基于無監(jiān)督神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)研究.pdf

1、隨著計算機網(wǎng)絡(luò)尤其是Internet技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)在我們?nèi)粘５纳?、學(xué)習(xí)和工作中發(fā)揮著越來越重要的作用。而在網(wǎng)絡(luò)迅速增長的同時，越來越多的敏感信息被在線存儲與管理，網(wǎng)絡(luò)更容易受到各種惡意或非法用戶的攻擊，使信息的機密性、完整性和可用性得不到保證，因此，網(wǎng)絡(luò)安全已變得極其重要。諸如用戶鑒別、防火墻等傳統(tǒng)的被動防御網(wǎng)絡(luò)安全技術(shù)，已不能完全滿足網(wǎng)絡(luò)安全的需要；作為網(wǎng)絡(luò)安全第二道防線的入侵檢測系統(tǒng)是一種主動動態(tài)信息安全防范技術(shù)，它集檢測、

2、記錄、報警、響應(yīng)于一體，不僅能檢測出來自外部網(wǎng)絡(luò)的入侵行為也能監(jiān)督內(nèi)部網(wǎng)絡(luò)用戶的未授權(quán)活動，因而，它成為當(dāng)前的熱門研究領(lǐng)域。 入侵檢測從技術(shù)上分為誤用檢測和異常檢測，誤用檢測一般不能檢測出新型或未知的攻擊。近幾年出現(xiàn)的基于數(shù)據(jù)挖掘的入侵檢測方法采用不含攻擊的純凈數(shù)據(jù)進行訓(xùn)練，建立起反映用戶正常行為的規(guī)則集，根據(jù)當(dāng)前行為和正常行為規(guī)則集的偏離程度來判定是否存在攻擊。該方法能夠檢測出從未發(fā)生過的新型未知攻擊，然而純凈的訓(xùn)練數(shù)據(jù)在真實

3、的網(wǎng)絡(luò)環(huán)境中往往難以獲得，而且代價高昂。再者，若在此訓(xùn)練集中隱藏著未發(fā)現(xiàn)的入侵攻擊行為，則用此數(shù)據(jù)集構(gòu)建的檢測模型不能有效檢測出此攻擊，因為它們被看作正常的行為。與之相比，本論文提出的基于無監(jiān)督神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)，它們無需大量帶標(biāo)識的、用于標(biāo)明各種攻擊的訓(xùn)練數(shù)據(jù)，而只需要尋找和定義正常的聚類，因此，它們具有在不具備任何先驗知識的情況下發(fā)現(xiàn)新型攻擊的能力。 本論文以基于無監(jiān)督神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)為研究內(nèi)容，以提高檢測算法對未

4、知入侵的檢測有效性為目標(biāo)，從檢測率和誤報率兩個重要指標(biāo)出發(fā)，以聚類分析為主線，提出新的聚類入侵檢測算法和模型，并進行計算機仿真實驗。 本論文主要做了以下研究工作： ①介紹了入侵檢測的基本概念、原理、分類和發(fā)展；介紹了神經(jīng)網(wǎng)絡(luò)的基本概念、結(jié)構(gòu)、功能及學(xué)習(xí)算法，并由此引入了基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)：分析了基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)現(xiàn)狀、種類和技術(shù)特征；提出了基于無監(jiān)督神經(jīng)網(wǎng)絡(luò)的入侵檢測模型，并介紹了這種模型的優(yōu)點。

5、 ②介紹了自組織特征映射SOFM的基本原理，提出利用自組織特征映射SOFM進行網(wǎng)絡(luò)入侵檢測，并設(shè)計出相應(yīng)檢測過程和算法。詳細闡述了利用國際權(quán)威KDD Cup 99入侵估計數(shù)據(jù)庫時，選取能反映多個數(shù)據(jù)連接之間內(nèi)在聯(lián)系的41維特征，可以使入侵檢測系統(tǒng)檢測出隱藏在多個數(shù)據(jù)連接內(nèi)的攻擊。通過對實驗數(shù)據(jù)集的仿真實驗表明，這一新型算法具有較高的檢測率、較低的誤報率。③自適應(yīng)共振理論ART網(wǎng)絡(luò)是一種無監(jiān)督的、能較好地解決“穩(wěn)定性可塑性二難問題”的神經(jīng)

6、網(wǎng)絡(luò)，適用于平穩(wěn)和動態(tài)的各類環(huán)境，是理想的動態(tài)聚類算法。入侵攻擊行為類型數(shù)目未知并且隨時間和空間變化。ART網(wǎng)絡(luò)的優(yōu)點使其適合于入侵檢測。傳統(tǒng)的ART-2網(wǎng)絡(luò)存在“預(yù)處理信號畸變”和“同相位不同幅值不可分”問題，影響其分類性能，針對此情況，采用新的非線性變換函數(shù)和競爭層學(xué)習(xí)算法避免了傳統(tǒng)ART-2神經(jīng)網(wǎng)絡(luò)的這兩個問題，并將這種改進的ART-2算法用于入侵檢測中。計算機仿真結(jié)果表明，改進的ART-2神經(jīng)網(wǎng)絡(luò)更適合用于當(dāng)今入侵手段不斷變化情

7、況下的入侵檢測，可以實現(xiàn)對入侵的實時檢測并識別出新型未知入侵，檢測率較高，誤報率較低。 ④在對傳統(tǒng)Fuzzy ART算法在模式分類問題中存在的問題進行深入分析的基礎(chǔ)之上，提出了一種改進的模糊自適應(yīng)共振理論IFART算法，該算法能有效地克服原算法中存在的“飽和”現(xiàn)象，還能降低原算法的計算復(fù)雜度。網(wǎng)絡(luò)安全具有模糊性，入侵檢測中包含許多數(shù)值屬性的特征，這些特征可能會導(dǎo)致“尖銳邊界問題”，從而會導(dǎo)致誤報和漏報的產(chǎn)生。針對此情況，提出了基