WSN多级分类代理入侵检测系统研究.docVIP

WSN多级分类代理入侵检测系统研究 　　摘要：随着因特网的快速增长和无线传感器网络的发展，网络安全已成为人们必须考虑的研究课题。提出无线传感器网络入侵检测的多层次分类技术，使用智能代理、决策树分类器和增强型多类支持向量机算法的组合，有效实施入侵检测系统，从而保护无线传感器网络的安全。这种方法的主要优点是系统可以用未标记数据进行训练，能够使用代理技术检测到以前发现不了的攻击。使用KDDCUP99数据集进行验证测试，实验结果表明，系统入侵检测率和误报减少率都取得了显著的改善。 　　关键词：IDS（入侵检测系统）；SVM（支持向量机）；多级决策树；智能代理 　　中图分类号：TP309.5文献标识码：A文章编号：1672-7800（2012）010-0162-03 　　作者简介：王振岭（1970-），男，硕士，山东德州学院计算机系讲师，研究方向为无线传感器网络、P2P网络应用层架构与算法。 　　1介绍 　　现有入侵检测技术、滥用检测和异常检测都不足以提供无线传感器网络所需的安全，它们仅具有有限能量和微小结构。现有入侵检测技术只能检测已知的入侵，用它们已获得的过去的数据训练对实际实例进行分类。因此，必须建立具有学习能力的智能入侵检测系统，以确保网络免受内部和外部的攻击。本文提出并实现了基于智能代理的入侵检测系统，采用了多级分类器和智能检测无线传感器网络入侵者的决策者代理，可以提供有效的安全无线传感器网络，并组合使用了增强决策树分类器和增强多用户SVM二进制分类算法两种技术。本文中，我们已经结合带有决策树的支持向量机来设计多类支持向量机，更准确地划分为4种类型，即攻击探测、拒绝服务攻击、权限提升攻击和远程登录攻击正常数据。重点提供了一个综合方法来检测DDoS攻击，提高了训练时间，以及IDS测试的时间和准确性。 　　2文献综述 　　目前有许多有关分类技术的文献。分类数据的树形结构多级分类SVM算法由SnehalA.Mulay等提出。提出了基于决策树的算法构建多类入侵检测系统，用来改善训练时间、测试时间和入侵检测的准确性。研究人员提出了多级树分类器来设计有效的入侵检测系统。在这种系统中，数据被分成一般拒绝访问攻击、探测和权限提升、远程登录访问。有必要将拒绝服务攻击进行分类，特别需要注意改善网络性能。有学者提出了基于多属性决策框架的异常检测方法，使用K近邻方法和SVM模型进行数据模式分类，此方法取得了良好的检测准确性。提出一个监视网络流量报文头的异常入侵检测系统，工作在后处理状态而不是实时状态。频繁攻击网络基础设施更需要开发分析网络流量的技术，提出一种新的框架，提供一个解决方案，异常检测自动化以分析应用程序行为的变化。提出基于在线回归处理模型以准确检测计算能力消费模型，观察到异常或应用程序的变化时及时报警。为了补偿基于回归的方法，识别处理导致模型的改变，使用应用程序性能签名，提供了一个实时行为模型。用监督分类算法的无线传感器网络入侵检测模型设计和评价的多层感知器支持向量机技术。结果表明，支持向量机精度高。也有学者提出利用二元决策树解决多级别问题支持向量机分类器架构，这种结构可以实现更好的分类准确性。 　　本文提出了一个基于多级分类器的入侵检测系统，利用决策树，增强C4.5算法和智能代理相结合的方法实现无线传感器网络入侵检测。应用增强的多级SVM算法，改善训练时间、测试时间和入侵检测准确性，降低误报率。此方法与其它方法相比在许多方面有所不同，它采用了智能代理拒绝访问攻击进行有效分类、使用了混合检测入侵分类方案、采用了C4.5有效分类增强算法。 　　3系统架构 　　多级混合入侵检测架构见图1。系统由3个模块组成，树分类器代理使用代理决策增强C4.5算法建构决策树，发现滥用检测；分类模型使用代理多级SVM算法监督异常检测；异常检测细粒度分类使用了基于代理的树分类器。 　　3.1分类代理 　　代理利用KDDcup99集并应用增强C4.5算法建构决策树。把KDDcup数据分成拒绝服务攻击和其它类型。其它类型的攻击和正常连接被分到其它类别。决策树首先用训练数据进行训练，生成决策树；然后用代理优化修剪决策树的节点数目，由修剪的决策树形成规则；再应用测试数据，使用生成的规则对输入数据进行分类。 　　刺激：收集的训练数据。 　　响应：分类数据的决策树。 　　3.2行为分区模块 　　代理多类SVM算法，需要根据确定的分类固定分类数，使用基于代理的自动分类技术来确定分类数。基于代理的多类SVM算法用于分类输出是正常还是攻击。 　　刺激：决策树的输出。 　　响应：正常行为和攻击行为。 　　描述了智能多类SVM算法，以说明如何应用此算法建立异常类型入侵检测模型。代理多类支持向量机（MSVM），计算两个模式类之间的距离，各类模式重复进