入侵檢測(cè)中的機(jī)器學(xué)習(xí)方法及其應(yīng)用研究.pdf

1、入侵檢測(cè)是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中入侵行為的信息安全技術(shù)，是網(wǎng)絡(luò)信息安全主動(dòng)防護(hù)技術(shù)的基石。針對(duì)目前越來(lái)越頻繁出現(xiàn)的分布式、多目標(biāo)、多階段的組合式網(wǎng)絡(luò)攻擊事件，以及下一代互聯(lián)網(wǎng)可能會(huì)出現(xiàn)的未知安全問(wèn)題，要求提高入侵檢測(cè)系統(tǒng)的檢出效率和智能化的呼聲也越來(lái)越高。機(jī)器學(xué)習(xí)方法是用于分類和預(yù)測(cè)的一類方法。近來(lái)也在入侵檢測(cè)領(lǐng)域得到不同程度的應(yīng)用，但這些方法對(duì)于諸如樣本相關(guān)性大、重復(fù)訓(xùn)練樣本多、訓(xùn)練時(shí)間長(zhǎng)以及入侵樣本標(biāo)記困難等問(wèn)題并沒(méi)有得到很好的解

2、決。
　　 本文針對(duì)入侵檢測(cè)特征數(shù)據(jù)中的重復(fù)或相似樣本以及各特征參量之間可能存在的相關(guān)性，提出了一種集成主元分析和免疫聚類算法的特征數(shù)據(jù)壓縮算法——PCA-IC。PCA-IC算法在不損失數(shù)據(jù)隱含的特征知識(shí)的前提下，進(jìn)行數(shù)據(jù)壓縮，以減少機(jī)器學(xué)習(xí)的樣本數(shù)。PCA-IC算法先用基于主元分析方法，去除各特征參量之間的相關(guān)性，再用免疫聚類方法去除相似樣本。在KDDCUP99入侵檢測(cè)數(shù)據(jù)集上進(jìn)行仿真實(shí)驗(yàn)，樣本的壓縮率達(dá)到89[％]。

3、　　 誤用入侵檢測(cè)是對(duì)已知網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件的弱點(diǎn)進(jìn)行入侵建模，從而對(duì)觀測(cè)到的用戶行為和資源使用情況進(jìn)行模式匹配而達(dá)到檢測(cè)的目的，屬于多模式分類識(shí)別問(wèn)題。針對(duì)普通多類支持向量機(jī)需要使用所有的兩類分類器進(jìn)行計(jì)算，重復(fù)訓(xùn)練樣本多、速度慢、實(shí)時(shí)性差的問(wèn)題，提出了一種快速的、帶入侵優(yōu)先級(jí)的二叉樹(shù)結(jié)構(gòu)支持向量機(jī)誤用檢測(cè)分類算法——BTPM-SVM。BTPM-SVM方法引入優(yōu)先級(jí)的概念，將多個(gè)支持向量機(jī)按優(yōu)先級(jí)構(gòu)成不對(duì)稱分級(jí)二叉樹(shù)結(jié)構(gòu)，每一級(jí)的S

4、VM訓(xùn)練樣本數(shù)目，隨級(jí)數(shù)的增加而迅速減少，極大地減少了重復(fù)訓(xùn)練樣本，提高訓(xùn)練速度。在KDDCUP99的誤用入侵檢測(cè)數(shù)據(jù)集上進(jìn)行仿真試驗(yàn)，樣本的識(shí)別率為96[％]，在相同數(shù)據(jù)量下節(jié)約57[％]的計(jì)算時(shí)間。
　　 異常入侵檢測(cè)是根據(jù)網(wǎng)絡(luò)流量特征和主機(jī)審計(jì)記錄等觀測(cè)數(shù)據(jù)來(lái)區(qū)分系統(tǒng)的正常行為和異常行為。針對(duì)異常入侵檢測(cè)中訓(xùn)練樣本是未標(biāo)定的不均衡數(shù)據(jù)集的情況，將其視為一個(gè)孤立點(diǎn)發(fā)現(xiàn)問(wèn)題。提出了適用于孤立點(diǎn)檢測(cè)的超球面One-class S

5、VM的異常檢測(cè)算法。在新墨西哥大學(xué)提供的“MIT lpr”系統(tǒng)調(diào)用數(shù)據(jù)集樣本上進(jìn)行仿真試驗(yàn)，在1001個(gè)異常樣本中被正確識(shí)別1000個(gè)。
　　 用戶異常檢測(cè)是對(duì)系統(tǒng)中一些合法用戶的行為進(jìn)行監(jiān)察，以防止這些合法用戶進(jìn)行非授權(quán)操作，或者防止其他用戶冒用這些合法用戶的賬號(hào)進(jìn)行非法或惡意操作。采用相關(guān)出現(xiàn)矩陣的二維建模方法來(lái)模擬用戶行為，同時(shí)針對(duì)樣本維數(shù)龐大的特點(diǎn)，采用主元分析法進(jìn)行樣本的降維處理，再對(duì)處理的樣本采用多分類支持向量機(jī)方法

6、進(jìn)行識(shí)別。通過(guò)SEA數(shù)據(jù)集進(jìn)行性能測(cè)試，樣本的識(shí)別率為80.4[％]。
　　 為了實(shí)現(xiàn)IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的順利過(guò)渡，以保障下一代互聯(lián)網(wǎng)安全有序的運(yùn)轉(zhuǎn)?；谏鲜鏊惴?，設(shè)計(jì)并實(shí)現(xiàn)一個(gè)基于機(jī)器學(xué)習(xí)技術(shù)的入侵檢測(cè)原型系統(tǒng)——MLIDS。MLIDS原型系統(tǒng)在IPv4和IPv6環(huán)境下的仿真試驗(yàn)的檢測(cè)率分別達(dá)到97[％]和98[％]，有較高的檢測(cè)準(zhǔn)確度，證明了所提出的BTPM-SVM和超球面One-class SVM算法的有效性和實(shí)用