代價(jià)敏感異常分類算法研究.pdf

1、網(wǎng)絡(luò)技術(shù)的不斷發(fā)展、網(wǎng)絡(luò)知識(shí)的不斷普及，使得我們的生活發(fā)生了根本性的變革，社會(huì)生活的各個(gè)方面都受到了極大的影響，網(wǎng)絡(luò)系統(tǒng)已成為現(xiàn)代生活中不可或缺的組成元素。但與此同時(shí)病毒、木馬、黑客攻擊、網(wǎng)上經(jīng)濟(jì)犯罪、垃圾電子郵件等各種網(wǎng)絡(luò)安全威脅也伴隨產(chǎn)生，而且趨于實(shí)施的隱蔽化、技術(shù)的復(fù)雜化、危害程度的嚴(yán)重化等。這對(duì)網(wǎng)絡(luò)安全機(jī)制是一個(gè)嚴(yán)峻的考驗(yàn)。 入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)或系統(tǒng)活動(dòng)可以進(jìn)行主動(dòng)監(jiān)控，是一種非常高效的網(wǎng)絡(luò)安全技術(shù)。當(dāng)前攻擊技術(shù)飛速發(fā)展

2、的勢(shì)態(tài)要求入侵檢測(cè)系統(tǒng)對(duì)未知攻擊仍具有良好的檢測(cè)能力，同時(shí)當(dāng)對(duì)未知攻擊已獲取了足夠的知識(shí)，就應(yīng)及時(shí)更新現(xiàn)有的分類模型。目前實(shí)現(xiàn)分類模型更新的辦法是把未知攻擊的實(shí)例加入到原有數(shù)據(jù)集中一同作為訓(xùn)練數(shù)據(jù)，重新訓(xùn)練出新分類模型。盡管這種解決方法可以實(shí)現(xiàn)分類模型的更新但并不合理。因?yàn)樵械姆诸惸Ｐ腿跃哂惺褂脙r(jià)值卻被摒棄了。 為了解決傳統(tǒng)方案中的不合理性，實(shí)現(xiàn)原有分類模型的使用價(jià)值，本文采用復(fù)合模型來(lái)實(shí)現(xiàn)更新。首先快速產(chǎn)生一個(gè)輕量級(jí)的簡(jiǎn)單分

3、類模型以檢測(cè)新出現(xiàn)的攻擊，原有分類模型依舊可用。檢測(cè)攻擊時(shí)先使用原有分類模型，若檢測(cè)為未知攻擊，就交由簡(jiǎn)單分類模型進(jìn)一步檢測(cè)。實(shí)現(xiàn)該復(fù)合模型的關(guān)鍵點(diǎn)是如何讓原有分類模型識(shí)別出未知新攻擊，即找出已知攻擊與未知新攻擊之間的界限。這是本文研究的重點(diǎn)所在。 本文提出并實(shí)現(xiàn)了稀疏拓展ArtiAnomalyG算法。首先使用該算法對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行稀疏拓展，拓展出的新實(shí)例冠以類標(biāo)“anomaly”。選用AdaCost算法對(duì)拓展后的新數(shù)據(jù)集進(jìn)行分

4、類學(xué)習(xí)，得到的分類模型就可以找出已知攻擊與未知攻擊之間的界限。本文主要做了以下幾方面的工作： 1．分析了AdaCost算法原理，并選用JBuilder9.0作為開(kāi)發(fā)環(huán)境實(shí)現(xiàn)了該算法。將AdaCost算法的類文件移植到了weka系統(tǒng)中。 2．提出了稀疏拓展ArtiAnomalyG算法，對(duì)其原理方法及流程過(guò)程都做了詳細(xì)描述。在JBuilder9.0平臺(tái)上加以實(shí)現(xiàn)，并將其的類文件放置在weka系統(tǒng)子包中。 3．分析了稀

5、疏拓展ArtiAnomalyG算法可能引發(fā)的弊端--數(shù)據(jù)沖突。設(shè)計(jì)實(shí)驗(yàn)對(duì)拓展后的數(shù)據(jù)進(jìn)行過(guò)濾，有微小的沖突發(fā)生。分別使用過(guò)濾前和過(guò)濾后的數(shù)據(jù)進(jìn)行模型訓(xùn)練，結(jié)果表明盡管分類模型的檢測(cè)精度有變化，但仍在可接受的范圍內(nèi)。 4．設(shè)計(jì)實(shí)驗(yàn)對(duì)稀疏拓展ArtiAnomalyG算法進(jìn)行驗(yàn)證，實(shí)驗(yàn)結(jié)果表明盡管對(duì)數(shù)據(jù)集進(jìn)行稀疏拓展消耗了時(shí)間資源，但分類模型可以有效地檢測(cè)出異常攻擊，這與漏檢異常攻擊造成的損失相比是非常值得的。 總之，稀疏拓展