基于机器学习的入侵检测系统研究-计算机软件与理论专业论文.docxVIP

江苏科技大学学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权江苏科技大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。 本学位论文属于： (1)保密□，在 年解密后适用本授权书。 (2)不保密□。 学位论文作者签名： 指导教师签名： 年 月 日 年 月 日 第 第 1 章 绪论 江苏科技大学工学硕士学位论文 江苏科技大学工学硕士学位论文 - - PAGE 13 - - - PAGE 10 - 第 1 章 绪论 1.1 研究背景和意义 伴随着计算机和网络技术的飞速发展，网络安全问题日益受得人们的关注，它实 际上已成为一个全球性的重大信息安全问题。信息保障强调信息系统的整个生命周期 的防御和恢复，这是与以往的安全防护措施不同的。入侵检测作为信息安全的一个重 要防护措施，可以较好的弥补传统的保护机制的不足[1]，因此，自上个世纪 80 年代， 国外就开始了关于入侵检测的研究，网络入侵检测系统作为一种新型的安全技术，弥 补了防火墙的不足，提供了有效的入侵检测措施及相应的防护手段。入侵检测研究作 为信息安全领域一个较新的课题，受到了越来越多的关注。 支持向量机(Support Vector Machines，SVM)是一种建立在统计学习理论基础上 的机器学习(Machine Learning)方法[2]。与其他算法相比，SVM 有许多优点：1）最优 化同时针对置信范围（Confidence interval）和经验风险，收敛速度和推广能力均可控 制，能够避免机器学习中常出现的“过学习”和“欠学习”；2）它是线性判别函数， 解是稀疏的，计算简单；3）特征空间中的内积通过输入空间中的核函数计算，使得 算法的复杂度取决于样本数目，而不是样本维数，可以避免了维灾害等等。数据挖掘 是从已知信息里挖掘出未知知识，具有先前未知、有效和实用三个特征[3]，而聚类作 为一种数据挖掘的方式，它可以应用到入侵检测领域中对新入侵的检测。基于聚类的 支持向量机是将支持向量机与聚类算法相结合的一种改进算法。它将聚类算法的低复 杂性应用到 SVM 的高复杂性问题的解决中，对相近的数据进行单独的训练，不仅能 够减少 SVM 的训练时间和预测时间，而且能够减轻入侵检测系统的工作量、提高检 测系统的处理速度、提高检测系统的检测性能、增强网络的适应能力。 协议分析技术是从网络通信协议特有的规则性出发，它是当今较为先进的信息检 测技术 [4]。采用协议分析对网络入侵进行检测，提高检测效率的同时还可以节约资源。 本文提出的入侵检测系统模型，采用了聚类支持向量机与协议分析相结合的方法， 并将前者在基于小样本检测方面的突出能力与后者瞬时、高效的检测优点结合起来， 使得入侵检测更具效率，不但提高了检测速度，而且提高了资源的利用率和系统的扩 展性。因此，对当今的信息安全研究有一定的意义。 1.2 入侵检测系统概述 1.2.1 入侵检测的概念 入侵就是一系列试图去破坏一个计算机系统资源的完整性、机密性和可用性的行 为。入侵按其行为的后果可分为：非授权访问、信息的泄漏或丢失、破坏数据的完整 性和拒绝服务攻击。 入侵行为主要是指非授权使用系统资源，破坏系统数据或造成系统数据的丢失、 系统拒绝服务等危害。入侵检测，简单说就是对入侵行为的发觉。根据国际计算机安 全协会 (International Computer Security Association，ICSA)的定义，入侵检测技术是 通过从计算机网络或计算机系统中的若干关键点上收集信息并对其进行分析，从中发 现网络或系统中是否有违反安全策略的行为或遭受攻击的一种安全技术。它能够识别 计算机和网络资源上的恶意使用行为，并进行相应的处理，可以帮助系统对付各种攻 击，有效的弥补了防火墙的不足。它作为一种主动防御技术，被认为是防火墙之后的 第二道安全闸门。 1.2.2 入侵检测的分类 入侵检测系统按数据的来源来可分为：基于网络的入侵检测系统(NIDS)、基于 主机的入侵检测系统(HIDS)。 1.基于网络的入侵检测系统[5] 基于网络的入侵检测系统从网络上提取数据作为入侵分析的数据源[6]，对主机资 源消耗少，能够提供对网络通用的保护，并且不需要顾及异构主机架构的不同。基于 网络的入侵检测系统利用一个运行在随机模式下的网络适配器，实时地监视通过网络 进行传输的所有通信业务，然后进行分析，一旦检测到攻击，入侵检测系统的响应模 块会对这些攻击行为以通知、报警以及中断连接等方式来做出相应的反应。由于该类 入侵检测方式数据提取能力较强，并且有许多仅