基于半監(jiān)督學習的假警報過濾研究.pdf

1、隨著互聯(lián)網的普及和計算機技術的發(fā)展,各種信息安全與網絡安全風險問題也日益突出。作為整個網絡安全體系的一個重要組成部分,入侵檢測系統(tǒng)對網絡數據進行分析,偵測攻擊行為,保障計算機的安全。但是,目前入侵檢測系統(tǒng)存在大量的假警報,降低了其工作效率和有效性。如何降低入侵檢測系統(tǒng)的高誤報率成為研究人員廣泛關注的問題?，F有入侵檢測技術主要存在以下三個局限性:首先,它們需要大量的類標訓練數據或領域知識來構建警報過濾模型。但是,在實際應用中,獲取充足的類

2、標訓練數據相當困難;其次,由于它們多數都是離線模型,延遲對攻擊行為的響應處理;最后,持續(xù)、快速和源源不斷產生的數據包以及入侵模式不斷地變化,使得很多模型難以發(fā)現不斷變化的入侵攻擊行為。上面的不足導致現有入侵檢測系統(tǒng)具有較高的誤報率。
　　為了降低入侵檢測系統(tǒng)誤報率,本文設計一種基于半監(jiān)督學習的警報過濾方法。首先,根據有限數量的類標警報訓練數據,計算生成模型參數,構造樸素貝葉斯分類模型;然后利用構造的警報分類模型,對無類標訓練數據進

3、行訓練和標記,得到新的類標數據;最后利用所有標記訓練數據,重新計算生成模型參數,更新警報分類模型。按照以上三步進行迭代,直到類標訓練數據集成員無明顯改變。該方法可在利用少量類標警報數據的基礎上建立比較準確的警報分類器,降低入侵檢測系統(tǒng)誤報率。
　　由于原始的警報數據具有高維度等復雜性,給計算模型的效率和性能造成一定影響,容易導致維度災難等問題。本文設計了一種半監(jiān)督降維聚類算法。首先,基于半監(jiān)督降維對原始數據進行降維,然后在降維后的

4、空間中進行半監(jiān)督聚類。降維由評估類間可分性的差別項和描述原始數據集性質的規(guī)則項兩項構成。由于在降維和聚類兩個過程中都充分利用了監(jiān)督信息,使得算法的聚類性能得到進一步提升。
　　在KDD CUP99數據集上對本文設計出的警報分類模型進行了實驗驗證。實驗利用半監(jiān)督降維算法對原始警報數據降維,有效地避免“維數災難”問題、減少算法的計算復雜度;對經過降維處理后的數據利用半監(jiān)督警報分類模型進行假警報過濾。實驗表明本文設計的警報分類模型較傳統(tǒng)