第2卷第4期 智能系统学报 Vol.2№4 2007年8月 CAAI Transactions on Intelligent Systems Aug.2007 基于SVDD的网络安全审计模型研究 罗隽，潘志松，胡谷雨 (解放军理工大学指挥自动化学院，江苏南京210007) 摘要：审计是入侵检测的基础，为入侵检测提供必要的分析数据，在传统的网络安全审计与入侵检测系统中，需要 由人工来定义攻击特征以发现异常活动.但攻击特征数据难以获取，能够预知的往往只是正常用户正常使用的审计 信息.提出并进一步分析了一种基于支持向量描述(SVDD)的安全审计模型，使用正常数据训练分类器，使偏离正常 模式的活动都被认为是潜在的入侵.通过国际标准数据集MIT LPR的优化处理，只利用少量的训练样本，试验获得 了对异常样本100%的检测率，而平均虚警率接近为0. 关键词：网络安全审计：入侵检测：支持向量描述：单类分类器 中图分类号：TP393.08文献标识码：A文章编号：16734785(2007)04006905 A net work security audit system based on support vector data description algorithm LUO Jun,PAN Zhi-song,HU Guryu (Institute of Command Automation,PLA University of Science and Technology,Nanjing 210007,China) Abstract:Security audit,which is the basis of intrusion detection,provides the necessary data for intrusion detection analysis.In traditional security audit and intrusion detection system,the characteristics of an at- tack need to be defined by experts for the system to be able to successfully identify anomalous activities. Due to the difficulty in predicting attack data,in most cases administrators only get normal sequences of system calls.In this paper,a security audit system based on SVDD algorithm was designed to resolve the one-class problem in anomalous activity detection.All activities deviating from normal patterns were clas- sified as potential intrusions.In experiments using the international standard data set MIT L PR,the one- class classifier achieved a 100%detection rate and a zero false alarm rate for sequences of system calls based on a small training dataset.The proposed algorithms can be trained for anomalous activity detection simply by using normal samples and the algorithm also enables the security audit system to detect new types of anomalous behavior. Key words:network security audit;intrusion detection;support vector data description,one-class classifier 在网络安全体系中，对于C2及其以上安全级 入侵检测和安全审计中“数据爆炸、知识贫乏”的问 别的计算机系统来讲，审计功能是其必备的安全机 题，成为当前网络安全研究中的难点和热点.自动的 制，是其他安全机制的有力补充，同时，审计还是人 知识发现是网络安全检测和安全审计处理的重要研 们研究入侵检测系统的前提山.由于审计跟踪审查究方向).传统的入侵检测由于依赖已知攻击数据 是基于每个目标或每个用户的访问模式，必然导致进行训练，不能做到自动更新规则库和检测新的入 有海量数据产生，特别是网络攻击带来的海量的安 侵也无法检测新的攻击行为. 全审计信息难以处理，如何利用人工智能技术解决 审计跟踪作为一种安全机制，其信息包含了很 多方面的内容，本文中主要关注的是网络安全审计 收稿日期：20061013. 基金项目：江苏省自然科学基金资助项目(BK2005009):中因博士后 中的系统调用执行迹3.1.1996年，墨西哥大学的 基金资助项目(2004036405)：江苏博士后基金资助项目 (0401064B). Forrest等人提出了在异常检测中通过分析程序执 1994-2009 China Academic Journal Electronic Publishing House.All rights reserved.http://www.cnki.net第 2 卷第 4 期 智 能 系 统 学 报 Vol. 2 №. 4 2007 年 8 月 CAAI Transactions on Intelligent Systems Aug. 2007 基于 SVDD 的网络安全审计模型研究 罗 隽 ,潘志松 ,胡谷雨 (解放军理工大学 指挥自动化学院 ,江苏 南京 210007) 摘 要 :审计是入侵检测的基础 ,为入侵检测提供必要的分析数据. 在传统的网络安全审计与入侵检测系统中 ,需要 由人工来定义攻击特征以发现异常活动. 但攻击特征数据难以获取 ,能够预知的往往只是正常用户正常使用的审计 信息. 提出并进一步分析了一种基于支持向量描述(SVDD) 的安全审计模型 ,使用正常数据训练分类器 ,使偏离正常 模式的活动都被认为是潜在的入侵. 通过国际标准数据集 MIT L PR 的优化处理 ,只利用少量的训练样本 ,试验获得 了对异常样本 100 %的检测率 ,而平均虚警率接近为 0. 关键词 :网络安全审计 ;入侵检测 ;支持向量描述 ;单类分类器 中图分类号 : TP393. 08 文献标识码 :A 文章编号 :167324785 (2007) 0420069205 A network security audit system based on support vector data description algorithm L UO J un , PAN Zhi2song , HU Gu2yu (Institute of Command Automation , PLA University of Science and Technology , Nanjing 210007 , China) Abstract :Security audit , which is t he basis of intrusion detection , provides the necessary data for intrusion detection analysis. In traditional security audit and intrusion detection system , t he characteristics of an at2 tack need to be defined by experts for t he system to be able to successf ully identify anomalous activities. Due to the difficulty in predicting attack data , in most cases administrators only get normal sequences of system calls. In this paper , a security audit system based on SVDD algorit hm was designed to resolve t he one2class problem in anomalous activity detection. All activities deviating from normal patterns were clas2 sified as potential intrusions. In experiments using t he international standard data set MIT L PR , t he one2 class classifier achieved a 100 % detection rate and a zero false alarm rate for sequences of system calls based on a small training dataset. The proposed algorithms can be trained for anomalous activity detection simply by using normal samples and t he algorithm also enables t he security audit system to detect new types of anomalous behavior. Keywords :network security audit ; intrusion detection ; support vector data description , one2class classifier 收稿日期 :2006210213. 基金项目 :江苏省自然科学基金资助项目(B K2005009) ;中国博士后 基金资助项目 (2004036405) ;江苏博士后基金资助项目 (0401064B) . 在网络安全体系中 ,对于 C2 及其以上安全级 别的计算机系统来讲 ,审计功能是其必备的安全机 制 ,是其他安全机制的有力补充 ,同时 ,审计还是人 们研究入侵检测系统的前提[1 ] . 由于审计跟踪审查 是基于每个目标或每个用户的访问模式 ,必然导致 有海量数据产生 ,特别是网络攻击带来的海量的安 全审计信息难以处理 ,如何利用人工智能技术解决 入侵检测和安全审计中“数据爆炸、知识贫乏”的问 题 ,成为当前网络安全研究中的难点和热点. 自动的 知识发现是网络安全检测和安全审计处理的重要研 究方向[ 2 ] . 传统的入侵检测由于依赖已知攻击数据 进行训练 ,不能做到自动更新规则库和检测新的入 侵也无法检测新的攻击行为. 审计跟踪作为一种安全机制 ,其信息包含了很 多方面的内容 ,本文中主要关注的是网络安全审计 中的系统调用执行迹[3 - 4 ] . 1996 年 ,墨西哥大学的 Forrest 等人提出了在异常检测中通过分析程序执 © 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net