在線自適應網絡異常檢測系統(tǒng)模型與相關算法研究.pdf

1、隨著計算機網絡應用的日益增多,安全問題越來越突出。網絡入侵可能會對計算機網絡造成嚴重的破壞,因此對具有主動防御特征的入侵檢測系統(tǒng)的需求日趨緊迫。與傳統(tǒng)的防火墻、反病毒軟件不同,入侵檢測系統(tǒng)能夠主動對網絡和用戶行為進行監(jiān)控,發(fā)現(xiàn)對系統(tǒng)的非法使用和入侵行為,從而提供對系統(tǒng)的保護。在過去的十多年間,基于誤用的檢測得到大量應用,因為這種技術易于實現(xiàn),并且具有較低的誤報率,因此實用性較強。但是基于異常的檢測技術具有發(fā)現(xiàn)新入侵的能力,近年來受到了越

2、來越多的重視。另外,在高速網絡環(huán)境下網絡流量不斷增加,多數(shù)入侵檢測算法已經不能滿足對實時處理能力的需要。黑客技術的不斷發(fā)展以及網絡應用環(huán)境的變化,也對入侵檢測系統(tǒng)的檢測性能和自適應性提出了更高的要求。
　　 本文以提高入侵檢測系統(tǒng)的運行效率,增強自適應能力以及提高檢測能力為技術目標,在系統(tǒng)模型設計、檢測技術的綜合應用以及檢測算法的設計等方面進行了深入的研究,取得了一些創(chuàng)新性的研究成果,主要內容包括:
　　 1.提出一個輕

3、量級的在線自適應網絡異常檢測系統(tǒng)模型(OANAD)。系統(tǒng)能夠對實時網絡數(shù)據流進行在線學習和檢測,在少量指導下逐漸構建網絡的正常模式庫和入侵模式庫,并根據網絡使用特點動態(tài)進行模式更新。系統(tǒng)結構同時體現(xiàn)了異常檢測系統(tǒng)和誤用檢測系統(tǒng)的特點。OANAD使用基于網格的方法表達網絡應用模式,同時配合簡潔高效的運行機制,較好地滿足了在線處理網絡數(shù)據對系統(tǒng)運行效率的要求。
　　 2.提出一個基于模式影響度的網絡異常檢測算法PIAD。算法將異常檢

4、測技術與誤用檢測技術有機地結合在一起,不但能夠檢測到新入侵,而且在保持較高的檢測率的同時有效控制了誤報率。算法采用消極學習方法,能夠進行快速的在線增量學習,而且其時間復雜度和空間復雜度都很低。算法與OANAD模型緊密結合,具有很強的實用性和較好的檢測能力。在DARPA KDD99入侵檢測數(shù)據集上進行測試,訓練集數(shù)據和測試集數(shù)據以數(shù)據流方式順序一次輸入系統(tǒng),在40秒之內系統(tǒng)完成所有學習和檢測任務,并達到檢測率91.32％和誤報率0.43％

5、的結果。根據現(xiàn)有文獻,這個實驗結果是在KDD99測試全集上相同檢測率下誤報率最小的,同時系統(tǒng)在識別新入侵上也具有良好的表現(xiàn)。
　　 3.提出一種聚類算法k-Cubes用于網絡應用模式的聚類和網絡異常檢測。算法直接以OANAD使用的網絡應用模式為處理對象進行聚類,在聚類過程中通過動態(tài)合并與分裂來自動決定聚類的數(shù)目。在此基礎上給出了半監(jiān)督k-Cubes聚類算法,利用少量帶有標記的數(shù)據對聚類中的合并和拆分過程進行指導,最后根掘聚類的結

6、果生成檢測規(guī)則。k-Cubes聚類算法適合處理高維并且含有多值字符屬性的大數(shù)據集數(shù)據,同時具有輸入參數(shù)少等特點。在KDD99入侵檢測數(shù)據集上的實驗結果顯示,算法獲得了95.82％的檢測率和1.25％的誤報率；并且在識別新入侵的能力上,算法檢測到了17種新入侵中的15種。
　　 4.提出一個基于有監(jiān)督ISODATA聚類的網絡入侵檢測算法,用于網絡異常檢測。在三方面對ISODATA算法進行了改進:首先,算法能夠直接處理字符數(shù)字混合屬