入侵檢測(cè)系統(tǒng)的特征提取方法研究及其實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的迅猛發(fā)展，黑客攻擊日益猖獗，網(wǎng)絡(luò)安全問題日趨嚴(yán)峻，據(jù)統(tǒng)計(jì)，全球幾乎每20 秒就有一起黑客事件發(fā)生，僅美國(guó)每年由此造成的經(jīng)濟(jì)損失就超過100 億美元，因此，網(wǎng)絡(luò)安全成為當(dāng)今社會(huì)關(guān)注的焦點(diǎn)。目前，實(shí)現(xiàn)網(wǎng)絡(luò)安全的技術(shù)包括：入侵檢測(cè)技術(shù)、防火墻技術(shù)和安全路由器技術(shù)等，其中的入侵檢測(cè)技術(shù)由于其對(duì)已知的各種入侵具有較好的識(shí)別能力，成為P2DR(Policy, Protection, Detection, Response 即策略、防護(hù)、

2、檢測(cè)、響應(yīng))安全模型的一個(gè)重要組成部分，它是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一。 從上世紀(jì)80 年代Anderson 提出入侵檢測(cè)模型和80 年代中期SRI 公司設(shè)計(jì)并成功實(shí)現(xiàn)著名的IDES（入侵檢測(cè)系統(tǒng)）以來，盡管入侵檢測(cè)技術(shù)已取得了很大的發(fā)展，但是，隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展與信息傳輸?shù)膶?shí)時(shí)性要求加快，入侵檢測(cè)仍面臨不少問題，如檢測(cè)率不高、漏報(bào)率較高、檢測(cè)速度不適應(yīng)高速網(wǎng)絡(luò)的發(fā)展等。為解決當(dāng)前入侵檢測(cè)系統(tǒng)存在的問題，人們正研究在入侵檢

3、測(cè)中如何采用機(jī)器學(xué)習(xí)方法和數(shù)據(jù)挖掘技術(shù)實(shí)現(xiàn)入侵檢測(cè)的智能化。本文緊密圍繞智能入侵檢測(cè)中特征提取和基于數(shù)據(jù)挖掘的數(shù)據(jù)分類這二方面的關(guān)鍵技術(shù)開展研究。 1．在入侵檢測(cè)特征提取方面，研究了采用主成分分析(Principal Component Analysis，PCA)和核主成分分析(Kernel Principal Component Analysis，KPCA)的入侵檢測(cè)特征提取方法。通過對(duì)入侵檢測(cè)KDDCUP99 數(shù)據(jù)集進(jìn)行大量

4、對(duì)比實(shí)驗(yàn)，表明，采用核主成分分析后數(shù)據(jù)的維數(shù)，只有采用主成分分析后數(shù)據(jù)維數(shù)的一半，入侵檢測(cè)的檢測(cè)率也提高了近3 個(gè)百分點(diǎn)。 2．研究了當(dāng)前智能化入侵檢測(cè)系統(tǒng)當(dāng)前存在的問題，并把數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)系統(tǒng)。論述了基于Apriori 算法和CAEP（通過聚集顯露模式分類）的入侵特征提取的原理，結(jié)合ORACLE9i 的數(shù)據(jù)挖掘引擎，分析其建立分類、預(yù)測(cè)和關(guān)聯(lián)類的基本數(shù)學(xué)模型，以及通過JAVA 為基礎(chǔ)的API 來訪問這些數(shù)學(xué)模型的建