基于無監(jiān)督神經網絡的入侵檢測技術研究.pdf

1、隨著計算機網絡尤其是Internet技術的迅速發(fā)展，網絡在我們日常的生活、學習和工作中發(fā)揮著越來越重要的作用。而在網絡迅速增長的同時，越來越多的敏感信息被在線存儲與管理，網絡更容易受到各種惡意或非法用戶的攻擊，使信息的機密性、完整性和可用性得不到保證，因此，網絡安全已變得極其重要。諸如用戶鑒別、防火墻等傳統(tǒng)的被動防御網絡安全技術，已不能完全滿足網絡安全的需要；作為網絡安全第二道防線的入侵檢測系統(tǒng)是一種主動動態(tài)信息安全防范技術，它集檢測、

2、記錄、報警、響應于一體，不僅能檢測出來自外部網絡的入侵行為也能監(jiān)督內部網絡用戶的未授權活動，因而，它成為當前的熱門研究領域。 入侵檢測從技術上分為誤用檢測和異常檢測，誤用檢測一般不能檢測出新型或未知的攻擊。近幾年出現(xiàn)的基于數(shù)據(jù)挖掘的入侵檢測方法采用不含攻擊的純凈數(shù)據(jù)進行訓練，建立起反映用戶正常行為的規(guī)則集，根據(jù)當前行為和正常行為規(guī)則集的偏離程度來判定是否存在攻擊。該方法能夠檢測出從未發(fā)生過的新型未知攻擊，然而純凈的訓練數(shù)據(jù)在真實

3、的網絡環(huán)境中往往難以獲得，而且代價高昂。再者，若在此訓練集中隱藏著未發(fā)現(xiàn)的入侵攻擊行為，則用此數(shù)據(jù)集構建的檢測模型不能有效檢測出此攻擊，因為它們被看作正常的行為。與之相比，本論文提出的基于無監(jiān)督神經網絡的入侵檢測系統(tǒng)，它們無需大量帶標識的、用于標明各種攻擊的訓練數(shù)據(jù)，而只需要尋找和定義正常的聚類，因此，它們具有在不具備任何先驗知識的情況下發(fā)現(xiàn)新型攻擊的能力。 本論文以基于無監(jiān)督神經網絡的入侵檢測技術為研究內容，以提高檢測算法對未

4、知入侵的檢測有效性為目標，從檢測率和誤報率兩個重要指標出發(fā)，以聚類分析為主線，提出新的聚類入侵檢測算法和模型，并進行計算機仿真實驗。 本論文主要做了以下研究工作： ①介紹了入侵檢測的基本概念、原理、分類和發(fā)展；介紹了神經網絡的基本概念、結構、功能及學習算法，并由此引入了基于神經網絡的入侵檢測技術：分析了基于神經網絡的入侵檢測技術現(xiàn)狀、種類和技術特征；提出了基于無監(jiān)督神經網絡的入侵檢測模型，并介紹了這種模型的優(yōu)點。

5、 ②介紹了自組織特征映射SOFM的基本原理，提出利用自組織特征映射SOFM進行網絡入侵檢測，并設計出相應檢測過程和算法。詳細闡述了利用國際權威KDD Cup 99入侵估計數(shù)據(jù)庫時，選取能反映多個數(shù)據(jù)連接之間內在聯(lián)系的41維特征，可以使入侵檢測系統(tǒng)檢測出隱藏在多個數(shù)據(jù)連接內的攻擊。通過對實驗數(shù)據(jù)集的仿真實驗表明，這一新型算法具有較高的檢測率、較低的誤報率。③自適應共振理論ART網絡是一種無監(jiān)督的、能較好地解決“穩(wěn)定性可塑性二難問題”的神經

6、網絡，適用于平穩(wěn)和動態(tài)的各類環(huán)境，是理想的動態(tài)聚類算法。入侵攻擊行為類型數(shù)目未知并且隨時間和空間變化。ART網絡的優(yōu)點使其適合于入侵檢測。傳統(tǒng)的ART-2網絡存在“預處理信號畸變”和“同相位不同幅值不可分”問題，影響其分類性能，針對此情況，采用新的非線性變換函數(shù)和競爭層學習算法避免了傳統(tǒng)ART-2神經網絡的這兩個問題，并將這種改進的ART-2算法用于入侵檢測中。計算機仿真結果表明，改進的ART-2神經網絡更適合用于當今入侵手段不斷變化情

7、況下的入侵檢測，可以實現(xiàn)對入侵的實時檢測并識別出新型未知入侵，檢測率較高，誤報率較低。 ④在對傳統(tǒng)Fuzzy ART算法在模式分類問題中存在的問題進行深入分析的基礎之上，提出了一種改進的模糊自適應共振理論IFART算法，該算法能有效地克服原算法中存在的“飽和”現(xiàn)象，還能降低原算法的計算復雜度。網絡安全具有模糊性，入侵檢測中包含許多數(shù)值屬性的特征，這些特征可能會導致“尖銳邊界問題”，從而會導致誤報和漏報的產生。針對此情況，提出了基