基于機(jī)器學(xué)習(xí)的入侵檢測(cè).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的入侵也越來(lái)越多，網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)成為黑客的入侵對(duì)象，網(wǎng)絡(luò)系統(tǒng)的安全面臨巨大的威脅，入侵檢測(cè)技術(shù)也因此成為網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)話題。它作為傳統(tǒng)預(yù)防入侵技術(shù)，如用戶(hù)身份認(rèn)證、信息保護(hù)的重要補(bǔ)充，是用來(lái)保護(hù)網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)的另一座防護(hù)墻。 然而，傳統(tǒng)的入侵檢測(cè)方法需要手工更新入侵匹配模式，代價(jià)昂貴并且實(shí)時(shí)性較差，往往在手工更新的這段時(shí)間里，新的入侵已經(jīng)對(duì)網(wǎng)絡(luò)系統(tǒng)造成了非常大的危害。 本文主要討論了基

2、于機(jī)器學(xué)習(xí)的入侵檢測(cè)研究方法。機(jī)器學(xué)習(xí)能夠通過(guò)學(xué)習(xí)已有的入侵或正常模式，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的特征進(jìn)行概率推斷或模糊匹配，從而發(fā)現(xiàn)未知的入侵，以達(dá)到改善入侵檢測(cè)的自適應(yīng)性。本文對(duì)神經(jīng)網(wǎng)絡(luò)，遺傳算法，支持向量機(jī)三種機(jī)器學(xué)習(xí)算法經(jīng)行了詳細(xì)的介紹。同時(shí)，本文還介紹了兩種特征選擇算法。 通常的入侵檢測(cè)系統(tǒng)分為誤用檢測(cè)和異常檢測(cè)兩種，但是兩種模型各有缺點(diǎn)，誤用檢測(cè)不能發(fā)現(xiàn)未知入侵，而異常檢測(cè)的誤警率較高。本文提出了一種將誤用檢測(cè)和異常檢測(cè)兩種檢測(cè)

3、方式結(jié)合的混合型模型，其中的檢測(cè)模塊用機(jī)器學(xué)習(xí)的方法來(lái)實(shí)現(xiàn)。本文采用國(guó)際上比較流行的1999 DARPA入侵檢測(cè)評(píng)價(jià)計(jì)劃數(shù)據(jù)集為實(shí)驗(yàn)數(shù)據(jù)，對(duì)異常檢測(cè)模型和誤用檢測(cè)、異常檢測(cè)的混合型模型經(jīng)行了實(shí)驗(yàn)，得到實(shí)驗(yàn)數(shù)據(jù)，并給出了其他一般單獨(dú)使用誤用檢測(cè)模型的相關(guān)數(shù)據(jù)，對(duì)三種模型的實(shí)驗(yàn)結(jié)果進(jìn)行比較?；旌夏Ｐ蛯?duì)有未知入侵的網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)達(dá)到了平均85％左右的檢測(cè)率和3.5％左右的誤警率，性能明顯好于只采用誤用檢測(cè)或是異常檢測(cè)的模型，具有很高的實(shí)用性