入侵檢測中的機器學(xué)習(xí)方法及其應(yīng)用研究.pdf

1、入侵檢測是一種用于檢測計算機網(wǎng)絡(luò)中入侵行為的信息安全技術(shù)，是網(wǎng)絡(luò)信息安全主動防護技術(shù)的基石。針對目前越來越頻繁出現(xiàn)的分布式、多目標、多階段的組合式網(wǎng)絡(luò)攻擊事件，以及下一代互聯(lián)網(wǎng)可能會出現(xiàn)的未知安全問題，要求提高入侵檢測系統(tǒng)的檢出效率和智能化的呼聲也越來越高。機器學(xué)習(xí)方法是用于分類和預(yù)測的一類方法。近來也在入侵檢測領(lǐng)域得到不同程度的應(yīng)用，但這些方法對于諸如樣本相關(guān)性大、重復(fù)訓(xùn)練樣本多、訓(xùn)練時間長以及入侵樣本標記困難等問題并沒有得到很好的解

2、決。
　　 本文針對入侵檢測特征數(shù)據(jù)中的重復(fù)或相似樣本以及各特征參量之間可能存在的相關(guān)性，提出了一種集成主元分析和免疫聚類算法的特征數(shù)據(jù)壓縮算法——PCA-IC。PCA-IC算法在不損失數(shù)據(jù)隱含的特征知識的前提下，進行數(shù)據(jù)壓縮，以減少機器學(xué)習(xí)的樣本數(shù)。PCA-IC算法先用基于主元分析方法，去除各特征參量之間的相關(guān)性，再用免疫聚類方法去除相似樣本。在KDDCUP99入侵檢測數(shù)據(jù)集上進行仿真實驗，樣本的壓縮率達到89[％]。

3、　　 誤用入侵檢測是對已知網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件的弱點進行入侵建模，從而對觀測到的用戶行為和資源使用情況進行模式匹配而達到檢測的目的，屬于多模式分類識別問題。針對普通多類支持向量機需要使用所有的兩類分類器進行計算，重復(fù)訓(xùn)練樣本多、速度慢、實時性差的問題，提出了一種快速的、帶入侵優(yōu)先級的二叉樹結(jié)構(gòu)支持向量機誤用檢測分類算法——BTPM-SVM。BTPM-SVM方法引入優(yōu)先級的概念，將多個支持向量機按優(yōu)先級構(gòu)成不對稱分級二叉樹結(jié)構(gòu)，每一級的S

4、VM訓(xùn)練樣本數(shù)目，隨級數(shù)的增加而迅速減少，極大地減少了重復(fù)訓(xùn)練樣本，提高訓(xùn)練速度。在KDDCUP99的誤用入侵檢測數(shù)據(jù)集上進行仿真試驗，樣本的識別率為96[％]，在相同數(shù)據(jù)量下節(jié)約57[％]的計算時間。
　　 異常入侵檢測是根據(jù)網(wǎng)絡(luò)流量特征和主機審計記錄等觀測數(shù)據(jù)來區(qū)分系統(tǒng)的正常行為和異常行為。針對異常入侵檢測中訓(xùn)練樣本是未標定的不均衡數(shù)據(jù)集的情況，將其視為一個孤立點發(fā)現(xiàn)問題。提出了適用于孤立點檢測的超球面One-class S

5、VM的異常檢測算法。在新墨西哥大學(xué)提供的“MIT lpr”系統(tǒng)調(diào)用數(shù)據(jù)集樣本上進行仿真試驗，在1001個異常樣本中被正確識別1000個。
　　 用戶異常檢測是對系統(tǒng)中一些合法用戶的行為進行監(jiān)察，以防止這些合法用戶進行非授權(quán)操作，或者防止其他用戶冒用這些合法用戶的賬號進行非法或惡意操作。采用相關(guān)出現(xiàn)矩陣的二維建模方法來模擬用戶行為，同時針對樣本維數(shù)龐大的特點，采用主元分析法進行樣本的降維處理，再對處理的樣本采用多分類支持向量機方法

6、進行識別。通過SEA數(shù)據(jù)集進行性能測試，樣本的識別率為80.4[％]。
　　 為了實現(xiàn)IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的順利過渡，以保障下一代互聯(lián)網(wǎng)安全有序的運轉(zhuǎn)?；谏鲜鏊惴?，設(shè)計并實現(xiàn)一個基于機器學(xué)習(xí)技術(shù)的入侵檢測原型系統(tǒng)——MLIDS。MLIDS原型系統(tǒng)在IPv4和IPv6環(huán)境下的仿真試驗的檢測率分別達到97[％]和98[％]，有較高的檢測準確度，證明了所提出的BTPM-SVM和超球面One-class SVM算法的有效性和實用