基于機(jī)器學(xué)習(xí)的入侵檢測.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的入侵也越來越多，網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)成為黑客的入侵對象，網(wǎng)絡(luò)系統(tǒng)的安全面臨巨大的威脅，入侵檢測技術(shù)也因此成為網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)話題。它作為傳統(tǒng)預(yù)防入侵技術(shù)，如用戶身份認(rèn)證、信息保護(hù)的重要補(bǔ)充，是用來保護(hù)網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)的另一座防護(hù)墻。 然而，傳統(tǒng)的入侵檢測方法需要手工更新入侵匹配模式，代價(jià)昂貴并且實(shí)時(shí)性較差，往往在手工更新的這段時(shí)間里，新的入侵已經(jīng)對網(wǎng)絡(luò)系統(tǒng)造成了非常大的危害。 本文主要討論了基

2、于機(jī)器學(xué)習(xí)的入侵檢測研究方法。機(jī)器學(xué)習(xí)能夠通過學(xué)習(xí)已有的入侵或正常模式，對網(wǎng)絡(luò)數(shù)據(jù)包的特征進(jìn)行概率推斷或模糊匹配，從而發(fā)現(xiàn)未知的入侵，以達(dá)到改善入侵檢測的自適應(yīng)性。本文對神經(jīng)網(wǎng)絡(luò)，遺傳算法，支持向量機(jī)三種機(jī)器學(xué)習(xí)算法經(jīng)行了詳細(xì)的介紹。同時(shí)，本文還介紹了兩種特征選擇算法。 通常的入侵檢測系統(tǒng)分為誤用檢測和異常檢測兩種，但是兩種模型各有缺點(diǎn)，誤用檢測不能發(fā)現(xiàn)未知入侵，而異常檢測的誤警率較高。本文提出了一種將誤用檢測和異常檢測兩種檢測

3、方式結(jié)合的混合型模型，其中的檢測模塊用機(jī)器學(xué)習(xí)的方法來實(shí)現(xiàn)。本文采用國際上比較流行的1999 DARPA入侵檢測評價(jià)計(jì)劃數(shù)據(jù)集為實(shí)驗(yàn)數(shù)據(jù)，對異常檢測模型和誤用檢測、異常檢測的混合型模型經(jīng)行了實(shí)驗(yàn)，得到實(shí)驗(yàn)數(shù)據(jù)，并給出了其他一般單獨(dú)使用誤用檢測模型的相關(guān)數(shù)據(jù)，對三種模型的實(shí)驗(yàn)結(jié)果進(jìn)行比較?；旌夏Ｐ蛯τ形粗肭值木W(wǎng)絡(luò)數(shù)據(jù)包的檢測達(dá)到了平均85％左右的檢測率和3.5％左右的誤警率，性能明顯好于只采用誤用檢測或是異常檢測的模型，具有很高的實(shí)用性