基于擴(kuò)展D-S證據(jù)融合算法的網(wǎng)絡(luò)異常入侵檢測研究.pdf

1、計算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用和黑客攻擊的頻繁出現(xiàn)使得人們更加關(guān)注網(wǎng)絡(luò)安全問題。入侵檢測技術(shù)作為保障計算機(jī)和網(wǎng)絡(luò)安全的重要手段，成為近年來網(wǎng)絡(luò)安全領(lǐng)域的研究熱點。隨著攻擊手段的復(fù)雜化和網(wǎng)絡(luò)規(guī)模的發(fā)展，基于網(wǎng)絡(luò)的入侵檢測越來越發(fā)揮更大的作用。網(wǎng)絡(luò)入侵檢測系統(tǒng)通過執(zhí)行監(jiān)測、預(yù)警、識別、決策和響應(yīng)等一系列任務(wù)，完成網(wǎng)絡(luò)對抗過程的重要功能，已經(jīng)成為網(wǎng)絡(luò)安全系統(tǒng)工程的重要組成部分。 目前，網(wǎng)絡(luò)異常入侵檢測仍然是入侵檢測研究領(lǐng)域的熱點和難點，存在著檢

2、測率不夠高、檢測范圍不夠全面、檢測效率不能滿足大規(guī)模高速網(wǎng)絡(luò)實時檢測的要求等問題。在無人指導(dǎo)的網(wǎng)絡(luò)異常入侵檢測領(lǐng)域，基于D-S證據(jù)理論的網(wǎng)絡(luò)異常入侵檢測技術(shù)已經(jīng)吸引了國內(nèi)外諸多學(xué)者的研究，但大都停留在應(yīng)用經(jīng)典的D-S證據(jù)理論對網(wǎng)絡(luò)特征數(shù)據(jù)進(jìn)行融合；然而網(wǎng)絡(luò)數(shù)據(jù)不可避免地存在沖突，經(jīng)典D-S證據(jù)理論對存在嚴(yán)重沖突的證據(jù)進(jìn)行融合時卻不能得到合理的結(jié)果，因此會導(dǎo)致檢測系統(tǒng)的誤報率和漏報率較高等問題。 本文結(jié)合經(jīng)典的Dempster-S

3、hafer證據(jù)理論和Fabio等提出的擴(kuò)展D-S證據(jù)融合理論，提出一種證據(jù)融合算法EDS。該算法可實時地對大量存在嚴(yán)重沖突的證據(jù)進(jìn)行融合并能夠得到更加合理的結(jié)論：在兩互斥目標(biāo)的辨識框架下，該算法的時間復(fù)雜度僅為O(n)，具有較高的融合效率，可應(yīng)用于網(wǎng)絡(luò)實時檢測。鑒于此，本文將EDS融合算法應(yīng)用于網(wǎng)絡(luò)入侵檢測，針對目前網(wǎng)絡(luò)異常檢測的不足，提出一種實時網(wǎng)絡(luò)異常入侵檢測模型。該模型對存在嚴(yán)重沖突的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行融合后能夠獲得較為合理的結(jié)果，從而

4、降低模型系統(tǒng)的誤報率和漏報率；同時該模型檢測算法效率較高，可適用于大規(guī)模網(wǎng)絡(luò)實時檢測，并具有較大的檢測范圍。該模型屬于無人指導(dǎo)的網(wǎng)絡(luò)異常檢測范疇，利用統(tǒng)計特征的期望偏方差確定基本概率分配函數(shù)，使用顯著特征粗集分類機(jī)制降低融合嚴(yán)重沖突數(shù)據(jù)的頻率來提高特征學(xué)習(xí)的準(zhǔn)確性；同時采用數(shù)據(jù)區(qū)分度機(jī)制來實時反映網(wǎng)絡(luò)流量特征，以提高模型系統(tǒng)的檢測率。 最后通過UCI WBCD小維數(shù)據(jù)集和KDD Cup1999多維數(shù)據(jù)集的實驗表明，該模型檢測引擎