網(wǎng)絡入侵檢測系統(tǒng)中的智能算法研究.pdf

1、當前，計算機安全已經(jīng)成為一個全球性難題，它對政治、經(jīng)濟、社會生活帶來了廣泛影響。網(wǎng)絡入侵檢測系統(tǒng)(NetworkIntrusionDetectionSystem,NIDS)作為保障計算機安全的重要技術手段和措施，越來越受產(chǎn)業(yè)界和學術界的重視。研究NIDS，其重點和難點就是：一是如何完成大規(guī)模的數(shù)據(jù)采集和處理；二是如何降低對已知攻擊的誤報率和漏報率、如何降低對未知新攻擊的誤報率和漏報率。 本文圍繞這兩個問題，對NIDS中的各種智能

2、算法進行研究和探討，并逐步加以改進和改善。主要工作和研究成果如下： (1)分析IDS、NIDS基本概念，相關技術、方法和分類；討論NIDS算法方面的研究熱點、難題和新進展；根據(jù)當前NIDS算法研究中存在的問題，提出本文的研究思路和主要研究內(nèi)容。 (2)針對現(xiàn)有檢測算法比較和評估只考慮檢測正確率的問題，將時間和空間開銷引入算法比較，分別基于在線數(shù)據(jù)及標準數(shù)據(jù)集設計了NIDS檢測算法比較方法和評估方法，并證明了當測試次數(shù)趨于

3、無窮時，入侵檢測比較算法結果屬于正態(tài)分布，且給出了置信區(qū)間表達式。 (3)為了使被檢測數(shù)據(jù)盡可能保持時間序列特征，分別為在線數(shù)據(jù)和標準數(shù)據(jù)設計了最佳時間窗大小選擇算法和進行檢測的最佳分割算法。 (4)針對NIDS處理很大數(shù)據(jù)量的問題，采用基于粗糙集理論的屬性簡約方法對NIDS數(shù)據(jù)進行屬性簡約，并且對軟件包ROSETTA進行改進，建立了特征提取算法。 (5)針對(4)中沒有考慮對實際數(shù)據(jù)進行評估，還有降維空間的問題

4、，采用遺傳算法來完成特征選擇；同時考慮到NIDS中特征的實際相關性，引入免疫中相似性度量的方法來描述這種關系，以實現(xiàn)沖散解，避免遺傳算法局部極小的問題；利用基因編碼模式中，一些特殊效應來指導遺傳算法，例如上位效應，來改進遺傳算法；考慮到遺傳算法是全局搜索算法，利用混合算法的互補性，嘗試利用遺傳算法(全局搜索算法)+鄰域搜索算法(局部搜索算法)來完成特征選擇；同時考慮到鄰域定義的不確定性，設計具有更高靈活性的遺傳算法(全局搜索算法)+變鄰

5、域搜索算法(局部搜索算法)來完成特征選擇，實現(xiàn)了輸入數(shù)據(jù)的再次降維。經(jīng)過實例測試，上述算法的逐步改進效果明顯。 (6)針對基于規(guī)則的分類器進行NIDS入侵檢測時，檢測時間過長，對未知新的入侵模式的檢測效果較差，不好控制和提高檢測率的問題，本文采用基于小樣本進行分析的支持向量機(SupportVectorMachine,SVM)算法進行分類器設計；針對常用的幾種核函數(shù)的互補性特點，根據(jù)核函數(shù)的構建條件，構建混合核以提高分類器的訓練

6、和分類精度；針對基于混合核SVM的分類器參數(shù)多，關系復雜，而且無好的調(diào)節(jié)準則和算法的問題，提出將遺傳算法引入到基于混合核SVM參數(shù)的尋優(yōu)問題中，取得較好的效果。 (7)針對基于規(guī)則和SVM的分類器進行NIDS入侵檢測，對全新的未知入侵模式的檢測效果較差的問題，設計了基于聚類的孤立點算法并進行了改進，避免基于規(guī)則和SVM的分類器算法對異常模式過度擬合而泛化能力差的情況，但是這里也可能會增加虛警。 (8)將隱馬爾可夫模型(H