資源描述:
《基于雙極快速進(jìn)化特征選擇算法的異常入侵檢測(cè)》由會(huì)員上傳分享�,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�����。
1、基于雙極快速進(jìn)化特征選擇算法的異常入侵檢測(cè)程新黨趙學(xué)武南陽師范學(xué)院軟件學(xué)院異常入侵檢測(cè)技術(shù)在入侵檢測(cè)系統(tǒng)屮有著重要的地位,該技術(shù)依據(jù)用戶的正常行為模式來檢測(cè)未知攻擊����。但由于網(wǎng)絡(luò)鏈接數(shù)據(jù)復(fù)雜多變的特性和冗余無關(guān)網(wǎng)絡(luò)鏈接屬性的干擾,時(shí)常導(dǎo)致現(xiàn)有異常檢測(cè)技術(shù)的失效��。針對(duì)該問題��,提出了一種新的雙極快速進(jìn)化算法����,該算法在每一代解集的最差與最優(yōu)兩個(gè)極端分別引入最差反轉(zhuǎn)進(jìn)化和最優(yōu)迭代繁殖等搜索策略,改善算法的收斂速度與全局尋優(yōu)能力�����,然后將本算法與特征選擇相結(jié)合�,快速選出最優(yōu)的網(wǎng)絡(luò)鏈接特征組合,并結(jié)合決策樹ID3算法構(gòu)造異常入侵檢測(cè)規(guī)則���,在數(shù)據(jù)集KDDCUP99上的多項(xiàng)比較實(shí)驗(yàn)表
2�����、明該算法能夠獲得較優(yōu)的特征組合����,并取得了較高的檢測(cè)率與準(zhǔn)確率,同時(shí)具有較低的誤警率��,為異常入侵檢測(cè)模型的設(shè)計(jì)提供了參考��。關(guān)鍵詞:入侵檢測(cè)系統(tǒng);快速進(jìn)化算法;決策樹;特征選擇;異常檢測(cè);基金:國家自然科學(xué)基金項(xiàng)目(61401242)0前言隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展��,計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)的方方面面扮演著越來越重要的角��,但是計(jì)算機(jī)和網(wǎng)絡(luò)的安全已經(jīng)成為人們急需面對(duì)的新難題���,據(jù)統(tǒng)計(jì)�����,黑客入侵事件逐年增加����,給個(gè)人和相關(guān)機(jī)構(gòu)造成了巨大的損失�����。作為網(wǎng)絡(luò)安全防御的主要手段之一���,入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS)可以檢測(cè)到多種攻擊和入侵行為�����,并發(fā)
3����、出報(bào)警信號(hào)�����。目前常見的IDS可以分為異常檢測(cè)系統(tǒng)��、誤用檢測(cè)系統(tǒng)或簽名檢測(cè)系統(tǒng)U1��。早期的入侵檢測(cè)技術(shù)主要利用預(yù)定義的已知入侵模式與A標(biāo)系統(tǒng)的特定行為進(jìn)行匹配來判斷是否有入侵事件發(fā)生�,具有較高的正確率,但不能發(fā)現(xiàn)未知的攻擊模式�,所以需要經(jīng)常更新特征庫以保證系統(tǒng)的檢測(cè)效果。而在異常檢測(cè)系統(tǒng)中����,系統(tǒng)基于一定周期內(nèi)用戶的工作模式和網(wǎng)絡(luò)狀態(tài),對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析將偏離正常行為的網(wǎng)絡(luò)鏈接判定為入侵事件��,這種方法雖然可以發(fā)現(xiàn)未知的入侵攻擊,但具有較高的誤報(bào)率�。近年來,基于機(jī)器學(xué)習(xí)的異常入侵檢測(cè)技術(shù)得到較大的發(fā)展��,研宄者們運(yùn)用分類�、聚類或者規(guī)則關(guān)聯(lián)等技術(shù)對(duì)入侵行為進(jìn)行分析挖掘,并建
4�、立了多種數(shù)學(xué)模型,已經(jīng)取得了較好的實(shí)際效果;但是由于用戶行為的多變性和復(fù)雜性��,不論是分類還是聚類方法����,在具體的工程實(shí)踐屮都分別存在著一些問題,比如對(duì)初始值敏感���,收斂速度慢�,易陷入局部最優(yōu)等�。針對(duì)這些問題,己經(jīng)有人提出了一些針對(duì)性的改進(jìn)算法和策略���,如文獻(xiàn)[2����,3,4]���。其中Srinoy等人將粗糙模糊聚類的方法應(yīng)用于冗余數(shù)據(jù)的消除����,并使用粗糙集理論實(shí)現(xiàn)對(duì)正常異常行為的軟劃分;在文獻(xiàn)[3]中Denatious等人將聚類��、分類以及關(guān)聯(lián)規(guī)則綜合應(yīng)用到入侵行為的檢測(cè)發(fā)現(xiàn)上;文獻(xiàn)[4]屮Mohanabharathi等人將信息增1益率與k-mcans法結(jié)合起來用于無線網(wǎng)絡(luò)系統(tǒng)中行
5��、為屬性的特征選擇與入侵事件的判定�。但隨著互聯(lián)網(wǎng)日漸融入人們的生活�����,網(wǎng)絡(luò)應(yīng)用日新B異�����、豐富多樣���,這不僅導(dǎo)致了網(wǎng)絡(luò)數(shù)據(jù)量的與H倶增�����,同時(shí)對(duì)應(yīng)用層網(wǎng)絡(luò)數(shù)據(jù)信息的描述也需要較多的特征���,但多數(shù)特征對(duì)入侵檢測(cè)來說可能是冗余的�����,因此龐大而復(fù)雜的數(shù)據(jù)信息導(dǎo)致入侵檢測(cè)效率低下���,而檢測(cè)復(fù)雜度口益上升。現(xiàn)有的研宂并不能很好地解決這些逐漸出現(xiàn)問題���,最終異致了己經(jīng)部署的IDS出現(xiàn)了誤警率較高或檢測(cè)率較低的現(xiàn)象�,己經(jīng)對(duì)整個(gè)社會(huì)造成了較大的損失��。如何快速選出最佳的表示異常入侵行為的網(wǎng)絡(luò)鏈接特征組合�,已經(jīng)成為提升IDS檢測(cè)效果的一個(gè)關(guān)鍵性問題?����;诖?�,木文提出了一種雙極性快速進(jìn)化特征選擇算法���,旨
6����、在以較快的速度選擇出最能表征入侵行為的特征組合,再結(jié)合特定的分類算法來快速準(zhǔn)確地檢測(cè)到入侵行為�����,不僅能為IDS的相關(guān)技術(shù)的研宄實(shí)施提供技術(shù)支持�,而且該算法對(duì)組合優(yōu)化問題的研究也有一定的參考意義�����。1相關(guān)工作在入侵檢測(cè)中�,網(wǎng)絡(luò)連接行為通常需要多個(gè)特征(屬性)加以描述,例如在KDDCUP99數(shù)據(jù)集屮���,每條數(shù)據(jù)共包含41個(gè)特征�,研宄表明這些特征屮僅有部分與入侵行為密切相關(guān)����,剩余部分特征對(duì)入侵檢測(cè)來說是冗余無關(guān)的,并嚴(yán)重影響著檢測(cè)的效率與準(zhǔn)確度�����。同時(shí),數(shù)據(jù)集包含數(shù)據(jù)量巨大����,如果直接進(jìn)行建模分析不僅運(yùn)算時(shí)間長(zhǎng),而且分類的精度不高�。因此運(yùn)用特征選擇算法對(duì)數(shù)據(jù)進(jìn)行預(yù)處理不僅可以縮
7、減運(yùn)算時(shí)間�����,而II可以提高分類的精度����。在機(jī)器學(xué)>』算法中,尤其在涉及高維特征空間時(shí)����,數(shù)據(jù)降維操作已經(jīng)成為常用的數(shù)據(jù)預(yù)處理步驟。從上世紀(jì)70年代���,特征選擇技術(shù)被提出以來��,己經(jīng)成為提升機(jī)器學(xué)習(xí)算法性能的一種重要技術(shù)途徑����,并且被廣泛地應(yīng)用到多個(gè)領(lǐng)域,例如:分類����、數(shù)據(jù)挖掘��、目標(biāo)識(shí)別����、入侵檢測(cè)等,被證明是一種從原始數(shù)據(jù)集中去除冗余無關(guān)特征的有效手段��。在入侵檢測(cè)方面���,唐成華等[5]利用信息增益算法對(duì)網(wǎng)絡(luò)攻擊鏈接數(shù)據(jù)的特征進(jìn)行排序,然后利用約登指數(shù)刪減數(shù)據(jù)集屬性��,并取得Y較好的聚類效果��。Karimi-Nasab等人[6]捉出了基丁?多對(duì)象遺傳算法(Multi-objectgen
8�、etica
