基于贝叶斯MARS的入侵检测算法研究

摘要

随着计算机网络和全球信息化的不断发展，计算机网络信息安全随之成为一个重要的问题。因此，需要一种能及时发现入侵，成功阻止入侵的网络安全技术，这就是入侵检测技术。 本文首先介绍了入侵检测的相关概念、分类、发展研究现状，然后对特权进程系统调用的特征及其提取方法进行了详细的分析研究，根据特权进程系统调用数据对系统安全威胁大、行为规律性和监控实时性较强等特点，采用特权进程序列数据作为入侵检测算法的特征数据。针对目前入侵检测系统存在的分类能力不强，计算量大、实时性差的实际情况，采用贝叶斯多元自适应回归样条(MARS)对特征数据进行分类。贝叶斯MARS方法采用MARS作为分类判别函数，通过贝叶斯学习方法和马尔可夫链蒙特卡罗方法确定MARS参数。和传统的确定性学习方法相比，这种随机性学习方法在保持了参数的准确性的基础上增强了参数获取的鲁棒性。准确的MARS参数保证了该方法具有较高的识别率。大量的实验证明特权进程与贝叶斯MARS的结合具有较好的入侵检测效果。文中最后介绍了算法的仿真实现并给出了实验结果。

目录

文摘

英文文摘

声明

第1章绪论

1.1入侵检测的意义

1.2入侵检测的研究历史与现状

1.3入侵检测目前存在的主要问题

1.4本文研究的主要工作和论文的组织

第2章入侵检测概述

2.1入侵检测的相关概念

2.2入侵检测模型及功能

2.2.1通用入侵检测模型

2.2.2入侵检测的主要功能

2.3入侵检测的分类

2.3.1根据检测数据来源分类

2.3.2根据检测所用技术分类

2.3.3根据工作方式分类

2.4入侵检测的一般工作流程

2.4.1信息收集

2.4.2信息分析

2.5入侵检测的主要研究方向

2.6本章小结

第3章特权进程系统调用技术

3.1特权进程系统调用的引入

3.2特权进程系统调用的意义及主要功能

3.3基于特权进程系统调用的入侵检测的相关研究

3.4特权进程系统调用的特征分析

3.5特权进程系统调用数据的主要优点

3.6本章小结

第4章贝叶斯MARS基础理论

4.1分类与回归的一般概念

4.2多元自适应回归样条

4.2.1递归分割模型

4.2.2 MARS模型

4.3贝叶斯学习

4.4马尔可夫链蒙特卡罗方法

4.4.1马尔可夫链

4.4.2马尔可夫链蒙特卡罗方法的基本思想

4.4.3 Metropolis-Hastings算法

4.5本章小结

第5章基于贝叶斯MARS的入侵检测算法实现

5.1入侵分类的相关工作

5.2基于贝叶斯MARS的入侵检测算法实现

5.2.1两类分类问题的MARS模型

5.2.2 MARS的贝叶斯形式

5.2.3贝叶斯MARS的马尔可夫链蒙特卡罗方法实现

5.3实验仿真及结果分析

5.3.1实验仿真环境

5.3.2实验数据介绍

5.3.3实验数据预处理

5.3.4实验步骤

5.3.5实验结果

5.4本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的成果

致谢