特征提取技术中噪声过滤算法探究.docVIP

特征提取技术中噪声过滤算法探究 　　摘 要： 网络攻击特征提取技术层出不穷，是当前网络信息安全问题研究的热点。分析了当前各种网络攻击特征提取技术，重点阐述了特征提取技术的理想步骤、当前发展状态以及存在的问题；在总结相关算法的基础上，提出了一种噪声过滤算法以优化特征的提取；通过深入分析和综合验证，证明此算法有一定的可行性及应用价值。 关键词： 网络攻击； 特征提取； 过滤； 算法 中图分类号：TP311.134.3 文献标志码：A 文章编号：1006-8228（2014）04-43-02 Abstract： The network attack feature extraction techniques are various and develop quickly， It becomes a hot research topic. The current variety of feature extraction techniques is analyzed. The ideal step of feature extraction technology， the current development status and the exiting problems are mainly discussed. Based on having summarized relative algorithms， a new noise filtering algorithm to optimize feature extraction is introduced. The analysis result after comprehensive validation shows that the algorithm has certain feasibility and application value. Key words： network attacks； feature extraction； filtration； algorithm 0 引言 目前，网络攻击防御技术的研究有很多，攻击特征提取技术就是研究入侵检测技术的一大热门方向，早在2003年Kreibich等提出了第一个攻击特征自动提取系统Honeycombt[1]。 攻击特征自动提取技术其涵义很清楚，主要体现的问题是特征分析与自动提取，其中自动提取又分为两步完成：攻击发现和特征提取。 因为攻击的不确定性，所以攻击发现是目前网络攻击中处理较为困难的问题，这对后面的特征提取造成了困难，只有解决攻击发现，特征提取才有价值，否则提取的特征没有任何意义和价值。 在很多的攻击防护系统中，将攻击特征作为主核心问题研究，通常情况下，攻击特征提取系统发现新攻击的能力强，可以缩短样本捕获时间，但是这些系统中对样本捕获时间也受攻击本身属性的影响，例如传播越快的蠕虫越容易被捕获到样本。而高效的特征提取方法可以有效减少特征提取时间，因此，目前研究的重心是如何设计有效而计算开销小的特征提取方法，减少特征提取时间[2]。 序列比对技术是参照生物序列引用特征提取技术，在生物界的研究中较为广泛，这种技术是将几条序列通过比较和适当的空位插入，构建一个使得相似性度量函数S（A）达到最大的比对序列A，从而达到发现序列之间的相似性和能辨别序列的差异两个目的。 1 攻击特征提取基本步骤 目前，按照信息处理流程，一个比较完善的攻击特征提取技术应该由如下步骤完成，即：攻击样本获取、去除噪声、攻击聚类、特征提取、特征负选择、特征正选择、特征归并和特征应用八个组成[3]。而传统的攻击特征提取技术基本上都不考虑噪声过滤问题。因此，对特征提取精确度的问题一直是研究的瓶颈。 攻击样本获取：完成从大量的网络数据中分辨出可疑（即可能是攻击）的数据流，同时完成报文碎片重组、TCP流重组等。 去除噪声：尽可能去除可疑数据流库中那些不是攻击样本的数据流（称之为噪声），从而提高可疑数据流库中攻击样本的纯度。 攻击聚类：由于可疑数据流库中的样本可能来自于多个攻击，攻击聚类部件的作用是将来自同一攻击的数据流聚为一类，从而利于下一步的特征提取。 特征提取：是从可疑数据流中提取出攻击特征。 特征负选择：从候选特征库中删除那些可能会导致严重误报的规则。 特征正选择：从候选规则库中选择可信度高、检测率高的特征，将之提交给IDS特征归并部件.该部件的作用是去除冗余的特征。 特征应用：是将攻击特征转化为IDS的检测规则，并应用到IDS中用于检测。 网络攻击特征提取技术获取的样本不外乎有三种情况：一是获取的某个新攻击数据流，这个数据流本身