基于機器學(xué)習(xí)的入侵檢測研究.pdf

1、隨著計算機網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)安全成為了越來越棘手和重要的問題。為應(yīng)對網(wǎng)絡(luò)威脅，一系列的安全保障技術(shù)應(yīng)運而生，如加密機制、數(shù)據(jù)簽名機制、訪問控制機制、認(rèn)證機制和防火墻技術(shù)等，而這些靜態(tài)安全防御技術(shù)在面對網(wǎng)絡(luò)中日新月異的攻擊手段時缺乏主動的反應(yīng)。入侵檢測作為一種積極主動的安全防護技術(shù)，能在系統(tǒng)受到危害之前攔截和響應(yīng)入侵，提供了對內(nèi)外部攻擊的實時保護，成為了保障網(wǎng)絡(luò)安全的重要手段。然而傳統(tǒng)的IDS（Intrusion Detection S

2、ystem）存在著很多問題，如：對未知網(wǎng)絡(luò)攻擊檢測能力差、誤報率高，對攻擊數(shù)據(jù)的關(guān)聯(lián)和分析功能不足等。機器學(xué)習(xí)所關(guān)注的問題是系統(tǒng)如何隨著經(jīng)驗積累自動提高性能，這與入侵檢測通過對外界入侵進行自我學(xué)習(xí)，以提高其檢測率和降低誤報率是一致的。因此把機器學(xué)習(xí)的理論和方法引入到入侵檢測中已成為一種共識，并且近些年來在這一研究領(lǐng)域取得了一些積極的進展。 首先，本文系統(tǒng)地闡述了入侵檢測系統(tǒng)的基本理論，包括入侵檢測技術(shù)的基本概念、常用檢測方法和技

3、術(shù)分類，介紹了入侵檢測的研究現(xiàn)狀，并從有效性、適應(yīng)性和可擴展性三個方面指出了當(dāng)前入侵檢測技術(shù)存在的問題等。 其次，本文系統(tǒng)地介紹了機器學(xué)習(xí)的基本理論，解釋了為何把機器學(xué)習(xí)方法引入入侵檢測的問題；并對基于機器學(xué)習(xí)的入侵檢測的研究現(xiàn)狀進行了充分論述。入侵檢測與機器學(xué)習(xí)的結(jié)合，大大地彌補了前者的不足，提高了檢測的性能，促進了入侵檢測技術(shù)的發(fā)展。 然后，本文著重對基于聚類的入侵檢測技術(shù)進行了深入研究。先是闡述了聚類算法設(shè)計的原理

4、及主要特點，并就當(dāng)前基于聚類的入侵檢測的研究現(xiàn)狀進行了論述。聚類作為機器學(xué)習(xí)中一種重要的無監(jiān)督學(xué)習(xí)算法，具有無需事前標(biāo)記樣本類型等優(yōu)點，在近些年得到了很好地發(fā)展和應(yīng)用。K—means作為經(jīng)典的聚類算法之一，但在用于入侵檢測時有很多不足之處，因此針對相應(yīng)的不足問題，本文提出了基于聚類的入侵檢測算法G—means，G—means不僅克服了K—means的缺點，而且具有高檢測率和低誤報率等優(yōu)點，隨后通過實驗對其優(yōu)越的性能進行了驗證，而且還通過

5、與OPTICS和K—means的對比實驗進一步驗證了G—means的優(yōu)越性。 最后，本文對特征選擇的相關(guān)知識和針對具體的KDD Cup1999數(shù)據(jù)集的特征選擇的方法進行了闡述，特征選擇在降低特征維數(shù)、剔除冗余信息、提高對攻擊數(shù)據(jù)的關(guān)聯(lián)和分析、改善分類器的性能、提高分類結(jié)果的性能和精度、降低系統(tǒng)識別的代價等方面具有重要的作用；介紹了數(shù)據(jù)包頭異常檢測的相關(guān)工作；結(jié)合特征選擇問題，提出了面向數(shù)據(jù)包進行異常檢測的G—means，并用實驗