基于半監(jiān)督學習的假警報過濾研究.pdf

1、隨著互聯(lián)網(wǎng)的普及和計算機技術(shù)的發(fā)展,各種信息安全與網(wǎng)絡(luò)安全風險問題也日益突出。作為整個網(wǎng)絡(luò)安全體系的一個重要組成部分,入侵檢測系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)進行分析,偵測攻擊行為,保障計算機的安全。但是,目前入侵檢測系統(tǒng)存在大量的假警報,降低了其工作效率和有效性。如何降低入侵檢測系統(tǒng)的高誤報率成為研究人員廣泛關(guān)注的問題?，F(xiàn)有入侵檢測技術(shù)主要存在以下三個局限性:首先,它們需要大量的類標訓練數(shù)據(jù)或領(lǐng)域知識來構(gòu)建警報過濾模型。但是,在實際應(yīng)用中,獲取充足的類

2、標訓練數(shù)據(jù)相當困難;其次,由于它們多數(shù)都是離線模型,延遲對攻擊行為的響應(yīng)處理;最后,持續(xù)、快速和源源不斷產(chǎn)生的數(shù)據(jù)包以及入侵模式不斷地變化,使得很多模型難以發(fā)現(xiàn)不斷變化的入侵攻擊行為。上面的不足導(dǎo)致現(xiàn)有入侵檢測系統(tǒng)具有較高的誤報率。
　　為了降低入侵檢測系統(tǒng)誤報率,本文設(shè)計一種基于半監(jiān)督學習的警報過濾方法。首先,根據(jù)有限數(shù)量的類標警報訓練數(shù)據(jù),計算生成模型參數(shù),構(gòu)造樸素貝葉斯分類模型;然后利用構(gòu)造的警報分類模型,對無類標訓練數(shù)據(jù)進

3、行訓練和標記,得到新的類標數(shù)據(jù);最后利用所有標記訓練數(shù)據(jù),重新計算生成模型參數(shù),更新警報分類模型。按照以上三步進行迭代,直到類標訓練數(shù)據(jù)集成員無明顯改變。該方法可在利用少量類標警報數(shù)據(jù)的基礎(chǔ)上建立比較準確的警報分類器,降低入侵檢測系統(tǒng)誤報率。
　　由于原始的警報數(shù)據(jù)具有高維度等復(fù)雜性,給計算模型的效率和性能造成一定影響,容易導(dǎo)致維度災(zāi)難等問題。本文設(shè)計了一種半監(jiān)督降維聚類算法。首先,基于半監(jiān)督降維對原始數(shù)據(jù)進行降維,然后在降維后的

4、空間中進行半監(jiān)督聚類。降維由評估類間可分性的差別項和描述原始數(shù)據(jù)集性質(zhì)的規(guī)則項兩項構(gòu)成。由于在降維和聚類兩個過程中都充分利用了監(jiān)督信息,使得算法的聚類性能得到進一步提升。
　　在KDD CUP99數(shù)據(jù)集上對本文設(shè)計出的警報分類模型進行了實驗驗證。實驗利用半監(jiān)督降維算法對原始警報數(shù)據(jù)降維,有效地避免“維數(shù)災(zāi)難”問題、減少算法的計算復(fù)雜度;對經(jīng)過降維處理后的數(shù)據(jù)利用半監(jiān)督警報分類模型進行假警報過濾。實驗表明本文設(shè)計的警報分類模型較傳統(tǒng)