網(wǎng)絡(luò)入侵檢測(cè)算法的研究.pdf

1、隨著網(wǎng)絡(luò)互聯(lián)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全成為了一個(gè)重大問(wèn)題，隨著INTERNET的發(fā)展，安全系統(tǒng)的要求也與日俱增，其要求之一就是入侵檢測(cè)系統(tǒng)。 入侵檢測(cè)系統(tǒng)(IDS)目前的發(fā)展還處于幼年期，國(guó)產(chǎn)IDS產(chǎn)品更是多處于特征檢測(cè)的初級(jí)階段，在異常檢測(cè)方面與國(guó)外還存在相當(dāng)大的差距，在混合檢測(cè)領(lǐng)域更是一片空白。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全

2、立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。在國(guó)內(nèi)，隨著上網(wǎng)的關(guān)鍵部門(mén)、關(guān)鍵業(yè)務(wù)越來(lái)越多，迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品。但現(xiàn)狀是入侵檢測(cè)還不夠成熟，處于發(fā)展階段，或者是防火墻中集成較為初級(jí)的入侵檢測(cè)模塊。可見(jiàn)，入侵檢測(cè)技術(shù)應(yīng)該進(jìn)行進(jìn)一步的研究。 文中分析了傳統(tǒng)SOM算法中的不足，提出一個(gè)新的基于競(jìng)爭(zhēng)的SOM入侵檢測(cè)模型；新模型中的算法采用了競(jìng)爭(zhēng)理論。它首先定

3、義屬于前兩個(gè)最佳匹配神經(jīng)元(BMU)，但是不屬于BMU單元1-鄰居的單元作為競(jìng)爭(zhēng)者，當(dāng)權(quán)向量更新時(shí)，競(jìng)爭(zhēng)者將會(huì)同輸入向量遠(yuǎn)離。懲罰競(jìng)爭(zhēng)對(duì)手的中心思想是通過(guò)移動(dòng)BMU單元的1-鄰居神經(jīng)元向輸入向量靠近，同時(shí)，將同輸入向量相似而又不是BMU1-鄰居的競(jìng)爭(zhēng)對(duì)手單元遠(yuǎn)離輸入向量。這樣通過(guò)鼓勵(lì)BMU神經(jīng)元中的1-鄰居神經(jīng)元在BMU神經(jīng)元中排名靠前的方法，使得拓?fù)浣Y(jié)構(gòu)的正確率進(jìn)一步提高，同時(shí)增加了映射神經(jīng)元的作用，降低了量化和拓?fù)涞腻e(cuò)誤。理論分析、

4、仿真和實(shí)驗(yàn)研究表明，量化、拓?fù)淠芰σ约胺诸?lèi)性能都有明顯提高。該模型采用了新的邊界檢測(cè)方法，首先它利用新的基于競(jìng)爭(zhēng)的SOM算法形成的視圖矩陣確定分類(lèi)的初始數(shù)目，然后利用三個(gè)分類(lèi)屬性：含正常樣本的直方圖、密度和同最大聚類(lèi)中心的距離來(lái)定義邊界數(shù)據(jù)。仿真分析和實(shí)驗(yàn)研究驗(yàn)證了該方法可以有效地實(shí)現(xiàn)分類(lèi)性能。 文中接下來(lái)研究了一種新的基于進(jìn)化式有導(dǎo)師學(xué)習(xí)SOM訓(xùn)練算法，算法很好地解決入侵檢測(cè)系統(tǒng)實(shí)時(shí)性的問(wèn)題。算法始于一個(gè)無(wú)節(jié)點(diǎn)的空網(wǎng)絡(luò)，每一個(gè)

5、節(jié)點(diǎn)包含一個(gè)與輸入空間維度相同的權(quán)向量，映射節(jié)點(diǎn)間的連接權(quán)信息被用來(lái)維持相鄰節(jié)點(diǎn)間的鄰居關(guān)系。鄰居關(guān)系的權(quán)值是由連接兩節(jié)點(diǎn)之間的距離決定的。如果距離太大并且超過(guò)了一個(gè)閾值，連接將會(huì)被裁減。這樣特征空間就會(huì)被分離并且聚類(lèi)、邊緣結(jié)構(gòu)就會(huì)出現(xiàn)。 文中提出了一種新的基于混沌遺傳特征值選擇算法的檢測(cè)模型，它可以同任何一個(gè)分類(lèi)算法結(jié)合實(shí)現(xiàn)最適合該算法的最優(yōu)特征集提取。并在KNN算法上進(jìn)行了實(shí)驗(yàn)研究，驗(yàn)證了設(shè)計(jì)思想的正確性。為了提取非線性的區(qū)

6、分特征，文中提出了改進(jìn)的基于核的LDA方法，在入侵檢測(cè)系統(tǒng)中，通常設(shè)計(jì)一個(gè)兩類(lèi)分類(lèi)器來(lái)判斷一個(gè)輸入特征是否為正?；蚍钦?。當(dāng)我們直接應(yīng)用KLDA時(shí)，正常行為和非正常行為的樣本同樣對(duì)待。正常樣本只包括正常行為，可以作為一類(lèi)對(duì)待。但網(wǎng)絡(luò)的非正常數(shù)據(jù)可能包括不同種特征，因此無(wú)法作為一類(lèi)對(duì)待。所構(gòu)造的空間無(wú)法適合正常行為和非正常行為的分類(lèi)。而且所構(gòu)造的空間只有一維。為了克服上述的不足，我們采用了一種改進(jìn)的KLDA方法。論文中首先利用RPCL方法

7、對(duì)非正常行為進(jìn)行分類(lèi)，然后改變傳統(tǒng)KLDA方法中的區(qū)分標(biāo)準(zhǔn)，新標(biāo)準(zhǔn)規(guī)定正常類(lèi)的協(xié)方差矩陣最小化，同時(shí)正常類(lèi)中心與各個(gè)非正常行為聚類(lèi)中心的距離協(xié)方差矩陣最大化。仿真分析與實(shí)驗(yàn)結(jié)果驗(yàn)證了該改進(jìn)算法的性能。 提出了奇異值分解作為特征表示的方法，并設(shè)計(jì)了一種利用模糊集理論的SVM算法，克服了傳統(tǒng)的SVM算法中對(duì)邊緣數(shù)據(jù)和噪聲等敏感的不足，同時(shí)利用了BOOTSTRAP訓(xùn)練算法解決了由于入侵檢測(cè)問(wèn)題中的非正常行為不確定的問(wèn)題，以及利用BOO