利用粗糙集分类的干扰检测文献翻译.docVIP

重 庆 理 工 大 学 文 献 翻 译 二级学院 计算机科学与工程 班 级 09371 学生姓名 周旸 学 号 10903070134 利用粗糙集分类的干扰检测 简介 干扰检测是用于分类正常与异常的活动，在机器学习方面可以发挥重要的作用。最近，基于机器学习的干扰检测方法（Allen等，2000）受到了广泛的研究，因为他们可以检测出的误用和异常。学习的干扰检测方法包括两个关键步骤：功能前牵引和检测模型生成。Wenke（1999）利用改进的Apriori算法在干扰检测特征提取的研究，获得网络连接级别的功能。此方法是非常有效的。后来，SRINIVAS和Sung（2002）提出了利用支持向量机（SVM）排列这些提取出的特征，但这种方法需要多次迭代，是非常耗时的。在检测模型生成的研究，这是可取的，检测模型可以被解释的，并具有高的检出率，但现有方法无法实现这两个目标。例如，神经网络（James，1998年）可以达到较高的检测率，但生成的检测规则是不能解释的；决策树（Wenke，1999年）可能会产生解释的规则，但检出率较低。 在本文中，我们目前使用干扰检测系统（IDS）功能的排名和干扰检测规则生成的粗糙集分类（RSC）（帕夫拉克，1982）。干扰检测RSC可以得到解释的检测规则和高检出率的一些攻击和IDS是简单而快速的使用RSC功能的排名。 RSC是粗糙集理论（王陶，2003）的重要内容之一。粗糙集学习理论的主要贡献是约简的概念。具有相同属性的对象分类能力的一整套属性约简是一个很小的子集。在本文中，我们提出了一个快速混合遗传算法的粗糙集的约简计算。事实上，简粗糙集计算的对应功能的IDS在RSC排名。与经典的基于支持向量机的功能排名的方法（SRINIVAS，SUNG，2002年）相比，此功能的排序方法是简单和快速。 RSC约简为模板创建的干扰规则（决定）。简代后，随后的检测规则自动计算。生成的规则有直观的“IF-THEN”的形式，提高探测器的设计是可以解释的，非常有价值的。实验的目的是测试的规则检测性能。我们使用的实验数据源于麻省理工学院的林肯实验室。它是为KDD（1999年）由DARPA竞争，被认为是干扰检测评估标准的基准。由于SVM进行经典的干扰检测的算法（SRINIVAS，SUNG，2002年）中，我们还可以使用支持向量机的干扰检测对同一数据进行比较。试验结果表明，RSC算法与SVM算法检测探头和DARPA数据集上的DoS攻击（99％以上）的兼容电平的检测性能。不过，RSC规则的解释具有明显的优势。进一步比较的RSC基于IDS和基于支持向量机的干扰检测系统中提供了详细论述。 本文的组织如下。在第二部分中，系统模型一般基于机器学习的干扰检测方法。在第三部分中，初步解释粗糙集和粗糙集分类算法本文提出的混合遗传算法进行了详细解释。在第四节实验设计比较RSC的IDS和基于支持向量机IDS表示RSC算法的优点。最后，我们总结了本文的最后一节。 系统模型 Wenke（1999）的研究工作是设计基于学习算法的干扰检测系统，我们可以在后续步骤中了解到： 使用的工具如tcpdump，dsniff等捕获网络数据; 将这些数据转换成合适的输入格式; 从原始数据提取功能标准化净工作流程和攻击行为或正常的使用模式。 设计和使用学习的算法来得到检测规则; 整合为实时IDS检测干扰检测规则。 上一节所说的这五个步骤中，特征提取和检测规则生成是两个关键步骤。 进行特征提取，它取决于数据源，并以被检测到的攻击类别。为了专注于我们的学习算法的研究，我们选择了1999年的KDD干扰检测的比赛数据集设计我们的系统。1999 KDD干扰检测测试使用了1998年DARPA干扰检测数据集，构建连接记录和提取对象功能（Wenke，1999）。1998年DARPA干扰检测数据集是从9个星期的原始TCP转储数据的局域网（LAN）仿真相关的典型美国空军局域网收购，并夹杂着探头，U2R，R2L的攻击：拒绝服务攻击，四大类。连接记录是TCP包序列的起点和终点在某些清楚界定的时候，它们之间的数据流从一个源IP地址和目标IP地址下一些定义良好的协议。每个连接都被标记为或正常，作为一种攻击，恰好与一个特定的攻击类型。对于每个TCP / IP连接，41各种定量和定性的特征提取。可以使用以下三个主要的功能集，分类每一个连接。 （1）固有的特点，即与连接相关的信息。它们包括工期类型，协议，标志等的连接; （2）流量的功能，即过去的连接，类似于当前的一个，例如，具有相同的目标主机的连接或连接在一个给定的时间窗口内或预定数量的过去连接到相同的服务有关的数量有关的统计信息; （