基于混沌同步與相關(guān)向量機(jī)的入侵檢測(cè)算法研究.pdf

1、入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)信息安全領(lǐng)域的一個(gè)重要研究分支。隨著互聯(lián)網(wǎng)應(yīng)用的深化普及,網(wǎng)絡(luò)黑客頻繁出現(xiàn),攻擊方式不斷增加,使得網(wǎng)絡(luò)入侵檢測(cè)技術(shù)成為計(jì)算機(jī)網(wǎng)絡(luò)安全研究的熱點(diǎn),并對(duì)研究人員提出了更高的要求。入侵檢測(cè)系統(tǒng)作為一種主動(dòng)防御系統(tǒng),是防火墻的重要補(bǔ)充,主要研究以往入侵信號(hào)的行為和特征,實(shí)現(xiàn)對(duì)新的入侵事件做出實(shí)時(shí)響應(yīng)。本文把兩種其他領(lǐng)域的方法引入到入侵檢測(cè)領(lǐng)域,使檢測(cè)的效率以及準(zhǔn)確率都得到較大的提高。針對(duì)目前入侵檢測(cè)系統(tǒng)已使用的ARMA等線性檢

2、測(cè)方法,本文引入了動(dòng)力學(xué)的混沌同步思想,從非線性信號(hào)處理角度對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測(cè)。在數(shù)據(jù)建模上使用高斯混合模型(Gaussian mixture model,GMM)結(jié)合期望最大化(Expectation Maximization,EM)算法對(duì)網(wǎng)絡(luò)數(shù)據(jù)流建模,估計(jì)GMM的三個(gè)參數(shù)向量。使用待檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流參數(shù)向量與正常數(shù)據(jù)流參數(shù)向量的差值作為Liu混沌系統(tǒng)的混沌同步控制量,如果待檢測(cè)數(shù)據(jù)流存在入侵信號(hào),波形會(huì)產(chǎn)生振蕩,只要選取適當(dāng)?shù)呐袥Q門

3、限即可準(zhǔn)確判定入侵信號(hào)。最后利用MIT林肯實(shí)驗(yàn)室DARPA數(shù)據(jù)庫對(duì)系統(tǒng)進(jìn)行仿真實(shí)驗(yàn),結(jié)果表明,本文提出的方法與ARMA模型相比,對(duì)入侵檢測(cè)具有更高的檢測(cè)率和更低的誤警率。針對(duì)基于支持向量機(jī)(Support Vector Machine,SVM)等機(jī)器學(xué)習(xí)的非線性檢測(cè)方法,本文引入了一種廣泛用于圖像識(shí)別領(lǐng)域的方法——相關(guān)向量機(jī)(Relevance Vector Machine,RVM)算法,對(duì)網(wǎng)絡(luò)信號(hào)進(jìn)行檢測(cè)。先采用“刪除特征”法對(duì)DAR

4、PA數(shù)據(jù)集中的42個(gè)特征進(jìn)行評(píng)級(jí),篩選出針對(duì)不同入侵類型的重要特征和非重要特征,通過仿真實(shí)驗(yàn),證明了只選擇重要特征進(jìn)行RVM分類器的訓(xùn)練和測(cè)試,可以有效地提高分類器的檢測(cè)率,并降低其誤警率和減少檢測(cè)時(shí)間。經(jīng)過使用DARPA數(shù)據(jù)仿真,使用RVM可以獲得與SVM相近的檢測(cè)效果,但是檢測(cè)速度相比于SVM大為提高,因此可以獲得更高的檢測(cè)效率。通過分析比較,本文引入的兩種方法應(yīng)用于入侵檢測(cè)系統(tǒng)以后,均能使檢測(cè)性能在原有方法的基礎(chǔ)上獲得一定的提升,