資源描述:
《基于雙極快速進化特征選擇算法的異常入侵檢測》由會員上傳分享�,免費在線閱讀,更多相關內(nèi)容在應用文檔-天天文庫��。
1����、基于雙極快速進化特征選擇算法的異常入侵檢測程新黨趙學武南陽師范學院軟件學院異常入侵檢測技術在入侵檢測系統(tǒng)屮有著重要的地位,該技術依據(jù)用戶的正常行為模式來檢測未知攻擊�。但由于網(wǎng)絡鏈接數(shù)據(jù)復雜多變的特性和冗余無關網(wǎng)絡鏈接屬性的干擾,時常導致現(xiàn)有異常檢測技術的失效���。針對該問題,提出了一種新的雙極快速進化算法�����,該算法在每一代解集的最差與最優(yōu)兩個極端分別引入最差反轉進化和最優(yōu)迭代繁殖等搜索策略�,改善算法的收斂速度與全局尋優(yōu)能力,然后將本算法與特征選擇相結合,快速選出最優(yōu)的網(wǎng)絡鏈接特征組合�,并結合決策樹ID3算法構造異常入侵檢測規(guī)則,在數(shù)據(jù)集KDDCUP99上的多項比較實驗表
2��、明該算法能夠獲得較優(yōu)的特征組合�����,并取得了較高的檢測率與準確率���,同時具有較低的誤警率��,為異常入侵檢測模型的設計提供了參考�����。關鍵詞:入侵檢測系統(tǒng);快速進化算法;決策樹;特征選擇;異常檢測;基金:國家自然科學基金項目(61401242)0前言隨著計算機技術和通信技術的發(fā)展����,計算機網(wǎng)絡在社會的方方面面扮演著越來越重要的角��,但是計算機和網(wǎng)絡的安全已經(jīng)成為人們急需面對的新難題����,據(jù)統(tǒng)計�����,黑客入侵事件逐年增加����,給個人和相關機構造成了巨大的損失�����。作為網(wǎng)絡安全防御的主要手段之一����,入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)可以檢測到多種攻擊和入侵行為,并發(fā)
3����、出報警信號。目前常見的IDS可以分為異常檢測系統(tǒng)�����、誤用檢測系統(tǒng)或簽名檢測系統(tǒng)U1�����。早期的入侵檢測技術主要利用預定義的已知入侵模式與A標系統(tǒng)的特定行為進行匹配來判斷是否有入侵事件發(fā)生����,具有較高的正確率,但不能發(fā)現(xiàn)未知的攻擊模式��,所以需要經(jīng)常更新特征庫以保證系統(tǒng)的檢測效果�����。而在異常檢測系統(tǒng)中���,系統(tǒng)基于一定周期內(nèi)用戶的工作模式和網(wǎng)絡狀態(tài)��,對網(wǎng)絡數(shù)據(jù)進行分析將偏離正常行為的網(wǎng)絡鏈接判定為入侵事件�����,這種方法雖然可以發(fā)現(xiàn)未知的入侵攻擊�,但具有較高的誤報率�����。近年來��,基于機器學習的異常入侵檢測技術得到較大的發(fā)展,研宄者們運用分類�����、聚類或者規(guī)則關聯(lián)等技術對入侵行為進行分析挖掘���,并建
4��、立了多種數(shù)學模型����,已經(jīng)取得了較好的實際效果;但是由于用戶行為的多變性和復雜性�,不論是分類還是聚類方法,在具體的工程實踐屮都分別存在著一些問題�,比如對初始值敏感,收斂速度慢����,易陷入局部最優(yōu)等。針對這些問題�,己經(jīng)有人提出了一些針對性的改進算法和策略,如文獻[2���,3�����,4]���。其中Srinoy等人將粗糙模糊聚類的方法應用于冗余數(shù)據(jù)的消除,并使用粗糙集理論實現(xiàn)對正常異常行為的軟劃分;在文獻[3]中Denatious等人將聚類�、分類以及關聯(lián)規(guī)則綜合應用到入侵行為的檢測發(fā)現(xiàn)上;文獻[4]屮Mohanabharathi等人將信息增1益率與k-mcans法結合起來用于無線網(wǎng)絡系統(tǒng)中行
5、為屬性的特征選擇與入侵事件的判定�。但隨著互聯(lián)網(wǎng)日漸融入人們的生活,網(wǎng)絡應用日新B異��、豐富多樣�,這不僅導致了網(wǎng)絡數(shù)據(jù)量的與H倶增,同時對應用層網(wǎng)絡數(shù)據(jù)信息的描述也需要較多的特征�����,但多數(shù)特征對入侵檢測來說可能是冗余的���,因此龐大而復雜的數(shù)據(jù)信息導致入侵檢測效率低下�����,而檢測復雜度口益上升?�,F(xiàn)有的研宂并不能很好地解決這些逐漸出現(xiàn)問題����,最終異致了己經(jīng)部署的IDS出現(xiàn)了誤警率較高或檢測率較低的現(xiàn)象,己經(jīng)對整個社會造成了較大的損失���。如何快速選出最佳的表示異常入侵行為的網(wǎng)絡鏈接特征組合�����,已經(jīng)成為提升IDS檢測效果的一個關鍵性問題�?;诖耍疚奶岢隽艘环N雙極性快速進化特征選擇算法�,旨
6、在以較快的速度選擇出最能表征入侵行為的特征組合���,再結合特定的分類算法來快速準確地檢測到入侵行為��,不僅能為IDS的相關技術的研宄實施提供技術支持��,而且該算法對組合優(yōu)化問題的研究也有一定的參考意義���。1相關工作在入侵檢測中����,網(wǎng)絡連接行為通常需要多個特征(屬性)加以描述���,例如在KDDCUP99數(shù)據(jù)集屮,每條數(shù)據(jù)共包含41個特征�����,研宄表明這些特征屮僅有部分與入侵行為密切相關����,剩余部分特征對入侵檢測來說是冗余無關的,并嚴重影響著檢測的效率與準確度��。同時���,數(shù)據(jù)集包含數(shù)據(jù)量巨大�,如果直接進行建模分析不僅運算時間長�,而且分類的精度不高。因此運用特征選擇算法對數(shù)據(jù)進行預處理不僅可以縮
7��、減運算時間,而II可以提高分類的精度�����。在機器學>』算法中�,尤其在涉及高維特征空間時,數(shù)據(jù)降維操作已經(jīng)成為常用的數(shù)據(jù)預處理步驟�����。從上世紀70年代���,特征選擇技術被提出以來�����,己經(jīng)成為提升機器學習算法性能的一種重要技術途徑��,并且被廣泛地應用到多個領域����,例如:分類�����、數(shù)據(jù)挖掘、目標識別�����、入侵檢測等��,被證明是一種從原始數(shù)據(jù)集中去除冗余無關特征的有效手段��。在入侵檢測方面���,唐成華等[5]利用信息增益算法對網(wǎng)絡攻擊鏈接數(shù)據(jù)的特征進行排序,然后利用約登指數(shù)刪減數(shù)據(jù)集屬性�,并取得Y較好的聚類效果。Karimi-Nasab等人[6]捉出了基丁?多對象遺傳算法(Multi-objectgen
8�、etica
