网络入侵检测系统关键技术的研究.pdf

煞索郾电大学簿士论文 摘要 计算机和网络技术的普及，在给人们的生活带来极大便利的同 时，也将安全隐患传播到整个网络。正是由于网络的普及率越来越高， 一旦发生有目的、大规模的网络入侵行为，其造成的影响就越恶劣。 做为保护网络安全手段之一的入侵检测技术，一直被广大国内外学者 所关注。由于网络规模的不断扩大，网络流量的不断增长和黑客技术 的不断发展，对入侵检测的性能提出了更高的要求。本文以提高入侵 检测技术的检测正确率，降低误警率和漏警率以及提高检测效率为技 术蟊标，在检测技术、告警融合和分布式入侵检测系统的体系结构等 方面进行了深入系统的研究，取得了一些创新性的研究成果，主要内 容包括： 1．在二分类入侵检测技术方面，提出了两种入侵检测技术。 1)提出了基于条件熵遗传算法和支持向量机的入侵检测技术尊 根据入侵检测的特殊性，提出了条件熵遗传算法用于特征抽 取，设计了新的遗传个体、适应度函数和自适应交叉变异概 率。同时将基于条件熵遗传算法的特征抽取和支持向量机的 分类模型进行联合优化。对提出的条件熵遗传算法的收敛性 进行了理论分析。该入侵检测技术可以保证对不同攻击类型 的入侵具有较高的分类准确率和检测效率。 2)提出了基于核Fisher鉴别分析和支持向量机的入侵检测技术。 将核Fisher鉴别分析用于入侵特征的抽取，并结合支持向量 机进行分类拳同时根据入侵检测样本数据高维、异构、小样 。l。 链素郄电大学博圭逢文 攘要 本的特性，提出了基于异构距离度量的混合核函数。经过核 Fisher鉴别分析抽取后的入侵特征非常适合于分类，因此能减 少误警率和漏警率，同时大大降低封ll练时延，提高检测效率尊 2。在多分类入侵检测技术方面，提港了两种入侵检测技术辛 I)提出了基于核Fisher鉴别分析和多分类支持向量机的入侵检 测技术。利用经过核Fisher鉴别分析盾的训练数据不同类别 样本的类中心距离构造优化的二叉树结构，从而扩展二分类 支持向量机，实现多分类入侵检测。同时在构造二叉树的各 个二分类支持向量机时，首先使用核Fisher鉴别分析进行特 征抽取，然后在投影后的数据集上建立分类模型，提高各个 二分类支持向量概的检测精度。由于构造了合理蘸二叉树结 构，避免了误差累积效应带来鳆负面影响，同时提高了各个 二分类器的检测性能，因此能够显著提高多分类的检测芷确 率，尤其是对于较难检测的U2R和R2L攻击取得了较好的检 测效果，提高了检测效率。 2)提出了基于核Fisher鉴别分析和聚类的多分类支持向量机检 测技术垂结合入侵检测攻击样本和正常样本以及各种类型的 攻击样本之阕的边界不清晰的特点，引入模糊逻辑，将训练 数据映射到核Fisher鉴别分析特征空闻后，使用模糊聚类对 投影后的数据进行分析，根据模糊隶属度矩阵提供的信息构 造优化的二叉树结构，实现多分类a由于模糊逻辑的引入， 可以更准确地表达入侵数据之间的关系，因此进一步提高了 麓塞蘸电大学褥士论文 接簧 分类正确率，降低了误警率和漏警率。 3．在告警融合方面，针对入侵检测系统产生的告警数量大，且 大部分告警是冗余告警的情况，提出了基于乘性递增线性递 减的动态窗豳报警聚集算法，能够有效合成告警数据，去除 重复告警，减少告警洪流的出现。针对爵前大部分的攻击都 是复合攻击，且入侵检测技术不可避免的漏警和误警现象， 提出了基于证据理论和目标图模型的告警关联算法。根据网 络攻防领域的特点，构建了网络攻防模型，在此基础上搭建