文摘
使用入侵检测系统在过去以及各种技术在网络中有效地检测入侵。然而,大多数这些系统能够探测入侵者只误警率高。在本文中,我们提出一种新的智能移动ad hoc网络使用基于代理的入侵检测模型的组合属性选择、异常检测和增强的多类SVM分类方法。为此,提出了一种有效的预处理技术,提高了检测精度,减少了处理时间。此外,两个新算法,即一个智能代理加权距离异常值检测算法和智能代理的增强的多类支持向量机算法提出了探测入侵者在分布式数据库环境,使用智能代理信任管理和协调事务处理。提出模型的实验结果表明,该系统检测到异常较低的误警率和高侦测率测试时KDD Cup 99数据集。
1。介绍
移动ad hoc网络(manet)由移动节点,没有基础设施,独立工作。他们是有用的在灾害管理等应用领域应急和救援行动,不可能有定义良好的基础设施。马奈具有极大的灵活性。然而,马奈的固有脆弱性增加安全风险。尽管马奈在本质上是动态的和合作,需要高效和有效的安全机制保障移动节点。入侵检测和预防的主要机制,以减少可能的入侵。入侵检测使用分类算法有效地歧视“正常”的行为“不正常”的行为。因此,入侵检测和预防系统可以用作二级防御机制在任何无线环境和移动数据库,这样就可以将一个可靠通信在manet的一部分1]。
入侵检测系统(IDS)扮演了重要的角色在提供安全网络。在本文中,我们引入一个新的智能的基于代理的入侵检测模型来确保移动ad hoc网络的安全。该入侵检测系统的主要功能是监控计算机系统和网络为了找到系统中入侵活动。在这样的系统中,攻击分为两类,即基于主机的攻击和基于网络的攻击。因此,ids也分为两类,即,网络入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS)。分类IDSs的另一种方法是对他们的方式检测入侵。根据这一分类,有两类入侵,即anomaly-based入侵和misuse-based入侵。Anomaly-based IDS能够识别恶意流量基于偏离预先制定正常网络流量模式。在misuse-based检测,检查网络流量预配置和预定的攻击模式。
一个智能代理是一个程序模块,功能不断在特定环境的感官和行为根据环境条件。因此,它能够以灵活和智能的方式开展活动,响应环境的变化。此外,这样一个代理可以从经验中学习。因为代理是自治,需要行动基于其内置的知识和它的过去经验的形式存储在规则。智能代理可以分为四类,即简单反射代理,代理,跟踪世界使用学习,基于目标代理和基于用途的代理。简单反射代理从他们的环境和解释感知输入状态相匹配的规则。世界的代理跟踪维护一个内部状态的输入,因为他们的行动需要与过去发生在相关国家和新状态。基于目标代理需要知道一些关于他们的目标,因为知觉信息(使用感官对象的印象获得)不提供足够的信息来确定行动。有时候知道的目标是不够的代理人采取正确的行动,特别是在有冲突的目标。因此,基于用途的中介认知状态映射到数字决定的目标是实现2]。智能代理,作为一个现代人工智能的概念,现在广泛部署在各种软件系统(3]。
异常检测是一个重要的活动在许多安全关键环境(4],离群值显示的异常运行条件主要性能不足可能的结果。局外人是一个id表示异常节点在网络和分布式系统中的异常数据。局外人发现入侵者在快速系统恶意的意图。孤立点检测的实现通过对时间序列数据进行分析、比较有关的使用统计数据。数据预处理在任何入侵检测系统中起着重要的作用,因为它是用来过滤数据,入侵检测系统。因此,数据预处理算法有助于提高性能以及检测精度和减少训练时间。
在本文中,一个新的智能的基于代理的入侵检测模型称为基于智能代理的特性选择混合分类器(IAFSHC)探测入侵者在无线ad hoc网络提出了保护网络。为了这个目的,一个智能的结合,基于加权孤立点检测算法和一个聪明的基于主体提出了增强的多类SVM分类算法为分类有效攻击。此外,我们提出一个新的智能代理的属性选择算法来提高性能。尽管各种类型的攻击发生在网络场景中,我们主要关注的有效检测DDoS攻击。本文提出的智能代理行为智能分类根据入侵者的行为。这项工作的主要应用是在严重的情况下提供安全的环境如战场,地震,区域,和风暴等自然灾害发生的地方。
2。动机提出了工作
快速发展的无线和移动ad hoc网络的使用改变了网络安全的范围。流动的本质在这样网络会导致新的漏洞,不存在一个固定的有线网络。尽管,许多安全机制提出了过去保护马奈漏洞,大多数现有的安全措施和方法被证明是无效的在当前互联网场景由于引入新型的攻击。因此,保护网络与防火墙的传统方式和加密软件是不够的。因此,有必要发展新的机制来有效地保护无线网络和移动计算应用程序。
原因有各种无线ad hoc网络安全风险的观点。在传统的无线网络中,移动节点将自己与一个接入点,进而连接到其他网络设备如网关或域名服务器负责处理的网络管理功能。另一方面,特设网络没有这样一个集中的访问点进行通信和控制。此外,缺乏集中控制很难知道其他节点的信任值的节点参与交流。之前由于没有为分类的节点信任值的基础上,要求所有节点在MANET合作支持网络运营,因此没有之前的安全协会可以假定所有的参与节点。在这种情况下,自由地漫游节点形成瞬态关联与他们的邻居的加入和离开子域独立,不另行通知。由于所有这些因素在临时网络,无线节点之间的联系是很容易被链接的攻击,其中包括被动窃听,积极干预和泄漏的秘密信息,数据篡改,扮演,消息重放,消息失真和拒绝服务(DoS)。因此,有必要对安全的特设网络的攻击入侵者使用有效的入侵检测技术。
此外,大幅增加在网络攻击导致损伤最敏感的信息。以来,攻击是变得越来越复杂和新漏洞,攻击者关注现有的入侵检测技术无法检测和处理的新类型的攻击。因此,一个智能入侵检测技术可以处理两个已知和未知的攻击类型必须开发。
3所示。文献调查
有许多的文学作品在讨论入侵检测的技术。其中,Bakar et al。7)提出了一种新的基于代理的入侵检测方法使用rough-set-based分类技术。这种技术从大型数据库生成规则,机制通过粗糙集处理数据中的噪声和不确定性。然而,生产一个粗略的分类模型或粗糙分类器计算昂贵,特别是在它的约简计算阶段。Tweedale et al。8)提出了一种基于神经网络(NN)的可替换主体分类器系统(MACS)使用信任,谈判,和沟通(TNC)推理的入侵检测模型。他们的工作的主要贡献是提出了一个基于认知的信任度量方法和排斥率。他们提出了两种类型的代理实现系统对信任管理和分类。小王和蒋介石9)提出了一个集群有效性测量与异常值检测和集群合并算法提供一个支持向量聚类算法。这个算法可以确定理想的集群数据赫芝致密、细腻集群轮廓提高鲁棒性的异常值和噪声。
有许多分类算法在文献中找到。例如,一个叫做树形结构多类支持向量机算法提出了他et al。10)有效分类数据。他们的论文提出了决策树算法构造一个多级id用于改善训练时间,测试时间,IDS的准确性。支持向量机可以很容易地实现每个攻击的实例数据的检测精度。通过使用功能排序法可以获得更好的DoS攻击的准确性(11]。多类支持向量机算法可以实现或被用于入侵检测系统。集成的决策树模型和支持向量机模型给出更好的结果比单个模型(10]。法等。12入侵检测提出了一种新的学习方法。它的帮助来执行数据简化选择重要的属性子集。
属性约简是非常有用的删除不重要属性通过应用启发式函数。提出了一种冗余属性选择算法由杨et al。13]。此外,邓et al。14]介绍了一种有效的简化一致决策表的属性约简算法。他们已经表明,知识还原是可行的和有效的减少属性适用于一个巨大的数据集进行分类。王et al。15)提出了四种不同的属性归一化预处理方法异常入侵检测的数据。这些方法是很有用的提供快速分类。
有许多的文学作品,讨论入侵检测,分类,对入侵检测和异常检测。其中,Angiulli et al。4)提出了一种基于距离的孤立点检测方法,用于发现顶部离群值在一个未标记的数据集,并提供的一个子集,称为孤立点检测的解决代理。这有效解决代理可以调查精度基于离群值。一种新的入侵检测方法通过结合两个异常的方法,即保形预测再(资讯)和基于距离的孤立点检测(CPDOD)算法abdel fattah et al。16)来检测异常和较低的误警率和高侦测率。提出一种基于实例的异常检测算法腾(17)减少距离计算的时间序列。在这个算法时间序列异常也有效地检测并提供更好的准确性比基本的孤立点检测算法。
在过去,我们提出了6]new-weighted-based异常检测算法称为加权基于距离的孤立点检测(WDBOD)算法有效分离的异常值。在另一个工作,我们引入一个新的入侵检测模型1)检测,袭击者在manet中使用增强的多类支持向量机和WDBOD的组合。在本文中,该组合模型命名为特征选择混合分类(FSHC)模型。在本文中,我们提出了一个智能基于主体框架为入侵检测使用预处理工作,异常值检测和增强的多类支持向量机,所有的决策活动是由智能代理和参与节点的信任值是由这些智能代理。与所有的文学作品IDS提出了在很多方面是不同的。首先,我们提出一种新的智能代理的预处理算法检测的攻击。其次,我们提出了一个智能代理的加权寻找相关数据的异常检测算法。第三,我们使用一个聪明的基于主体增强MSVM算法分类。第四,我们专注于DDoS攻击是最重要的在不同的攻击类型。最后,我们使用数据集KDD杯携带实验为马奈提供安全。
4所示。系统架构
系统的架构提出了工作包括七个主要部分,即数据采集代理、数据预处理模块、入侵检测系统模块和预防模块、用户界面、决策管理和知识库,如图1。
4.1。数据采集代理
数据采集代理收集网络数据从网络层。这些数据被发送到预处理数据的预处理模块。
4.2。数据预处理剂
数据预处理剂使用预处理技术属性选择算法为有效的预处理。在这种技术中,代理只选择有价值的属性的数据集使用投影。此外,数据清理、数据集成和数据转换执行进行有效的预处理。
4.3。入侵检测模块
入侵检测模块检测到入侵者从给定的数据使用智能代理的加权距离检测算法和智能基于主体增强的多类支持向量机算法。入侵检测模块入侵者有别于普通用户使用一个孤立点检测算法与支持向量机相结合获得更好的分类精度。
4.3.1。异常值检测代理
这个智能代理使用一个新提议weighted-distance-based异常检测算法的代理使用一个离群值的因素来确定异常点的特性集。
代理是用于提高检测准确性和宝贵的建议从重量分配代理。
重量分配代理
这个代理分配正确的重量数据集的所有功能。此外,它将有价值的建议转发到异常值检测代理。这个代理有助于为所有功能分配正确的重量并提高分类精度。
4.3.2。分类代理
这个智能代理使用一个新提出的基于主体增强的支持向量机算法的智能代理软件有效地使用一个合适的分类数据距离测量公式。
选择代理
这个代理选择分类的有效距离测量。分类代理被选择的距离测量公式选择代理。
4.4。预防模块
预防模块是用来防止入侵检测模块检测到的攻击。
4.5。经理决定
决定经理监控提出了系统的总体流程。决定经理决定帮助分类和预防活动的规则知识库中。此外,它决定预处理的活动。系统提供的用户界面是通过查询与决策管理器进行交互。
知识库
知识库包含有关属性的决策规则选择、异常检测、分类、和预防。它还提供了回复用户查询和执行有效的决策。
4.6。用户界面
用户可以通过这个用户与系统交互的接口。用户界面提供了请求决定经理并得到结果。
5。提出了入侵检测模型
在本文中,我们提出一种新的入侵检测模型使用异常检测和分类技术的结合。智能基于主体的分类是由组合加权基于距离的孤立点检测的(IAWDBOD)和智能代理的增强的多类支持向量机(IAEMSVM)算法。此外,我们提出一个属性选择算法称为智能代理的属性选择算法(IAASA)。
5.1。智能代理的属性选择算法(IAASA)
属性选择算法(5)预处理剂使用的属性,选择信息增益率定义如下。让被列入的数据集类的数量。让最大数量的非零值的属性选择的代理
输入。从数据集KDD杯组41特性
输出。减少的特性。
算法的步骤:智能代理执行以下步骤。步骤1。计算每个属性的信息增益使用(3)。步骤2。选择一个属性从最大信息增益值。步骤3。将数据集到subdatasets根据不同的属性值在哪里代表th属性的类。步骤4。找到所有的属性的信息增益率>阈值。步骤5。存储选中的属性的设置和输出。
5.2。多类支持向量机
多类支持向量机(MSVM)算法所使用的智能代理提供如下。首先,我们把数据集分成类。然后我们计算任意两个类之间的距离的选择模式使用一个代理类。等所有对我们重复这类模式,在两个类之间的距离计算使用闵可夫斯基距离。根据这种方法,两个点之间的距离
现在,代理发现每个类的中心点通过使用公式, 在哪里订单也找到每个类的重心。
质心计算使用公式 在哪里=质心的价值th节点,=个人th最低距离,=数量的维度。
发现每个类质心的计算相似之处参照数据值的数据集。这个计算后,类是转化为早些时候获得类,是一个最优值选择的代理。例如,当我们考虑一个问题19模式,减少后我们获得了10类。这些10类即A, B, C, D, E, F, G, H,我和J分为5组即AB, CD,英孚,GH, IJ。如果任何两个类的闵可夫斯基距离小于其他类的那一对被1(正常)。否则,取而代之的是−1(攻击者)。因此,在重复的过程中,我们只有1和−1的组合。自从−1类,其余类用于构造树。
智能代理的增强的多类支持向量机算法(IAEMSVM)
步骤1。确认两个初始集群中心通过控制智能代理在网站。步骤2。导入一个新类。步骤3。智能代理计算闵可夫斯基两个类之间的距离。步骤4。如果(),那么
正常分配。其他的
被分配为攻击者。第5步。智能代理计算距离的最小值和最大值。步骤6。如果(<阈值距离的限制),那么创建一个新的集群,这是新集群的中心。其他的
被分配为攻击者。步骤7。智能代理重复操作,直到减少类之间的区别。
在该算法中,智能代理有助于达到更好的精度比现有的算法支持向量机等MSVM, EMSVM。此外,该算法用于减少执行时间使用闵可夫斯基距离测量公式。智能代理帮助采取更好的决定,通过二叉决策树分类数据。
5.3。加权异常值检测
在这项工作中,我们提出了一个智能以代理人为基础的基于异常因素的加权距离算法确定一个点的outlierness算法的特性集,以提高检测的准确性。这个算法使用一个点的相对位置与一些分配重量根据其重要性和邻国的特性集来确定异常点对所有集群。
的正式定义weighted-distance-based异常因素提出了如下:
让是最近的邻居的一个对象与重量。这些加权距离最近的邻居对象被定义为在哪里是普通的欧几里得距离。
他们的平均加权距离计算使用公式
基于智能代理的加权距离异常值检测算法(IAWDBOD)
输入。训练数据集。
输出。的集合正常(当TS值两类数据集)和异常()。
智能代理是用来执行培训和测试阶段有效地下面。
第一阶段(培训)。异常值检测代理由四个代理,即培训代理,计算代理,决定代理,和测试代理(1)培训代理商发起,并调用计算代理。智能计算代理计算加权平均距离使用(5)。(2)智能计算代理计算节点的数量的距离大于加权平均。(3)智能计算代理的内部加权平均计算最近的内部节点。(4)培训代理列车内部和外部的数据节点代理通过使用提供的决策决定。
第二阶段(测试)。测试代理执行测试如下。(1)测试代理计算新的到达节点加权距离使用的权重分配重量分配代理。(2)如果新来的节点的距离>距离加权平均,那么测试代理提供了结果异常的其他正常。
6。Exprementation和结果
6.1。训练和测试数据
实验中使用的数据集来自第三国际知识发现和数据挖掘工具竞争(KDD杯99)(18]。每个连接记录是由41属性描述。属性列表包含两个连续型和离散型变量,用统计分布显著不同,这使得入侵检测一个非常具有挑战性的任务。
在这个数据集,它有五百万个土地攻击等网络连接记录,海王星攻击,密码猜,端口扫描。22个类别的攻击从以下四类:DoS, R2L, U2R和探针。这些41特性描述的基本网络包的信息,网络流量,主机流量和内容信息。表1显示的名称和序列号41特性。每条记录包含五类标签,如正常,探测器,DOS, R2L, U2R。它有391458个DOS攻击记录,52 U2R攻击记录,4107年调查攻击记录,1126 R2L攻击记录,和97278只正常记录在这个10%的数据集。
6.2。实验结果
基于代理的属性选择算法选择了19个重要特征从41特征数据集如表所示2。这个选择是基于各种属性的信息增益率值。
表3显示了检测精度获得使用KDD杯的41特性数据集通过应用增强MSVM, WDBOD, IAFSHC技术。从这个表中,可以看出该IAFSHC技术提供了更好的探针检测准确性,DoS和其他攻击。这是由于这样的事实,该混合模型利用智能代理的功能为决策和利用的优势增强MSVM和WDBOD算法中第一级决定使用增强MSVM算法,核函数是用来有效的分类。
另一方面,这一决定是进一步提高运用权重发现离群值。这两种算法的结合提供了更好的结果在所有的实验研究工作。10百分比的实验数据集KDD杯子。然而,每个实验使用至少5组不同的数据记录的数据集KDD杯和每个实验的平均值被认为是。
表4显示三个分类技术的检测精度,即EMSVM, WDBOD, IAFSHC分类执行时使用19特性选择的特征选择算法。此外,它可以观察到从表4拟议中的IAFSHC技术提供了更好的检测精度比其他两种算法对所有类型的攻击,即探测器,DoS等等。这是由于这样的事实:当所有属性在决策过程中,使用冗余值混淆了分类器。然而,这样的困惑解决通过调用服务的智能代理决策。因此,迭代的数量增加导致增加。除了时少,检测精度与准确度得到应用与选择提出IAFSHC 19特性。
表5显示了EMSVM算法的性能分析,提出IAEMSVM算法基于训练和测试时间。从这个分析,观察到的训练和测试时间都减少了提出IAEMSVM算法相比时EMSVM探测算法和DoS攻击。
表6显示WDBOD的性能比较,提出IAWDBOD算法基于训练和测试时间。从这个分析,观察到的训练和测试时间都减少了提出IAWDBOD算法相比时EMSVM探测算法和DoS攻击。
表7显示了性能分析方面的培训时间,测试时间,提出IAASA分类精度。从这个表中,可以观察到所有的攻击类型的分类精度增加。此外,培训和测试时间都减少了所有类型的攻击,也就是说,探测器,DoS等等。最后,该算法从41的特性选择19重要特性给定数据集KDD杯的10%。精度改进实现,因为属性有助于正确决策过程被认为是。因此,可能混淆的属性分类器是消除。这将导致增加的准确性。决策精度进一步提高的规则提取和应用的智能代理能够感知环境动态演化的规则。
表8显示了该IAFSHC的性能分析模型由IAASA的结合,EMSVM, WDBOD。从这个表中,可以观察到所有类型的攻击的检测精度提高。此外,培训和测试时间的攻击类型,即探测器,DoS,其他人在该模型降低了。这是由于这样的事实,这提出了分类模型认为只有19个特征。特征的数量减少时,组合的分类需要更少的数量减少导致。
图2显示了EMSVM误警率分析和智能基于主体EMSVM (IAEMSVM)。这个实验的工作,它是观察到的误警率低智能的基于主体EMSVM与EMSVM相比时。这个进步是因为智能代理的能力做出有效的决定选择正确的度量和分类规则。
图3为DoS提供了检测精度的比较,调查,和其他袭击IAFSHC FSHC模型和该模型。从这个图中,可以看出该IAFSHC模型提供了比现有FSHC模型更好的检测精度。
图4显示了假警报率对比提出IAFSHC模型和现有FSHC模型。从这个图中,可以看出提出的减少误警率IAFSHC模型相比FSHC时模型。这是由于这样的事实,提出了模型中的分类精度提高通过引入智能代理。
从所有这些结果,它可以观察到,该入侵检测模型减少了误警率和检测时间与现有FSHC模型相比。
从表9,它可以观察到,IAWDBOD与特征选择时提供更好的准确性而IAWDBOD没有特征选择。这是由于这样的事实:特征选择解决冲突的决定。第二,提出IAEMSVM与特征选择提供了更好的准确性比IAEMSVM没有特征选择。这不仅是因为MSVM-based分类的效率,而且由于提供的明确选择功能。第三,混合分类器的特征选择和特征选择提供了更好的分类准确性由于增加决策参数。最后,提出智能基于主体功能选择混合分类模型提供了最高的精度时相比,所有其他分类中讨论这个表。这是由于发射智能规则和提供的适当的方向选择的属性特征选择方法。
7所示。结论和未来的工作
本文提出了一种新的入侵检测系统称为IAFSHC和实施来保护马奈。这个系统相结合开发了一个智能代理的加权距离异常值检测(IAWDBOD)算法与另一个算法称为智能基于主体增强的多类支持向量机(IAEMSVM)算法。此外,一个有效的预处理技术智能代理的属性选择算法(IAASA)提出,包括在IAFSHC提高检测精度和减少处理时间。这个实验的工作,已经观察到DoS的分类精度,调查,和其他攻击是99.77%,99.70%,和79.72%,分别,当智能代理添加到分类器中。这种方法的主要优势是它减少了假阳性。未来的工作在这个方向上可以使用模糊逻辑增强的力量决定的经理。