基于半監(jiān)督學(xué)習(xí)的假警報(bào)過(guò)濾研究.pdf

1、隨著互聯(lián)網(wǎng)的普及和計(jì)算機(jī)技術(shù)的發(fā)展,各種信息安全與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題也日益突出。作為整個(gè)網(wǎng)絡(luò)安全體系的一個(gè)重要組成部分,入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析,偵測(cè)攻擊行為,保障計(jì)算機(jī)的安全。但是,目前入侵檢測(cè)系統(tǒng)存在大量的假警報(bào),降低了其工作效率和有效性。如何降低入侵檢測(cè)系統(tǒng)的高誤報(bào)率成為研究人員廣泛關(guān)注的問(wèn)題?，F(xiàn)有入侵檢測(cè)技術(shù)主要存在以下三個(gè)局限性:首先,它們需要大量的類標(biāo)訓(xùn)練數(shù)據(jù)或領(lǐng)域知識(shí)來(lái)構(gòu)建警報(bào)過(guò)濾模型。但是,在實(shí)際應(yīng)用中,獲取充足的類

2、標(biāo)訓(xùn)練數(shù)據(jù)相當(dāng)困難;其次,由于它們多數(shù)都是離線模型,延遲對(duì)攻擊行為的響應(yīng)處理;最后,持續(xù)、快速和源源不斷產(chǎn)生的數(shù)據(jù)包以及入侵模式不斷地變化,使得很多模型難以發(fā)現(xiàn)不斷變化的入侵攻擊行為。上面的不足導(dǎo)致現(xiàn)有入侵檢測(cè)系統(tǒng)具有較高的誤報(bào)率。
　　為了降低入侵檢測(cè)系統(tǒng)誤報(bào)率,本文設(shè)計(jì)一種基于半監(jiān)督學(xué)習(xí)的警報(bào)過(guò)濾方法。首先,根據(jù)有限數(shù)量的類標(biāo)警報(bào)訓(xùn)練數(shù)據(jù),計(jì)算生成模型參數(shù),構(gòu)造樸素貝葉斯分類模型;然后利用構(gòu)造的警報(bào)分類模型,對(duì)無(wú)類標(biāo)訓(xùn)練數(shù)據(jù)進(jìn)

3、行訓(xùn)練和標(biāo)記,得到新的類標(biāo)數(shù)據(jù);最后利用所有標(biāo)記訓(xùn)練數(shù)據(jù),重新計(jì)算生成模型參數(shù),更新警報(bào)分類模型。按照以上三步進(jìn)行迭代,直到類標(biāo)訓(xùn)練數(shù)據(jù)集成員無(wú)明顯改變。該方法可在利用少量類標(biāo)警報(bào)數(shù)據(jù)的基礎(chǔ)上建立比較準(zhǔn)確的警報(bào)分類器,降低入侵檢測(cè)系統(tǒng)誤報(bào)率。
　　由于原始的警報(bào)數(shù)據(jù)具有高維度等復(fù)雜性,給計(jì)算模型的效率和性能造成一定影響,容易導(dǎo)致維度災(zāi)難等問(wèn)題。本文設(shè)計(jì)了一種半監(jiān)督降維聚類算法。首先,基于半監(jiān)督降維對(duì)原始數(shù)據(jù)進(jìn)行降維,然后在降維后的

4、空間中進(jìn)行半監(jiān)督聚類。降維由評(píng)估類間可分性的差別項(xiàng)和描述原始數(shù)據(jù)集性質(zhì)的規(guī)則項(xiàng)兩項(xiàng)構(gòu)成。由于在降維和聚類兩個(gè)過(guò)程中都充分利用了監(jiān)督信息,使得算法的聚類性能得到進(jìn)一步提升。
　　在KDD CUP99數(shù)據(jù)集上對(duì)本文設(shè)計(jì)出的警報(bào)分類模型進(jìn)行了實(shí)驗(yàn)驗(yàn)證。實(shí)驗(yàn)利用半監(jiān)督降維算法對(duì)原始警報(bào)數(shù)據(jù)降維,有效地避免“維數(shù)災(zāi)難”問(wèn)題、減少算法的計(jì)算復(fù)雜度;對(duì)經(jīng)過(guò)降維處理后的數(shù)據(jù)利用半監(jiān)督警報(bào)分類模型進(jìn)行假警報(bào)過(guò)濾。實(shí)驗(yàn)表明本文設(shè)計(jì)的警報(bào)分類模型較傳統(tǒng)