基于混沌同步與相關(guān)向量機的入侵檢測算法研究.pdf

1、入侵檢測技術(shù)是網(wǎng)絡(luò)信息安全領(lǐng)域的一個重要研究分支。隨著互聯(lián)網(wǎng)應(yīng)用的深化普及,網(wǎng)絡(luò)黑客頻繁出現(xiàn),攻擊方式不斷增加,使得網(wǎng)絡(luò)入侵檢測技術(shù)成為計算機網(wǎng)絡(luò)安全研究的熱點,并對研究人員提出了更高的要求。入侵檢測系統(tǒng)作為一種主動防御系統(tǒng),是防火墻的重要補充,主要研究以往入侵信號的行為和特征,實現(xiàn)對新的入侵事件做出實時響應(yīng)。本文把兩種其他領(lǐng)域的方法引入到入侵檢測領(lǐng)域,使檢測的效率以及準確率都得到較大的提高。針對目前入侵檢測系統(tǒng)已使用的ARMA等線性檢

2、測方法,本文引入了動力學(xué)的混沌同步思想,從非線性信號處理角度對網(wǎng)絡(luò)數(shù)據(jù)進行檢測。在數(shù)據(jù)建模上使用高斯混合模型(Gaussian mixture model,GMM)結(jié)合期望最大化(Expectation Maximization,EM)算法對網(wǎng)絡(luò)數(shù)據(jù)流建模,估計GMM的三個參數(shù)向量。使用待檢測網(wǎng)絡(luò)數(shù)據(jù)流參數(shù)向量與正常數(shù)據(jù)流參數(shù)向量的差值作為Liu混沌系統(tǒng)的混沌同步控制量,如果待檢測數(shù)據(jù)流存在入侵信號,波形會產(chǎn)生振蕩,只要選取適當?shù)呐袥Q門

3、限即可準確判定入侵信號。最后利用MIT林肯實驗室DARPA數(shù)據(jù)庫對系統(tǒng)進行仿真實驗,結(jié)果表明,本文提出的方法與ARMA模型相比,對入侵檢測具有更高的檢測率和更低的誤警率。針對基于支持向量機(Support Vector Machine,SVM)等機器學(xué)習(xí)的非線性檢測方法,本文引入了一種廣泛用于圖像識別領(lǐng)域的方法——相關(guān)向量機(Relevance Vector Machine,RVM)算法,對網(wǎng)絡(luò)信號進行檢測。先采用“刪除特征”法對DAR

4、PA數(shù)據(jù)集中的42個特征進行評級,篩選出針對不同入侵類型的重要特征和非重要特征,通過仿真實驗,證明了只選擇重要特征進行RVM分類器的訓(xùn)練和測試,可以有效地提高分類器的檢測率,并降低其誤警率和減少檢測時間。經(jīng)過使用DARPA數(shù)據(jù)仿真,使用RVM可以獲得與SVM相近的檢測效果,但是檢測速度相比于SVM大為提高,因此可以獲得更高的檢測效率。通過分析比較,本文引入的兩種方法應(yīng)用于入侵檢測系統(tǒng)以后,均能使檢測性能在原有方法的基礎(chǔ)上獲得一定的提升,