資源描述:
《基于熵的入侵檢測特征參數(shù)選擇》由會員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫����。
1�����、萬方數(shù)據(jù)第28卷第4期2006年4月系統(tǒng)工程與電子技術(shù)SystemsEngineeringandElectronicsV01.28No.4Apr.2006文章編號:1001.506X(2006)04.0599—03基于熵的入侵檢測特征參數(shù)選擇饒鮮�����,楊紹全���,魏青���,董春曦(西安電子科技大學(xué)電子對抗研究所����,陜西西安710071)摘要:傳統(tǒng)入侵檢測的特征選擇方法不但與評估數(shù)據(jù)的統(tǒng)計(jì)特性有關(guān),還與檢測算法有關(guān)��。提出了一種獨(dú)立于檢測算法的入侵檢測特征參數(shù)選擇方法��。該方法以入侵檢測模型為基礎(chǔ),信息熵為準(zhǔn)則�。仿真結(jié)果顯示出用所選特征參數(shù)進(jìn)行檢測,不但保證
2����、了檢測的正確率,而且提高了檢測速度��,減小了內(nèi)存資源的占用�����。關(guān)鍵詞:網(wǎng)絡(luò)安全����;入侵檢測;熵�����;特征選擇中圖分類號:TP391文獻(xiàn)標(biāo)識碼:ASelectionintrusiondetectionparametersusingentropyRAOXian�����,YANGShao—quan�����,WEIQing,DONGChun—xi(TheElectronicCounterMeasuresInst.����,XidianUniv.,Xi’an710071��,China)Abstract:Featureselectionmethodsforintrusiondetect
3��、ionnOWavailableareinfiuencedbythestatisticalcharac—teristicsofeva]uationdataandthedetectionmethods.AfeatureselectionmethodindependentofdetectionmethodiSpresented.Themethodisbasedontheintrusiondetectionmodelandtheentropyisusedasthecriterion.Thesimula—tionresultsshowthatiti
4�����、seffectivetoincreasethedetectionspeedandreduceofthememory����,withoutsacrificingthedetectioncorrectnessbyusingtheselectedfeaturesbasedonentropy.Keywords:networksecurity;intrusiondetection�����;entropy���;featureselection0引言隨著網(wǎng)絡(luò)的迅速發(fā)展�����,人們對于網(wǎng)絡(luò)的依賴不斷增加�����,網(wǎng)絡(luò)安全問題日益突出���。入侵檢測作為動態(tài)安全防護(hù)部件,自從20世紀(jì)80年代出
5�、現(xiàn)以來迅速成為網(wǎng)絡(luò)安全研究的焦點(diǎn)uJ。入侵檢測是一種通過收集和分析被保護(hù)系統(tǒng)信息��,從而發(fā)現(xiàn)入侵的技術(shù)���,也可將入侵檢測看作是區(qū)別系統(tǒng)狀態(tài)是“正?��!边€是“異常”的二分類問題【2J�。入侵檢測常用的數(shù)據(jù)源分為兩大類:基于主機(jī)的數(shù)據(jù)源和基于網(wǎng)絡(luò)的數(shù)據(jù)源?����;谥鳈C(jī)的數(shù)據(jù)源,由操作系統(tǒng)審計(jì)跟蹤和記錄系統(tǒng)及應(yīng)用事件的系統(tǒng)日志文件組成�。從中可以提取出主機(jī)活動的特征,如誰在什么時(shí)候���,執(zhí)行了什么操作��。利用主機(jī)數(shù)據(jù)源進(jìn)行檢測的系統(tǒng)����,稱為基于主機(jī)的入侵檢測系統(tǒng)����。基于網(wǎng)絡(luò)的數(shù)據(jù)源���,是指收集的網(wǎng)絡(luò)數(shù)據(jù)����。從網(wǎng)絡(luò)數(shù)據(jù)源中���,可提取出網(wǎng)絡(luò)連接活動的特征�,如某臺主機(jī)用什么協(xié)議和
6、哪臺主機(jī)進(jìn)行了通信�����。利用網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測的系統(tǒng)��,稱為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)����。對于入侵檢測系統(tǒng)的要求首先是正確性�,其次是實(shí)時(shí)性。只有檢測速度快�����,才能及時(shí)處理網(wǎng)絡(luò)中傳輸?shù)暮A繑?shù)據(jù)���,不會因?yàn)樗俣嚷齺G失信息���,而造成漏警,更能及時(shí)采取措施�����,將入侵帶來的損失降到最低。提取和處理的特征數(shù)目過多是導(dǎo)致速度下降的主要原因之一�。實(shí)際上,有些參數(shù)沒有包含或者包含極少的系統(tǒng)狀態(tài)信息����,它們對檢測結(jié)果幾乎沒有影響(這些參數(shù)稱為冗余參數(shù))。所以特征選擇——去除冗余參數(shù)����,保留能夠反映系統(tǒng)狀態(tài)的重要特征——是入侵檢測研究的重要內(nèi)容之一。傳統(tǒng)入侵檢測特征的選擇方法【3叫j�����,
7���、是以對一組評估數(shù)據(jù)檢測的正確率或時(shí)間作為度量準(zhǔn)則��。這種方法有一定的局限性�。即使評估數(shù)據(jù)的統(tǒng)計(jì)特性與實(shí)際特性相同���,它也是針對特定的檢測方法��,并沒有普遍性�。本文拋開檢測算法,從數(shù)據(jù)統(tǒng)計(jì)特性出發(fā)����,提出了基于熵的特征參數(shù)選擇方法。該方法有效地反映了數(shù)據(jù)的性質(zhì)���,擺脫了傳統(tǒng)方法針對特定檢測算法的限制。1基于熵的衡量準(zhǔn)則1993年����,HelmanEs]提出了基于主機(jī)的入侵檢測數(shù)學(xué)模型。本文將該模型推廣到所有入侵檢測系統(tǒng)��,并據(jù)此提出基于熵的參數(shù)衡量準(zhǔn)則����。1.1Hdman模型Helman研究的是基于主機(jī)的入侵檢測系統(tǒng)。他將復(fù)收稿日期:2005—04—05���;修
8����、回日期:2005—10—02�?�;痦?xiàng)目:“十五”軍事通訊預(yù)研資助課題(4100104030)作者簡介:饒鮮(1976一)���,女,講師�����,博士研究生�����,主要研究方向?yàn)榫W(wǎng)絡(luò)安全和信息對抗�。E-mail:
