基于稀疏表示的協(xié)同入侵檢測(cè).pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展,網(wǎng)絡(luò)安全問題成為人們關(guān)注的焦點(diǎn)。如何應(yīng)對(duì)大規(guī)模的高速數(shù)據(jù)流檢測(cè),如何實(shí)現(xiàn)在線學(xué)習(xí),如何減少或消除噪聲數(shù)據(jù)的影響,是入侵檢測(cè)系統(tǒng)面臨的主要挑戰(zhàn)。入侵檢測(cè)本質(zhì)上可以看成一個(gè)分類問題,可以把所有的網(wǎng)絡(luò)行為分成兩類:正常行為和異常行為,這樣入侵檢測(cè)問題就可以轉(zhuǎn)化成模式識(shí)別問題。解決這個(gè)分類問題的關(guān)鍵是模式的有效抽取和分類模型的建立。稀疏表示理論在近年來已被廣泛關(guān)注,在圖像處理等領(lǐng)域也得到了廣泛應(yīng)用。相對(duì)于傳統(tǒng)的采用正交

2、基來變換信號(hào),基于超完備字典的信號(hào)稀疏分解是一種新的信號(hào)表示理論,通過這種超完備字典把數(shù)據(jù)變換到另一空間,即進(jìn)行稀疏編碼,會(huì)帶來更好的分類效果,因?yàn)槭窍∈璞硎鞠禂?shù)從某種意義上帶有一定的判別信息。
　　 富有表示力、針對(duì)不平衡數(shù)據(jù)集的魯棒性、可以應(yīng)對(duì)大規(guī)模數(shù)據(jù)的訓(xùn)練和較好的去噪性能、檢測(cè)速度快和自適應(yīng)學(xué)習(xí),稀疏表示所具有的這些特點(diǎn)可有效應(yīng)對(duì)入侵檢測(cè)的高維數(shù)據(jù)和缺乏先驗(yàn)知識(shí)的情況,保證較高的檢測(cè)率和較低的誤報(bào)率,減少丟包率,提升入侵

3、檢測(cè)系統(tǒng)的性能。本文的主要工作包括:
　　 (1)設(shè)計(jì)了一個(gè)協(xié)同入侵檢測(cè)模型,該模型由數(shù)據(jù)采集器、數(shù)據(jù)預(yù)處理、檢測(cè)代理、響應(yīng)單元與數(shù)據(jù)存儲(chǔ)器組成,并詳細(xì)介紹了模型中各個(gè)模塊的功能。
　　 (2)設(shè)計(jì)了一組檢測(cè)代理,分別用于檢測(cè)TCP／UDP／ICMP協(xié)議的攻擊,各代理獨(dú)立地檢測(cè)網(wǎng)絡(luò)攻擊行為,又協(xié)同完成整個(gè)檢測(cè)任務(wù)。本文詳細(xì)描述了單個(gè)檢測(cè)代理的結(jié)構(gòu)和構(gòu)建過程。
　　 (3)提出了三個(gè)基于稀疏表示的入侵檢測(cè)算法,用于

4、分別構(gòu)建檢測(cè)代理。
　　 ①針對(duì)正常類和攻擊類分別訓(xùn)練字典,利用子空間結(jié)構(gòu)理論,通過重構(gòu)誤差來判斷測(cè)試樣本的類別。②采用判別式K—SVD算法,由于稀疏系數(shù)本身具有很強(qiáng)的表示力和判別力,同時(shí)考慮到類別信息,在訓(xùn)練過程中,同時(shí)優(yōu)化完備字典和線性判別函數(shù)。③將稀疏表示理論和支持向量機(jī)結(jié)合,由于稀疏系數(shù)本身所帶有的類別信息,使得支持向量機(jī)在入侵檢測(cè)上表現(xiàn)出更好的性能。
　　 (4)給出了訓(xùn)練數(shù)據(jù)精簡(jiǎn)和增量學(xué)習(xí)的方法。模型訓(xùn)練時(shí),