基于加权移动窗口的入侵检测研究
摘要：入侵检测主要任务是识别入侵者及其行为、检测和监视网络安全，提供重要信息对抗入侵。但网络数据流连续、动态的性质会降低其检测的精度。当前存在的入侵检测技术普遍检测反应速度慢、误检率和漏检率较高等问题。本文尝试将移动窗口方法加权处理，由于该方法能够有助于入侵检测分类判断有重点的连续实施，可以根据数据流的概念漂移的状况自动调整训练窗口并对检测模式进行及时的更新，从而可以作为一种入侵检测的方法。
关键词  入侵检测  加权移动窗口  数据流       
1 引言
互联网的迅速发展使得分布式计算成为应用的主流，网络开放性、互连性、共享性的特点， 使其遭受网络入侵的风险日益严重。整个信息系统的安全已经成为刻不容缓的任务。
入侵检测是建立在入侵行为与网络或系统的正常行为不同这一假设基础上的[1] 。然而，一方面海量数据实时高速到达，另一方面传统的入侵检测技术已经不能很好的应对这种信息爆炸。因此数据流的分析和挖掘要求将数据挖掘与入侵检测技术相结合，增强入侵检测系统对海量数据的处理能力，从而减轻管理人员的负担。
当前的引入入侵检测的数据挖掘方法,通常集中在引入数据挖掘中的关联规则和聚类等方面的内容。而采用移动窗口的入侵检测技术也是处于发展阶段，大都是建立在对整个数据集进行等同学习的基础上的,检测结果受历史数据的影响较大,难以真实反映当前网络数据的行为特征。另外,现存入侵检测算法的时间、空间复杂性较高,且受内存等系统资源的限制,难于对持续、快速到达的大规模原始网络数据进行处理,不适合进行在线检测。针对以上入侵检测领域存在的不足,本文将移动窗口算法进行加权，并将加权移动窗口的方法应用于入侵检测，给出初步的模型设计。该方法能够很好的分析动态数据流，重点监测指定窗口，提高了网络的安全保障效率，达到提高入侵检测速度和在概率意义上最大限度地降低漏报率、误报率的目的。
2 相关理论与技术
2.1移动窗口的工作原理
移动窗口技术是指随时提供N个时间段的信息,每当有新的数据到来时,“窗口”前滑,将最新的时间段内的数据包含进去,把窗口内最旧的时间段内的数据丢弃,窗口的大小保持不变[2]。
一个重叠移动窗口,只使用当前窗口内的审计数据更新正常行为简档,由此过滤掉过时的数据,以反映最近的网络系统行为。同时维护两个项目集, 频繁集(具有高支持度和置信度) 和负边际(支持度和置信度低于阈值,但非常接近)。
假设移动窗口的大小为w，在任意时间点n（当前时间戳），移动窗口模型查询范围是{amax (0,n-w+1), … ,an}。。时间点max (0,n-w+1)之前的数据全部忽略不计。随着数据的不断到达，窗口中的数据也不断平移，如图3-1所示。
 
图3-1移动窗口模型
移动窗口模型中，如何处理过期数据，使得查询结果一直处于可靠状态，成为基于移动窗口分析方法的难题。目前的研究成果主要有指数直方图技术、 基于窗口技术和链式抽样技术[3]。由于将移动窗口概念引入入侵检测是近年来才兴起的热门课题[4]，故能应用于入侵检测中的现有移动窗口算法不是很多，本文选择了其中两个性能比较优越的算法，探讨其存在的不足之处。