法來使誤差函數
最小化,逐次調整神經元間連結權重,集誤差函數對加
權值的偏微分值成正比,如公式 2-5:
∆Wij = −η ∙∂E∂Wij
(2-5)
其中,Wij介於第 n-1 層的第 i 個與第 j 個神經元間
的連結加權值; η:學習速率,控制每次以最陡坡降法最
小化誤差函數之幅度。 然而,不論Wij處於輸出層與隱藏層間、或隱藏層
相互間, ∂E∂Wij
均可寫成通式,定義如公式 2-6:
∂E∂Wij
= −δjn ∙ Ai
n−1 (2-6)
其中,δj
n:Wij所連接的較上層之神經元的輸出值;
Ain−1: Wij所連接的較低層之神經元輸出值。
學習過程透過訓練範例,反覆學習來調整變數間連
結加權值,直到網路的誤差程度達到收斂為止。
以下為倒傳遞網路演算法的訓練過程與回想過程
之步驟: (葉怡成,2003)
- 16 -
1.訓練過程:
(1)設定學習速率η。
(2)設定初始權重值與閥值矩陣為[0,1]間亂數值。 (3)輸入訓練範例之輸入向量 X 與輸出向量 T。
(4)計算實際輸出向量值、輸出層與隱藏層差距。
(5)計算權重值矩陣修正量∆W,與閥值修正量∆θ。
(6)更新權重矩陣 W 與閥值 θ,並重新輸入一組輸入
值,重複 3~ 6 步驟,直到符合設定的誤差範圍值
或滿足設定條件為止。 2.回想過程:
(1)使用訓練後的權重值與閥值,並不再變更。
(2)輸入一組測試範例之輸入值 X。
(3)計算輸出層向量。
第四節 資料探勘
資料探勘是從大量資料來進行萃取模型之過程,其目的在
發掘資料中有用的樣式及關聯性,萃取其中隱藏的知識,並透
過樣式評估(patter evaluation)之步驟,評估知識是否具有價值,
因所發掘的知識不一定皆為所需,透過樣式評估過濾不需要的
資訊,將最後結果提供給使用者。
一、資料探勘分析方法 以下三種方法對於萃取稽核資料是最有用 :分類
(classification)、連結分析 (link analysis)、及序列分析
(sequence analysis)。(Lee, Stolfo ,kui ,and Mok, 1999)
- 17 -
(一)分類
將資料項分派到其中一個是先定義好的範圍中,分
類演算法會產生分類器(classifier),例如:決策樹、規則。
在入侵偵測中,最佳分類器能可靠辨別稽核資料,並將
其分為正常或異常的範圍中。
(二)連結分析
定義資料欄位間關係與彼此間關聯性。在入侵偵測
中,最佳的連結分析演算法可辨識系統的特徵,並找出
入侵行為。 (三)序列分析
序列分析演算法可找出同時發生的稽核事件,和運
用時間的統計評估方法,擴充入侵偵測模式,且這些評
估方法有能力辨別阻絕服務攻擊。
二、序列分析 序列分析所輸入的資料為一組序列,稱為資料序列,
例如:每個顧客所有交易依其時間排序,則稱為顧客序列。
序列分析主要用來發掘與時間相關的資訊,更清楚判斷使
用者在於特定時段的資料詳細變化情形。 序列分析過程可分為五個階段:
(一)排序階段
此階段工作在於將主鍵 (primary key) 與次鍵
(secondary key)作排序,例如:將顧客代號(主鍵)與交易
時間(次鍵)作排序,而其結果即可產生顧客序列資料
庫。 (二)大型項目集產生階段
- 18 -
此階段工作在於尋找所有大型項目集(large item-
sets),從序列資料庫中找尋序列符合使用者最小支持度
的項目集。 (三)轉換階段
此階段工作在於找到大型項目集後,必須決定該大
型項目級是否被包含於序列資料庫中。
(四)大型序列產生階段
此階段工作在於使用轉換後的序列資料庫來產生
所有大型序列。 (五)最大序列產生階段
此階段工作在於從所有大型序列中來尋找最大序
列。
一個包含 k 個項目序列,稱為 k-sequence,即 k 表示為項目
集的個數。若序列滿足使用者最小支持度(minimum support)之限
制,則稱為大型序列(large sequence);若某一大型序列不被包含於
其他大型序列中,則稱為最大序列(maximal sequence)。
三、Generalized Rule Induction (GRI)演算法
GRI 其概念與關聯法則極為類似,都藉由資料間相關
性來尋找可供使用的規則,並予以具體化描述。
GRI 演算法經由以下六個步驟來產生規則: (廖述賢,
溫志皓,2009)
(一)對輸出欄位(Yi )進行縱向優先搜尋(depth-first search,
DFS),產生最高頻規則集,獲得目前希望輸出欄位的
所有規則集。 (二)對每個輸出欄位選取所有可能輸出值(Yk),以縱向優先
搜尋來進行演算,而在下一個輸出欄位進行運算前,產
- 19 -
生規則集僅能預測現有欄位中值。
(三)為每一輸出值選擇個別輸入的欄位(Xm)。
(四)對每一輸入欄位設定個別所需條件(Xq),而條件設定依
每個欄位值的特性不同而有所差異。
(五)當規則Xm=Xq ⇒ Yi=Yk時,須計算 J 統計值(如公式 2-7)
才能決定是否規則被選入。如果預測相同結果時,若新
規則中 J 值比已成立規則中最高 J 值高(Yi=Yk),並滿足
最小支持度(minimum support)與最低可靠度(minimum
confidence)時,則新規則成立。 (六)重複以上步驟,直到所有輸入欄位值、輸入欄位內容、
輸出欄位值與輸出欄位內容都計算完畢為止。
J(x|y) = p(x)[p(x|y)log p(x|y)p(x) + (1 − p(p(x)
p(y)))log 1−p(x|y)
1−p(x)] (2-7)
其中,p(x)為成立規則中,前項(antecedent)在資料集出
現之比例; p(y)為成立規則中,後項(consequent)在資料集出
現之比例; p(x|y)為符合前、後相之條件,且在資料集出現
之比例。
第五節 相關研究
Zhao, J.L., Zhao, J.F, and Li (2005),提出一個新穎的研究方
法,運用叢集遺傳演算法(clustering genetic algorithms),可提升
解決電腦網路入侵偵測問題。此演算法包含兩個步驟,叢集與
遺傳優化,不僅能自動群集,亦能檢測到未知的入侵行為。結
果證實,該演算法能夠成功檢測入侵行為,整體準確率達 95%,
且具有極低誤判率。
- 20 -
Zhao, Li, and Jin (2006)提出基於即時序列來預測分析網路
流之容忍入侵(intrusion-tolerant)的入侵偵測方法。使用線性迴歸
來預測網路流序列,其分析有助於了解入侵者的行為和入侵活
動。此外,研究提供容忍入侵的復原策略(recovery strategies),
研究結果顯示在 http 伺服器性能表現上優於其他伺服器。
Ding, Wang, and Liu (2008),傳統的入侵偵測系統注重的是
低層次的攻擊,往往無法找到邏輯關係之警報,此外 IDS 準確
率低,大多是錯誤警報,導致使用者無法適時且正確的做出抵
制行動。為了解決這些問題,根據入侵場景偵測方法(scenario detection method)提出一種資料探勘方法來尋找攻擊場景,先將
多餘的警報檢查並刪除,再運用 Associated-rule 演算法將攻擊場
景(attack scenario)記憶,而這些被記憶的場景型態將運用在於尋
找攻擊場景,而研究所提出之方法可自動尋找出攻擊場景。
Tian, Gao, and Zhang (2009),提出基於徑向基函數類神經網
路(RBFNN)來建構網路入侵行為,採取 K 最近鄰演算法和最小
平方值迴歸(least square method)來訓練網路,並探討分析其影響
入侵行為之因素,透過強大功能和快速收斂的徑向基函數類神
經網路,可偵測不同的入侵行為,有效地學習典型入侵特徵之
信息。
Zhang, C., Zhang, G., and Sun (2009),經由分析並擷取異常
偵測與誤用偵測之優點,進而設計一套混合式入侵偵測系統模
型。將資料先採用誤用偵測模組進行檢測,在將異常資料使用
異常偵測模組檢測。在該模型中,異常偵測模組採用非監督式
K-means 叢集方法,證明在異常偵測模組中具有高準確率。
Seliya and Khoshgoftaar (2010),提出一種以類神經網路為基
礎的主動學習程序之網路入侵偵測,根據研究證明一個簡單的
主動學習過程可以縮減資料數量,且不會犧牲其入侵偵測模組
- 21 -
之準確率。對照主動訓練的類神經網路模型和 C4.5 決策樹,可
清楚了解前者有較高準確率,且研究利用正規化為基礎的網路
訓練,並改進前饋式類神經網路模型(feed-forward neural network model),修正函數 F 的平方平均總和的訓練樣本之錯誤率。
最後,根據上述文獻整理其優點與偵測分析方法,如表 2-4:
表 2-4 相關研究文獻整理
優點 偵測分析方法 Zhao, J.L, Zhao, J.F, and Li (2005)
可自動找出場景有效解
決網絡入侵偵測 自動群集 可檢測未知入侵行動
混合式 (叢集遺傳演算法)
Zhao, Li Q.H, and Li J. (2006)
可預測網路流序列 在 http 伺服器上性能佳
資料探勘 (即時序列) (線性迴歸)
Ding, Wang, and Liu (2008)
可自動找出場景 資料探勘 (Associated-rule 演算法)
Tian, Gao, and Zhang (2009)
快速收斂 有效學習入侵特徵信息
混合式 (徑向基函數類神經網路) (K -最近鄰演算法) (最小平方值迴歸)
Zhang, C., Zhang, G., and Sun (2009)
兼具異常與誤用偵測之
優點 統計分析 (K-means 叢集演算法)
Seliya and Khoshgoftaar (2010)
可縮減訓練資料的數量 類神經網路分析 (前饋式類神經網路模型)
- 22 -
第三章 研究方法
第一節 研究樣本
一、樣本來源 本研究實驗的樣本來源 KDD CUP’99 Database,其為
美國麻省理工學院林肯實驗室模擬美國空軍軍事網路環境
所收集 9 周的 TCP 連線資料,而其資料包含攻擊與正常的
連線資料。然而,其連線資料中的攻擊類型可分為四種:
(一)Denial of Service:
攻擊主要是利用大量封包資料傳送來造成主機/伺服器因其大量的連線要求,來癱瘓主機/伺服器或其他
使用者無法獲得正常服務。攻擊程式如:Ping of Death、
smurf、syn flood、neptune…等。
(二)User to Root Attack:
攻擊主要是透過一些漏洞程式來獲取管理者的權
限。攻擊程式如:buffer overflow…等。 (三)Remote to User Attack:
攻擊主要是傳送攻擊程式至主機/伺服器,藉由主
機的漏洞來入侵或攻擊。攻擊程式如: warwzclient…
等。
(四)Probes:
攻擊主要是先進行掃描主機/伺服器來獲取入侵相
關資訊,收集系統漏洞與主機相關資訊,來達到攻擊。
攻擊程式如:port scan…等。
- 23 -
二、樣本範圍 KDD CUP’99 Database 共有 4898431 筆封包資料,而
其中每筆封包資料皆具有 41個特徵與 1個標記(如表 3-3),而該資料攻擊模式 80%集中為 Dos 攻擊,且其中以 neptune
與 smurf 攻擊模式居多。
本篇研究將抽取一萬筆資料,為了減少相似的攻擊模
式重複,總共萃取 27 種攻擊模式與 1 種正常模式(如表 3-1)
來進行分析,其中 60%資料為正常模式,其餘為 40%為攻
擊模式。
表 3-1 標記內容 標記內容 (normal/attack)
normal imap nmap satan warezmas-ter
back ipsweep phf smurf worm buffer_overflow mailbomb pod snmpgetattack xlock
ftp_write mscan portsweep snmpguess xterm Guess_passwd named processtable teardrop
httptunnel neptune rootkit warezclient
第二節 研究程序架構
本篇研究程序架構如圖 3-1,第一步驟將 KDD CUP’99 資
料庫中選取一萬筆的封包資料作為樣本。第二步驟封包資料進
行前置處理,將資料中的標稱型與連續型變數轉換至[0,1]間。
第三步驟本篇研究所選用的三種演算法皆需將其演算法參數進
行微調,接著將 7000 筆封包資料進行樣本訓練。第四步驟評估
樣本訓練狀況,確保所有訓練與學習都已達期望標準。第五步
驟將 3000 筆資料作為測試樣本,用以測試訓練模型之成效。最
- 24 -
後,第六步驟進行模型評估與驗證,最後利用集合方式來評估
其準確率、誤判率與效益之差異,用以找出高效益、高準確率
與低誤判率之入侵偵測系統模型。本篇研究透過 PASW Statistics 18 與 SPP Clementine 12 套件來進行訓練與分析。
封包資料擷取
封包資料前置處理
參數校調與樣本訓練
樣本訓練學習評估
測試樣本
評估與驗證
圖 3-1 研究程序架構
第三節 資料前置處理
為了瞭解資料整體性、完整性與其特徵性,因此先將資料
封包進行資料前置處理,將進行以下兩個步驟:
一、資料轉換 在 KDD CUP’99 中,每筆網路連線資料包含:連續型
(continuous)、二元變數(binary)與標稱型(category)三種不同
類型之變數,須先將不同類型之變數資料進行轉換,使資
料數據轉至[0,1]間,轉換方式如公式 3-1、3-2、3-3 所示:
- 25 -
A.連續型資料欄位:
Ζ =|χ− Min|
|Max − Min| Ζ ∈ {0,1}
(3-1)
Χ:變數欄位值; Min:該欄位值中最小值;
Max:該欄位值中最小值。
B.二元變數型資料欄位:
Ζ = χ Z ∈ {0,1} (3-2)
X:變數欄位值。
C.標稱型資料欄位:
Ζ ∈ �1,2 …Μf� Ζ ∈ {0,1} (3-3)
其中,Μf為該標稱型變數的狀態值(如表 3-2 所示)。
標稱型變數轉換方式,將其變數欄位值轉換為任意[0,1]間的數值,如表 3-2 所示,為本篇研究標稱型變數轉換表。
- 26 -
表 3-2 標稱型之變數轉換表 標稱型 變數
原始欄位值 : 轉換後數值
Service
http : 0.015 pop_2 : 0.255 gopher : 0.495 iso_tsap : 0.735
smtp : 0.030 pop_3 : 0.270 daytime : 0.510 kshell : 0.750
ftp : 0.045 whois : 0.285 netstat : 0.525 remote_job :0.7mote_job :0.765
telnet : 0.060 link : 0.300 csnet_ns : 0.540 courier :0.780
finger : 0.075 nntp : 0.315 sql_net : 0.555 rje : 0.795
auth : 0.090 time: 0.330 ldap : 0.570 ssh : 0.810
eco_i : 0.105 tim_i: 0.345 hostnames : 0.585 efs : 0.825
ftp_data :0.120 exec : 0.360 uucp_path : 0.600 discard : 0.840
ntp_u : 0.135 shell : 0.375 printer : 0.615 uucp : 0.855
ecr_i : 0.150 klogin :0.390 supdup : 0.630 nnsp : 0.870
http_443 :0.165 echo : 0.405 netbios_ssn :0.645 ctf : 0.885
mtp : 0.180 login : 0.420 netbios_dgm :0.660 pm_dump: 0.900
private : 0.195 name : 0.435 netbios_ns :0.675 X11: 0915
domain : 0.210 urh_i : 0.450 IRC : 0.690 other : 0.930
domain_u :0.225 urp_i : 0.465 sunrpc : 0.705
Z39_50 :0.240 systat : 0.480 imap4 : 0.720
Flag
SF : 0.09 S2:0.36 RSTR : 0.63 OTH : 0.9
S0 : 0.18 S3:0.45 RSTO :0.72 REJ : 0.99
S1 : 0.27 SH:0.54 RSTOSO:0.81
Label Attack : 1 Normoral : 0
二、特徵變數選取
Sung and Mukkamala (2003),提出利用支持向量機
(support vector machine)和人工智慧網路(artificial neural network)方法找出特徵組合為 23 個時,能達到相當高的準
確率。
Li, Fang, Chen, and Guo (2006),利用最大熵模型
(maximum entropy[ME] Model)為特徵選取方法提出 6 個特
- 27 -
徵變數即可達到相當高的準確率,且其他特徵變數對於入
侵偵測之影響力相當低,幾乎不足以影響其準確率。
Khor, Ting, and Amunaisuk (2009) 利用貝氏網路
(bayesian network)和 Classification Regression Trees (CART)
為特徵選取方法提出 12 個最重要的特徵組合,即可達到相
當高的準確率。
Xiao and Liu (2009)利用 two-step feature selection algo-
rithm 提出在入侵偵測上 21 個特徵變數與 41 個特徵變數的
準確率與誤判率相當接近,但所偵測所需的時間成本卻有
明顯差異。
Nguyen, Franke, and Petrovi´c (2010),利用 C4.5 決策樹
和貝氏網路為特徵選取方法找出 21個特徵組合足以保持高
準確率,甚至可提供較好效能。
Gau, Wang, Zhao, Xie, Lin, and Zhou (2010),提出粗糙
集(rough set)和基因演算法(genetic algorithms)提出具有高
準確率、低誤判率和偵測時間最短的特徵組合為 11 個。
綜觀相關文獻不同特徵組合(如表 3-3),特徵組合之選
取在學術界並未達成一定共識。若採取 41 個特徵組合將會
導致訓練、測試的過程過於冗長集資料量過於龐大,並考
量 Xiao and Liu 學者所提出的 21 個特徵變數組與其他研究
文獻所提出的特徵變數組合較為相似,避免因選擇特徵變
數組合過少造成研究結果差異過大,綜合以上考量本篇研
究採用 Xiao and Liu (2009)所提出的 21 個特徵組合來進行
分析。
- 28 -
表 3-3 不同特徵選取組合
- 29 -
第四章 實驗結果
第一節 KNN 最近鄰分析
KNN 訓練模型之建構,本篇研究 K 值設定介於[1,100]間,
研究發現,當 K 值為 1 時,達最低錯誤率 0.0123,然而,隨著
K 值增加,亦會造成錯誤率遞增(如圖 4-1 所示)。當 K值越高時,
所產生的群集相對少,則造成未知樣本進行判定所屬群集時,
較無法準確判定。
圖 4-1 K 值之錯誤率
叢集結果(如圖 4-2 所示),由於本篇研究特徵變數達 21 個,
無法一一呈現,僅顯示 flag、num_failed_logins 及 wrong_fragment
三個特徵變數之示意圖。
- 30 -
圖 4-2 特徵變數之低示意圖
實際封包之類型,0 為正常封包,而 1 為攻擊封包,實驗結
果顯示,經調校後利用 KNN 模型進行資料預測,正確預測出為
該封包資料為正常的準確率為 98.9051% (5962/(5962+66)),而正
確預測出該封包資料為攻擊的準確率為 98.5650%。
實驗結果顯示為整體準確率達 98.77%與誤判率達 1.09%(如
表 4-1 所示)。
表 4-1 KNN 分析結果
實際封包之 類型
預測
0 1 正確百分比
0 5962 66 98.9051%
1 57 3915 98.5650%
整體百分比 98.77%
- 31 -
第二節 倒傳遞類神經網路分析
一、倒傳遞類神經網路建構模型 倒傳遞類神經網路建構模型中,有數個重要參數影響
整體模式之準確性,包含學習次數、隱藏層層數、隱藏層
節點、Alpha 及學習速率,然而,目前尚未有尋求較佳準確
率之方法,以至於參數須經反覆測試來尋求最佳解,本研
究將每一項參數進行反覆測試,以求得較佳參數設定。
(一)隱藏層層數及節點數 通常隱藏層數為一至二層時有最好的收斂性質,太
多或太少層,其收斂結果較差; 而沒有隱藏層則不能反
映問題輸入神經元間交互作用,因此有較大誤差;而一、
二隱藏層已足反應問題的輸入神經元間交互作用(葉怡
成,2003) 。
本研究測試一層與二層之隱藏層,而一層隱藏層節
點數測試範圍為 5、10、20、30、40、50、60、70、80、
90,依序測是來尋求較佳準確率,結果整理,如圖 4-3
所示,節點數在 50 與 80 時得較佳準確率 96.98%;而
二層隱藏層節點數測試範圍為 20_5 、 20_10 、
20_20_20_25、30_5、30_10、30_20、30_25、50_5、50_10、
50_20、50_25,依序測是來尋求較佳準確率,結果整理,
如圖 4-4 所示,發現節點數在 50_20 時得較佳準確率
96.45%。
然而,本研究測試結果,在一層隱藏層之節點數為
50 與 80 時,高於二層隱藏層所測試結果之準確率,因
此本篇研究在此參數設定上選用一層節點數為 50,雖
- 32 -
然一層節點數為 50 或 80 所得的準確率相同,但節點數
較多者,相對訓練時間較長。
圖 4-3 一層隱藏層節點個數之準確率
圖 4-4 二層隱藏層節點個數之準確率
(二)學習次數
學習次數介於[0,1000]間,經由不斷測試,研究結
果發現,學習次數超過 300 次後,準確率大幅提升,而
當學習次數達 500 次後,準確率不再有所提升(如圖 4-5
所示),因此,本篇研究在此參數設定上設為 500。
- 33 -
圖 4-5 學習次數之準確率
(三)Alpha
Alpha 值介於[0,1]間,經由不斷測試來尋求較佳準
確率,研究結果發現,當 Alpha>0.9 時,發生網路局部
極值化,造成準確率大幅降低; 當 Alpha=0.55 時,可得
較佳準確率 98.54%(如圖 4-6 所示)。因此本篇研究在此
參數設定上,設為 0.55。
圖 4-6 Alpha value 之準確率
(四)學習速率
學習速率介於[0,1]間,本研究將初始學習速率設為
0.0、最小學習速率設為 0.001、最大學習速率設為 1.0
及學習速率衰減值設為 35。
- 34 -
二、倒傳遞類神經網路建構之結果 (一)變數重要性
21 個特徵變數中,srv_rerror_rate 變數重要性達
0.1133,而變數 flag、logg_in、service、count、rerr_rate,
重要性依序為 0.1021、0.101、0.0994、0.0798、0.0645,
而其他特徵變數之重要差異不大(如圖 4-7 所示)。
圖 4-7 21 個特徵變數重要性
(二)增益評估
模型建構之效益(如圖 4-8 所示),對角線為使用
100%資料才能找出所有預期尋找之目標,而透過該模
型,使用 40%資料時,即可找尋 98.3%預期尋找之目標,
故該建構之訓練模型具有較高效益。
- 35 -
圖 4-8 BPN 增益評估
(三)預測分析
實際封包資料之類型,0 為正常封包,1 為攻擊封
包。實驗結果顯示,經調校後利用 BPN 模型進行資料
預測,正確預測出為該封包資料為正常的準確率為
99.0212% (5969/(5969+59)),而正確預測出該封包資料
為攻擊的準確率為 97.8097% (3885/(87+3885))。
實驗結果顯示,整體準確率達 98.54%、誤判率達
0.9788% (如表 4-2 所示)。
表 4-2 BPN 預測分析
實際封包資料之
類型 預測
0 1 正確百分比
0 5969 59 99.0212% 1 87 3885 97.8097%
整體百分比 98.54%
百分比數
Label= attack
增
益
%
- 36 -
第三節 GRI 分析
一、GRI 模型建構 GRI 建構模型中,有數個重要參數影響整體模型之準
確性,包含最小規則支持度、最小規則信賴度、最大前提
條件數及最大規則數,然而參數須經反覆測試來尋找最佳
解,本篇研究將每一參數組合進行反覆測試,以求得較佳
參數設定。
在最小規則支持度 50%、最小規則信賴度 5%、最大前
提條件數 5、最大規則數 500 (50_5_5_500)與最小規則支持
度 50%、最小規則信賴度 10%、最大前提條件數 5、最大
規則數 500 (50_10_5_500)得較佳準確率 86.74%; 而最小規
則支持度>70%或最小規則信賴度>60%,則平均準確率偏低
或閥值(threshold)過大,無法進行訓練(如圖 4-9 所示)。然
而,所有參數組合之規則集中前提條件數不超過 5,所以避
免訓練時間不必要浪費,則將最大前提條件數皆設為 5。
- 37 -
圖 4-9 GRI 參數設定組合之準確率
- 38 -
二、GRI 模型建構之結果 (一)增益評估
模型建構之效益(如圖 4-10 所示),對角線為使用
100%資料才能找出所有預期尋找之目標,而透過該模
型,使用 60%資料時,即可尋找出 95.6%預期尋找之目
標。
圖 4-10 GRI 增益評估
(二)預測分析
實際封包資料之類型,0 為正常封包,1 為攻擊封
包。實驗結果顯示,經調校後利用 GRI 模型進行資料預
測,正確預測出為該封包資料為正常的準確率為
99.7180% (6011/(6011+14)),而正確預測出該封包資料
為攻擊的準確率為 67.1119% (2663/(1309+ 2663))。
實驗結果顯示,整體準確率達 86.74%、誤判率達
0.3484% (如表 4-2 所示)。
增
益
%
百分比數
Label= attack
- 39 -
表 4-3 GRI 預測分析 實際封包資料
之類型 預測
0 1 正確百分比 0 6011 17 99.7180% 1 1309 2663 67.0443%
整體百分比 83.3819%
第四節 KNN、BPN、GRI 效益分析
考量 KNN、GRI、BPN 演算法模型建置時 CPU 與 Memory
使用狀況,本篇研究測試環境 (如表 4-4 所示)。 在正常環境下,CPU Load 平均為 7%、Memory Usage 平均
為16%; 在KNN模型下,CPU Load Average高於正常環境2倍、
Average Memory Usage高於正常環境約 1.6倍; 在GRI模型下,
CPU Load Average 高於正常環境 1.6 倍、Average Memory Usage
高於正常環境約 1.3 倍; 在 BPN 模型下,由於其訓練與分析時
間較長,相較之下 CPU Load 明顯偏高,CPU Load Average 高於
正常環境 3 倍、Average Memory Usage 高於正常環境約 1.3 倍(如
圖 4-11 所示)。
表 4-4 測試環境
CPU AMD Phenom II x4 945
MB MIS 770-C45
RAM GAMING DDR3-1600 2G*2 作業系統 Windows XP
- 40 -
圖 4-11 模型建構時 CPU 與 Memory 使用狀況
- 41 -
第五章 結論與後續研究
第一節 結論
單一演算法建構之入侵偵測模組,準確率最高為 KNN 偵測
模組,其次為 BPN 與 GRI 偵測模組,然而,高準確率之模組,
同時也具有相對較高的誤判率(如表 5-1 所示),為此,考量將
KNN、BPN 與 GRI 三種演算法進行串聯與並聯之分析。
表 5-1 演算法之準確率與誤判率 演算法 GRI KNN BPN 準確率 86.74% 98.77% 98.54% 誤判率 0.3484% 1.09% 0.9788%
然而,KNN、BPN 與 GRI 三種演算法偵測結果之交集,就
模組準確率而言,交集之結果顯示(如圖 5-1 所示),三種演算法
在其預測結果相似度高達 85%以上,因此透過並聯演算法之方
式,雖可提高準確率,但所提升之幅度略小;而就模組誤判率而
言,交集之結果顯示(如圖 5-2 所示),三種演算法在其預測結果
相似度極低,因此透過串連演算法之方式來進行偵測,則可有
效降低誤判率。
GRI
KNN
BPN
演算法預測之正確個數:GRI: 8674KNN: 9877BPN: 9854
演算法正確預測之交集個數:GRI ∩ KNN: 8603GRI ∩ BPN: 8617KNN ∩ BPN: 9787
GRI ∩ KNN ∩ BPN: 8570 圖 5-1 演算法預測之準確率交集
- 42 -
圖 5-2 演算法預測之誤判率交集
多種演算法採用並聯方式來探討其準確率,其中一種演算
法若判定封包資料為正常行為,即視為該封包資料為正常行為。
當並聯 GRI 與 KNN 演算法,其一演算法判定為正常封包時即視
為正常行為,則準確率可達99.48%; 當並聯GRI與BPN演算法,
其一演算法判定為正常封包時即視為正常行為,則準確率可達
99.11%; 當並聯 KNN 與 BPN 演算法,其一演算法判定為正常
封包時即視為正常行為,則準確率可達 99.44%; 當並聯 GRI、
KNN 與 BPN 演算法,其一演算法判定為正常封包即視為正常行
為,則準確率可達 99.68%(如表 5-2 所示),由表 5-1 與 5-2 可知,
並聯演算法來建構偵測模型,可提高準確率。 而多種演算法採用串聯方式來探討其誤判率,每一種演算
法皆判定該資料封包為攻擊封包,才視為攻擊行為。當串聯 GRI
與 KNN 演算法,兩種演算法皆誤判正常封包為攻擊封包,則誤
判率達 0.04977%; 當串聯 GRI 與 BPN 演算法,兩種演算法皆誤
判正常封包為攻擊封包,則誤判率達 0.24884%; 當串聯 KNN 與
BPN 演算法,兩種演算法皆誤判正常封包為攻擊封包,則誤判
率達 0.56403%; 當串聯 GRI、KNN 與 BPN 演算法,三種演算
法皆誤判正常封包為攻擊封包,則誤判率達 0.03318%(如表 5-2
所示),由表 5-1 與 5-2 可知,串聯演算法來建構偵測模型,可
降低誤判率。
- 43 -
表 5-2 並/串聯演算法之準確率與誤判率
然而,雖然採用串聯與並聯方式,可提升準確率,並降低
其誤判率,但其準確率與誤判率與單一演算法其差異相對較小,
且若考量訓練時間與其效益,多種演算法較不符合成本效益。
第二節 後續研究
研究受限與樣本來源為單一資料庫,其研究結果未必能適
用於不同攻擊類型之預測,及受限於時間之許可,僅能針對較
為常見之統計分析、序列分析與類神經網路中各一種演算法來
進行模型訓練和分析,希望未來研究從單 PC 環境擴大至複雜網
路環境來進行多種演算法之預測,且本篇研究僅探討其效益,
期望未來研究可考量多種演算法的執行效率。
演算法 GRI ∪ KNN GRI ∪ BPN KNN ∪ BPN GRI ∪ KNN ∪ BPN
準確率 99.48% 99.11% 99.44% 99.68% 演算法 GRI ∩ KNN GRI ∩ BPN KNN ∩ BPN GRI ∩ KNN ∩
BPN 誤判率 0.04977% 0.24884% 0.56403% 0.03318%
- 44 -
參 考 文 獻
一、中文部分
施東河,黃于爵(2003),網站入侵偵測系統之分析與研究,資訊
管理學報,9(2),P183-214。
孫即祥(2003),現代模式識別,長沙:國防科技大學出版 新華
經銷。
張云濤,龔玲(2005),資料探勘原理與技術,台北:五南圖書出
版。
黃燕棻(2010),中華電信 2009 年每年平均發生 3.7 次 DDoS 攻
擊[線上資料],來源: http://www.ithome.com.tw/itadm/ article.
php?c=58913。
葉怡成(2003),類神經網路模式應用與實作(8 版),台北:儒林圖
書出版。
廖述賢,溫志皓(2009),資料採礦與商業智慧,台北:雙葉書廊。
二、英文部分
Bace, R. G (2000). Intrusion detection. Indianapolis, IN: Macmil-
lan Technical Publishing New Riders Pub.
Ding, Y. X., Wang, H. S., & Liu, Q. W. (2008). Intrusion scenarios
detection based on data mining. Proceedings of the Seventh International Conference on Machine Learning and Cybernet-ics, 3, 1293-1297, Kunming.
- 45 -
Guo, Y., Wang, Be., Zhao, X., Xie, X., Lin, L., & Zhou, Q. (2010).
Feature selection based on rough set and modified genetic al-
gorithm for intrusion detection. Proceedings of the 5th Interna-tional Conference on Computer Science and Education (ICCSE’10), P1441-1446, Hefei, China.
Khor, K. C., Ting, C.Y., & Amnuaisuk, S. P. (2009). A feature
selection approach for network intrusion detection. Proceeding of International Conference on Information Management and Engineering 2009 (ICIME’09), P133-137, Kuala Lumpur.
Li, Y., Fang, B. X., Chen, Y., & Guo, L. (2006). A lightweight in-
trusion detection model based on feature selection and maxi-
mum entropy model. Proceedings of International Conference on Communication Technology 2006 (ICCT’03), p1-4, Guilin.
Lee, W., Stolfo, S. J., Kui, W., & Mok, K.W. (1999). A data mining
framework for building intrusion detection models. In Zurko, M.E. (Ed.). Proceedings of the 1999 IEEE Symposium on Se-curity and Privacy, p120-132. Oakland, California: IEEE
Computer Society.
Mukhherjee, B., Heberlein, L.T., & Levitt, K. N. (1994). Network
intrusion detection. IEEE network, 8(3), 26-41.
Nguyen, H., Franke, K., & Petrovi´c, S. (2010). Improving effec-tiveness of intrusion detection by correlation feature selection.
Proceedings of International Conference on Availability, Re-
- 46 -
liability and Security 2010 (ARES’10), p17-24, Krakow.
Seliya, N., & Khoshgoftaar, T. M. (2010). Active learning with
neural networks for intrusion detection. Proceedings of IEEE Conference on Information Reuse and Integration 2010 (IRI’10), p49-54, Las Vegas, NV.
Srikant, R., & Agrawal, R. (1995). Mining sequential patterns. In
Yu, P.S. & S.P (Eds.). Proceedings of the Eleventh Conference on Data Engineering. Taipei, Taiwan: IEEE Computer Society.
Srikant, R., & Agrawal, R. (1996). Mining sequenctial patterns: Generalizations and performance improvements. In G. Apers,
M. Bouzeghoub and G. Gardarin(Eds.). Proceedings of the 5th International Conference on Extending Database Technology: Advances in Database Technology, p3-17, Springer-Verlag.
Sung, A. H., & Mukkamala, S. (2003). Identifying important fea-
tures for intrusion detection using support vector machines and
neural networks. Proceedings of the 2003 Symposium on Ap-plications and the Internet (SAINT’ 03), p209-217.
Tian, J., Gao, M., & Zhang, F. (2009). Network intrusion detection
method based on radial basic function neural network. Pro-ceedings of International Conference on E-Business and In-formation System Security 2009 (EBISS’09), p1-4, Wuhan.
Wang, Y. F., Chuang, Y. L., Hsu, M. H., & Keh, H. C. (2004). A
personalized recommender system for the cosmetic business.
- 47 -
Expert System with Application, 26, 427-434.
Xiao, L., & Liu, Y, (2009). A two-step feature selection algorithm
adapting to intrusion detection. Proceedings of International Joint Conference on Artificial Intelligence 2009 (JCAI’09), p618-622, Hainan Island.
Zhao, F., Li, Q. H., & Li, J. (2006). An intrusion-tolerant intrusion
detection method based on real-time sequence analysis.
Proceedings of the Fifth International Conference on Machine Learning and Cybernetics, p2692-2696, Dalian, China.
Zhao, J. L., Zhao, J. F., & Li, J. J. (2005). Intrusion detection based
on clustering genetic algorithm. Proceedings of the Fourth In-ternational Conference on Machine Learning and Cybernetics, 6, p3911-3914, Guangzhou, China.
Zhang, C., Zhang, G., & Sun, S. (2009). A mixed unsupervised
clustering-based intrusion detection model. Proceedings of the Third International Conference on Genetic and Evolutionary Computing, p436-428, Guilin.
