入侵檢測(cè)系統(tǒng)檢測(cè)精度評(píng)估方法研究.pdf

1、近些年隨著國(guó)家對(duì)入侵檢測(cè)系統(tǒng)投資的加大，入侵檢測(cè)系統(tǒng)的深入研究得以廣泛開(kāi)展，學(xué)術(shù)界提出了很多種不同的入侵檢測(cè)模型。由此，也直接導(dǎo)致了形形色色的商業(yè)入侵檢測(cè)系統(tǒng)如雨后春筍般地出現(xiàn)，而且各自標(biāo)榜其優(yōu)勢(shì)和長(zhǎng)處。如何全面科學(xué)地確定這些模型性能的優(yōu)劣和產(chǎn)品質(zhì)量的好壞，就成為一個(gè)亟待解決的問(wèn)題。因此，對(duì)入侵檢測(cè)系統(tǒng)評(píng)估的研究也應(yīng)運(yùn)而生。 本文在此項(xiàng)研究中，主要將精力集中在如何提高和改善入侵檢測(cè)系統(tǒng)的檢測(cè)精度評(píng)估方法上。傳統(tǒng)使用的接收操作特性

2、曲線(ROC)有著先天的不足和缺陷，改進(jìn)的檢測(cè)錯(cuò)誤折中曲線(DET)方法又不能全面的反映系統(tǒng)的性能，也沒(méi)能充分利用評(píng)估后得出的結(jié)果數(shù)據(jù)中的有用信息。為了改善這種狀況，本文做了以下工作： 仔細(xì)全面地研究了有關(guān)精度測(cè)量以及入侵檢測(cè)系統(tǒng)評(píng)估方面的信息，深入地分析了入侵檢測(cè)系統(tǒng)評(píng)估的詳細(xì)流程以及現(xiàn)有的幾種評(píng)估技術(shù)，指出了它們各自的優(yōu)缺點(diǎn)。尤其是用數(shù)學(xué)中的概率論的有關(guān)知識(shí)證明了DET曲線所具有的線形特性，彌補(bǔ)了前人研究工作的不足。這樣，既

3、可以使DET曲線有堅(jiān)實(shí)的理論基礎(chǔ)，又可以得到誤報(bào)率和漏報(bào)率的函數(shù)關(guān)系，為后續(xù)改進(jìn)工作奠定堅(jiān)實(shí)的基礎(chǔ)。 在對(duì)現(xiàn)有評(píng)估方法進(jìn)行分析的基礎(chǔ)上，提出了支持決策論的DET方法，此方法將DET曲線技術(shù)和決策樹(shù)理論結(jié)合起來(lái)，不僅彌補(bǔ)了決策樹(shù)理論無(wú)法確定檢測(cè)率和誤報(bào)率的函數(shù)關(guān)系的不足，而且能推算出系統(tǒng)所有可操作點(diǎn)中的最優(yōu)點(diǎn)。這樣，既實(shí)現(xiàn)了決策論方法的實(shí)用性，又可以讓DET技術(shù)反映出更多的有關(guān)參評(píng)系統(tǒng)的信息，以便讓測(cè)試人員充分利用這些信息對(duì)系統(tǒng)的