網絡入侵檢測算法的研究.pdf

1、隨著網絡互聯(lián)技術的飛速發(fā)展，網絡安全成為了一個重大問題，隨著INTERNET的發(fā)展，安全系統(tǒng)的要求也與日俱增，其要求之一就是入侵檢測系統(tǒng)。 入侵檢測系統(tǒng)(IDS)目前的發(fā)展還處于幼年期，國產IDS產品更是多處于特征檢測的初級階段，在異常檢測方面與國外還存在相當大的差距，在混合檢測領域更是一片空白。入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。從網絡安全

2、立體縱深、多層次防御的角度出發(fā)，入侵檢測理應受到人們的高度重視，這從國外入侵檢測產品市場的蓬勃發(fā)展就可以看出。在國內，隨著上網的關鍵部門、關鍵業(yè)務越來越多，迫切需要具有自主版權的入侵檢測產品。但現(xiàn)狀是入侵檢測還不夠成熟，處于發(fā)展階段，或者是防火墻中集成較為初級的入侵檢測模塊?？梢?，入侵檢測技術應該進行進一步的研究。 文中分析了傳統(tǒng)SOM算法中的不足，提出一個新的基于競爭的SOM入侵檢測模型；新模型中的算法采用了競爭理論。它首先定

3、義屬于前兩個最佳匹配神經元(BMU)，但是不屬于BMU單元1-鄰居的單元作為競爭者，當權向量更新時，競爭者將會同輸入向量遠離。懲罰競爭對手的中心思想是通過移動BMU單元的1-鄰居神經元向輸入向量靠近，同時，將同輸入向量相似而又不是BMU1-鄰居的競爭對手單元遠離輸入向量。這樣通過鼓勵BMU神經元中的1-鄰居神經元在BMU神經元中排名靠前的方法，使得拓撲結構的正確率進一步提高，同時增加了映射神經元的作用，降低了量化和拓撲的錯誤。理論分析、

4、仿真和實驗研究表明，量化、拓撲能力以及分類性能都有明顯提高。該模型采用了新的邊界檢測方法，首先它利用新的基于競爭的SOM算法形成的視圖矩陣確定分類的初始數(shù)目，然后利用三個分類屬性：含正常樣本的直方圖、密度和同最大聚類中心的距離來定義邊界數(shù)據。仿真分析和實驗研究驗證了該方法可以有效地實現(xiàn)分類性能。 文中接下來研究了一種新的基于進化式有導師學習SOM訓練算法，算法很好地解決入侵檢測系統(tǒng)實時性的問題。算法始于一個無節(jié)點的空網絡，每一個

5、節(jié)點包含一個與輸入空間維度相同的權向量，映射節(jié)點間的連接權信息被用來維持相鄰節(jié)點間的鄰居關系。鄰居關系的權值是由連接兩節(jié)點之間的距離決定的。如果距離太大并且超過了一個閾值，連接將會被裁減。這樣特征空間就會被分離并且聚類、邊緣結構就會出現(xiàn)。 文中提出了一種新的基于混沌遺傳特征值選擇算法的檢測模型，它可以同任何一個分類算法結合實現(xiàn)最適合該算法的最優(yōu)特征集提取。并在KNN算法上進行了實驗研究，驗證了設計思想的正確性。為了提取非線性的區(qū)

6、分特征，文中提出了改進的基于核的LDA方法，在入侵檢測系統(tǒng)中，通常設計一個兩類分類器來判斷一個輸入特征是否為正?；蚍钦！．斘覀冎苯討肒LDA時，正常行為和非正常行為的樣本同樣對待。正常樣本只包括正常行為，可以作為一類對待。但網絡的非正常數(shù)據可能包括不同種特征，因此無法作為一類對待。所構造的空間無法適合正常行為和非正常行為的分類。而且所構造的空間只有一維。為了克服上述的不足，我們采用了一種改進的KLDA方法。論文中首先利用RPCL方法

7、對非正常行為進行分類，然后改變傳統(tǒng)KLDA方法中的區(qū)分標準，新標準規(guī)定正常類的協(xié)方差矩陣最小化，同時正常類中心與各個非正常行為聚類中心的距離協(xié)方差矩陣最大化。仿真分析與實驗結果驗證了該改進算法的性能。 提出了奇異值分解作為特征表示的方法，并設計了一種利用模糊集理論的SVM算法，克服了傳統(tǒng)的SVM算法中對邊緣數(shù)據和噪聲等敏感的不足，同時利用了BOOTSTRAP訓練算法解決了由于入侵檢測問題中的非正常行為不確定的問題，以及利用BOO