基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)異常分析及響應(yīng)研究.pdf

1、隨著互聯(lián)網(wǎng)的應(yīng)用普及，越來(lái)越多的業(yè)務(wù)和事務(wù)都依賴(lài)網(wǎng)絡(luò)來(lái)完成，與此同時(shí)針對(duì)各種網(wǎng)絡(luò)應(yīng)用的網(wǎng)絡(luò)攻擊也越來(lái)越頻繁，如何檢測(cè)識(shí)別各種各樣的網(wǎng)絡(luò)異常行為就成了不可回避的技術(shù)問(wèn)題。網(wǎng)絡(luò)攻擊方法層出不窮，攻擊手段也在不斷的更新，使得傳統(tǒng)的防火墻等被動(dòng)的安全機(jī)制對(duì)許多攻擊難以檢測(cè)。入侵檢測(cè)技術(shù)作為一種主動(dòng)防御技術(shù)，彌補(bǔ)了傳統(tǒng)安全技術(shù)的不足，一直被國(guó)內(nèi)外的研究學(xué)者們所關(guān)注。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)流量的不斷增長(zhǎng)和黑客技術(shù)的不斷發(fā)展，對(duì)網(wǎng)絡(luò)異常檢測(cè)的性

2、能提出了更高的要求。本文以提高異常檢測(cè)技術(shù)的正確率，降低誤警率和漏報(bào)率以及自動(dòng)響應(yīng)為技術(shù)目標(biāo)，以機(jī)器學(xué)習(xí)理論為基礎(chǔ)，在檢測(cè)技術(shù)、動(dòng)態(tài)行為輪廓?jiǎng)?chuàng)建表示和快速響應(yīng)等方面進(jìn)行了深入系統(tǒng)的研究，取得了一些創(chuàng)新性的成果，主要的研究工作和研究成果包括：
　　 1）把網(wǎng)絡(luò)異常檢測(cè)看作是一個(gè)機(jī)器學(xué)習(xí)和模式識(shí)別的問(wèn)題，即通過(guò)學(xué)習(xí)網(wǎng)絡(luò)流量特征和主機(jī)審計(jì)記錄等觀測(cè)數(shù)據(jù)來(lái)區(qū)分系統(tǒng)的正常行為和異常行為。支持向量機(jī)（SVM）的學(xué)習(xí)方法在小樣本下能夠取得較好

3、效果的異常檢測(cè)算法，但是樣本冗余特征不僅會(huì)占用大量的存儲(chǔ)空間，而且會(huì)影響SVM的性能，論文從分析SVM學(xué)習(xí)模型的計(jì)算復(fù)雜度入手，提出了采用粗糙集理論特征約簡(jiǎn)并統(tǒng)計(jì)排序重要特征，構(gòu)造了加權(quán)特征核函數(shù)的支持向量機(jī)異常分析方法，實(shí)驗(yàn)表明，加權(quán)核函數(shù)方法有效地提高了支持向量機(jī)的檢測(cè)效率，降低了誤警率、漏報(bào)率，縮短了檢測(cè)識(shí)別時(shí)間，為在線(xiàn)的異常檢測(cè)系統(tǒng)構(gòu)建提供了一種可能。
　　 2）異常檢測(cè)算法的基本思想是根據(jù)學(xué)習(xí)得到的正常用戶(hù)的行為模式去

4、判斷某個(gè)給定的用戶(hù)行為是否在設(shè)定的范圍之內(nèi)，作為異常檢測(cè)的依據(jù)，用戶(hù)行為輪廓的準(zhǔn)確程度直接關(guān)系到異常檢測(cè)系統(tǒng)的檢測(cè)性能。但是由于在建立正常用戶(hù)行為輪廓時(shí)往往數(shù)據(jù)不是完備的，同時(shí)用戶(hù)行為的時(shí)變性，所建立的用戶(hù)行為輪廓不能反映最新的用戶(hù)行為，因此使得異常檢測(cè)算法的性能提高很有限，并且對(duì)不同用戶(hù)的適應(yīng)能力也不好，限制了現(xiàn)有方法的實(shí)際效用。針對(duì)這一問(wèn)題論文提出了基于增量學(xué)習(xí)的一種動(dòng)態(tài)自學(xué)習(xí)的時(shí)變行為輪廓異常分析方法，通過(guò)動(dòng)態(tài)調(diào)整正常用戶(hù)行為輪廓

5、窗口，連續(xù)更新最近的用戶(hù)行為輪廓。仿真實(shí)驗(yàn)數(shù)據(jù)證明，這種動(dòng)態(tài)自學(xué)習(xí)的方法取得了良好的效果，適合于構(gòu)建在線(xiàn)的異常檢測(cè)系統(tǒng)。
　　 3）弱點(diǎn)（vulnerabilities）是網(wǎng)絡(luò)安全中的一個(gè)重要因素，系統(tǒng)中潛在的弱點(diǎn)可能會(huì)在其生命期中被逐步發(fā)現(xiàn)，這些弱點(diǎn)在被公布出來(lái)后，往往被用作攻擊其它具有類(lèi)似配置的系統(tǒng)。論文提出了基于弱點(diǎn)分析的靜態(tài)信任計(jì)算和基于網(wǎng)絡(luò)流量分析的動(dòng)態(tài)信任值計(jì)算相結(jié)合的方法來(lái)估算節(jié)點(diǎn)的行為信任值，根據(jù)不同的應(yīng)用需要來(lái)

6、調(diào)整信任值的計(jì)算周期。通過(guò)周期性的學(xué)習(xí)系統(tǒng)中的各節(jié)點(diǎn)的信任值，為響應(yīng)決策提供支持。
　　 4）隨著攻擊的復(fù)雜化、自動(dòng)化和大規(guī)?；?，傳統(tǒng)的人工響應(yīng)方式已經(jīng)遠(yuǎn)遠(yuǎn)不能滿(mǎn)足響應(yīng)的需要，這主要體現(xiàn)在反應(yīng)遲鈍，對(duì)攻擊進(jìn)行人工分析拖延了響應(yīng)時(shí)機(jī)，使得攻擊造成巨大的損失，不能適應(yīng)大規(guī)模高速網(wǎng)絡(luò)實(shí)時(shí)響應(yīng)的要求，大量的安全事件使得單靠人工響應(yīng)變得不可能。針對(duì)這一問(wèn)題論文提出了基于信任的快速響應(yīng)機(jī)制，協(xié)同異常檢測(cè)系統(tǒng)，在攻擊檢測(cè)被確認(rèn)之前使得信任值高