基于非均衡數(shù)據(jù)分類的高速網(wǎng)絡(luò)入侵檢測研究.pdf

1、隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，層出不窮的網(wǎng)絡(luò)攻擊所造成的危害越來越大，網(wǎng)絡(luò)安全面臨著嚴峻的挑戰(zhàn)。如何在高速網(wǎng)絡(luò)環(huán)境下及時、高效地處理大量的網(wǎng)絡(luò)數(shù)據(jù)包和降低誤報率是目前網(wǎng)絡(luò)入侵檢測系統(tǒng)面臨的一個主要難題。對高速網(wǎng)絡(luò)環(huán)境下的入侵檢測系統(tǒng)模型進行了研究，提出了基于負載均衡機制的兩階段入侵檢測模型—TSMBLB模型?；谠撃Ｐ?，提出了面向分層檢測的攻擊分類方法。由于入侵檢測系統(tǒng)中所要處理的數(shù)據(jù)是海量的、非平衡的，因此，在TSMBLB模型的

2、離線建模階段采用了非平衡數(shù)據(jù)分類技術(shù)建立檢測模型。主要創(chuàng)新成果如下：
　　 ⑴針對高速網(wǎng)絡(luò)入侵檢測系統(tǒng)在處理速度上的不足，提出了TSMBLB基于負載均衡機制的兩階段入侵檢測模型。整體上分為在線檢測和離線建模兩個階段，在線檢測階段通過負載均衡器把從網(wǎng)絡(luò)中截獲的數(shù)據(jù)按負載均衡算法分流給多個檢測器，各個檢測器檢測的結(jié)果提交給分析主機進行分析處理。離線建模階段是對已有的數(shù)據(jù)集經(jīng)過預(yù)處理器，采用與在線檢測階段相同的負載均衡算法進行分流，然

3、后對各部分數(shù)據(jù)分別學習建模，建立的模型用于在線檢測。該模型通過負載均衡的機制加快數(shù)據(jù)處理速度，用異常檢測的方法來檢測新的攻擊。
　　 ⑵為了使攻擊檢測系統(tǒng)化，構(gòu)造高效的檢測方法，提出了面向分層檢測的攻擊分類方法?；赥SMBLB模型，根據(jù)系統(tǒng)能及時檢測攻擊的先后順序?qū)舴诸?，把檢測任務(wù)分階段交給各自檢測器完成，各檢測器之間遵循：如果能在高層檢測到，在低層中就不要再檢測的原則，這樣可以保證分類無重復，而且也簡化了檢測過程，提高了

4、檢測效率。
　　 ⑶針對網(wǎng)絡(luò)入侵檢測系統(tǒng)對少數(shù)類攻擊檢測率低的問題，設(shè)計了一種基于TSMBLB模型的非均衡數(shù)據(jù)分類框架。采用Relief方法進行特征選取、改進的SMOTE過抽樣增加少數(shù)類，采用集成學習AdaBoost和隨機森林算法建立分類器，分層10折交叉驗證方法對預(yù)測模型進行了評估，用精確度、召回率、F度量值和ROC曲線對分類性能進行了比較。實驗結(jié)果表明，該框架可有效提高少數(shù)類攻擊的檢測率。
　　 ⑷由于網(wǎng)絡(luò)數(shù)據(jù)包中存

5、在大量的“無用”和“噪音”樣本，提出了基于最近鄰的快速分層重抽樣方法FHNN。把原數(shù)據(jù)集劃分成幾個子集并對每個子集分別重抽樣，把重抽樣結(jié)果合并即為目標樣本集。對每個子集中重抽樣時，先從子集的每個類中隨機抽出一個樣本作為構(gòu)造子集，然后用構(gòu)造子集對子集上的每個樣本最近鄰學習，分類不正確則加入構(gòu)造子集。結(jié)果表明，F(xiàn)HNN方法不僅可以很好的刪除噪聲數(shù)據(jù)和冗余信息，尤其是類區(qū)域內(nèi)樣本，減小數(shù)據(jù)的不平衡度和樣本總量，而且由于算法時間復雜度是線性階的