5.2.3 初始检测器群的形成
异常呈现算法能实时捕获网络中任一异常的事件,使IAIDM模型的漏检率最小化,但呈现的单个异常事件并不意味着就是入侵事件,很可能是些噪声数据或偶然的事件,为了避免误报需要进一步的确定。
模式x一旦被判定为异常事件,则模型构造了一个异常触发的小邻域,即在其所属空间网格c的邻域内产生初始的检测器群SN(di):
其中‖·‖为欧几里得范数。SN(di)是由与c中心点的欧氏距离不大于常数r的所有初始检测器构成,定义r为异常刺激半径。
这里设置的异常触发小邻域机制,是考虑该区域内可能出现更多的异常事件,预先产生初始检测器以便加快检测的速度。
由于初始检测器产生于最小候选检测器集合M,M是模拟人体免疫系统中先天B细胞的机制,在不与自身发生反应的前提下以最小的交叠代价完全覆盖非我空间而预先定义的有效候选检测器集合。也就是说来自于M中的检测器并不能很好地包含当前入侵行为的特征点。对于专一性较强的初始检测器来说是难以在有限的时间内识别到足够数量且相似度较高的异常事件而被激活,这将增加漏检率。通过设置异常触发小邻域的机制使r-区域内但不在某一初始检测器识别域中的异常事件对其活化概率起激励作用,即使某个时段内发生在SN(di)识别域中的所有异常模式关联起来,即认为是同一攻击行为所引发持续异常事件。
为了确定异常刺激半径r的大小,实验中分析了几种典型的网络入侵行为:DOS、R2L、U2R和Probing,以2秒为时间窗口采集某一次入侵行为的连接记录为实验数据,经归一化处理后映射到模式空间,观察其空间分布范围。每种入侵记录采样100次,r取ε、2ε和3ε时,SN(di)的识别域包纳的连接记录数占总数的平均百分比如表5-3:
表5-3 在r取不同的值时实验结果
表5-3显示DOS入侵行为的连接记录较其他类在模式空间中的分布要分散些,这是因为在DOS入侵行为中部分类型攻击的行为特征是在短时间内,大量数据包流向同一目的主机,淹没和瘫痪正常的网络连接,这些数据包的Src IP通常是伪造的,由于此类型攻击中源IP地址的随机性使DOS在模式空间中的平均分布较散,而Probing攻击是指在较短时间内攻击者不断地尝试连接被攻击主机的服务端口,企图发现服务漏洞,其连接记录的特征是具有相同的Src IP和Dst IP而Sevice不同。由于Sevice的最大变化范围通常在[0,1024]内,因此Probing在模式空间中的平均分布较DOS集中得多,至于R2L和U2R入侵行为的连续记录之间变化较小,其空间分布比较集中。综合考虑,本模型中设定r等于2ε,即SN(di)中包含的最大的检测器数为3n。例如空间维数为2时,最多可产生9个初始检测器,SN(di)如图5-3所示。
图5-3 SN(di)的二维示意图
模式x落在di的覆盖域C中,则以di为刺激中心,以r等为刺激半径形成SN(di)的识别域
di与其周围的8个检测器组成初始检测器群SN(di)
图5-3中显示的x1,x2,x3,x4,x5和x6是一组异常事件序列,由定义4.3可知异常事件序列(x2,x3,x4,x5,x6)之间的关联度较高,而模式x1与其他事件的关联度较低。当依次呈现时,IAIDM模型是以模式x1的空间位置来确定SN(di)的识别中心,后序关联度较高的事件(x2,x3,x4,x5,x6)可能会分布在SN(di)识别空间的边界区域如x2,x3和x4,或者因落在识别空间外而产生新的SN′(di)如x5和x6。SN(di)和SN′(di)之间有较大部分发生重叠,通过模拟先天B细胞激活和克隆变异的过程,SN(di)和SN′(di)逐渐被更合适的检测器群所替代。