论文部分内容阅读
随着网络互联技术的飞速发展,网络安全成为了一个重大问题,随着INTERNET的发展,安全系统的要求也与日俱增,其要求之一就是入侵检测系统。
入侵检测系统(IDS)目前的发展还处于幼年期,国产IDS产品更是多处于特征检测的初级阶段,在异常检测方面与国外还存在相当大的差距,在混合检测领域更是一片空白。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测还不够成熟,处于发展阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测技术应该进行进一步的研究。
文中分析了传统SOM算法中的不足,提出一个新的基于竞争的SOM入侵检测模型;新模型中的算法采用了竞争理论。它首先定义属于前两个最佳匹配神经元(BMU),但是不属于BMU单元1-邻居的单元作为竞争者,当权向量更新时,竞争者将会同输入向量远离。惩罚竞争对手的中心思想是通过移动BMU单元的1-邻居神经元向输入向量靠近,同时,将同输入向量相似而又不是BMU1-邻居的竞争对手单元远离输入向量。这样通过鼓励BMU神经元中的1-邻居神经元在BMU神经元中排名靠前的方法,使得拓扑结构的正确率进一步提高,同时增加了映射神经元的作用,降低了量化和拓扑的错误。理论分析、仿真和实验研究表明,量化、拓扑能力以及分类性能都有明显提高。该模型采用了新的边界检测方法,首先它利用新的基于竞争的SOM算法形成的视图矩阵确定分类的初始数目,然后利用三个分类属性:含正常样本的直方图、密度和同最大聚类中心的距离来定义边界数据。仿真分析和实验研究验证了该方法可以有效地实现分类性能。
文中接下来研究了一种新的基于进化式有导师学习SOM训练算法,算法很好地解决入侵检测系统实时性的问题。算法始于一个无节点的空网络,每一个节点包含一个与输入空间维度相同的权向量,映射节点间的连接权信息被用来维持相邻节点间的邻居关系。邻居关系的权值是由连接两节点之间的距离决定的。如果距离太大并且超过了一个阈值,连接将会被裁减。这样特征空间就会被分离并且聚类、边缘结构就会出现。
文中提出了一种新的基于混沌遗传特征值选择算法的检测模型,它可以同任何一个分类算法结合实现最适合该算法的最优特征集提取。并在KNN算法上进行了实验研究,验证了设计思想的正确性。为了提取非线性的区分特征,文中提出了改进的基于核的LDA方法,在入侵检测系统中,通常设计一个两类分类器来判断一个输入特征是否为正常或非正常。当我们直接应用KLDA时,正常行为和非正常行为的样本同样对待。正常样本只包括正常行为,可以作为一类对待。但网络的非正常数据可能包括不同种特征,因此无法作为一类对待。所构造的空间无法适合正常行为和非正常行为的分类。而且所构造的空间只有一维。为了克服上述的不足,我们采用了一种改进的KLDA方法。论文中首先利用RPCL方法对非正常行为进行分类,然后改变传统KLDA方法中的区分标准,新标准规定正常类的协方差矩阵最小化,同时正常类中心与各个非正常行为聚类中心的距离协方差矩阵最大化。仿真分析与实验结果验证了该改进算法的性能。
提出了奇异值分解作为特征表示的方法,并设计了一种利用模糊集理论的SVM算法,克服了传统的SVM算法中对边缘数据和噪声等敏感的不足,同时利用了BOOTSTRAP训练算法解决了由于入侵检测问题中的非正常行为不确定的问题,以及利用BOOTSTRAP算法的原理解决了寻找最优模型参数的问题。文中进一步提出了一种新的基于支持向量机数据描述的入侵检测方法,它的思想是利用最小体积的超球面来描述目标类的数据特征。本文中对核空间的几何特征以及核函数参数的选择进行了分析并给出基于遗传算法的决策模型。基于核方法的主特征元分析方法能够实现非线性信息的提取,DFFS+DIFS表示为与特征空间的距离,它是相似性的有效标示。实验结果验证了设计思想的正确性。