基于自适应多掩码抽样的入侵检测系统研究

摘要

随着网络的发展，网络的安全受到了越来越大的挑战。越来越复杂的网络入侵方式使得入侵检测技术的研究得到了国际社会的高度重视。虽然入侵检测技术在近年来获得了飞速的发展，但是其误报率和检测率，以及对巨大的数据流量进行采集、存储、分析等问题依旧是制约入侵检测技术发展的关键问题。本文通过对入侵检测系统的结构进行研究，发现影响入侵检测系统准确性的关键是数据收集模块和数据检测模块。在对数据收集模块进行深入研究时，发现多掩码抽样算法具有很强的随机性，能够对流量进行缩减，但是其固定的抽样率很难适应当今多变的高速网络；在对数据检测模块进行深入研究时，发现基于k-近邻算法的入侵检测系统和基于单类支持向量机(OC-SVM)的入侵检测监测系统在误报率和检测率方面都各具有优缺点，针对发现的问题，本文进行了改进。
　　本研究主要内容包括：⑴针对多掩码抽样算法固定抽样比率的问题，提出了基于自适应的多掩码抽样算法。改进的算法首先需要设定一个最大阀值和一个最小阀值，在链路的流量急剧增加的情况下，如果在一定时间内捕获的样本数量大于最大阀值，那么算法便会相应的降低抽样比率，防止占用过多的链路带宽和计算、存储资源；如果在一定时间内捕获的样本数量小于最小阀值，便增大抽样比率，增强系统对网络平稳期的警觉性。使用NS-2仿真软件，构建一个局域网，添加多种流量。在某一个时刻，通过添加更多的应用层服务来瞬间增加链路流量，设定一个计数器来记录收集到的数据分组的数量，并且在之后的某个时刻，通过减少应用层服务来瞬间降低链路流量，用改进的算法进行实验，验证了改进是有效可行的。⑵针对其高误报率和漏检率的问题，提出了一种基于k-近邻法和单类支持向量机(OC-SVM)的入侵检测方法。数据收集模块收集到的数据首先经过k-近邻检测模块的筛选得到正常数据和异常数据两个分组，由于k-近邻方法具有较低的检测率，因此在正常数据中掺杂着较多的未被检测出来的异常数据。接下来将此正常数据集作为单类支持向量机的输入，在其高检测率的特点下，可以检测出其中被漏掉的绝大部分异常数据。使用MATLAB对方案进行实验证明，运用KDD CUP99公用数据集，选取训练数据集和检测数据集，然后通过对训练集进行训练建立模型，最后使用选取的检测数据集对模型进行预测，验证了这种新的方法具有高检测率低误报率的特点。

目录

声明

第1章 绪论

1.1 课题研究的背景与意义

1.2 国内外研究现状及趋势

1.3 入侵检测的必要性

1.4 论文的主要工作

第2章 入侵检测系统研究

2.1 数据流量抽样理论

2.2 入侵检测系统理论

2.3 支持向量机理论

第3章 基于自适应的多掩码抽样算法

3.1 多掩码抽样算法

3.2 基于自适应的多掩码抽样算法

3.3 仿真实验

3.4 本章小结

第4章 基于k-近邻和单类支持向量机的入侵检测系统研究

4.1 单类支持向量机在入侵检测中的应用

4.2 k-近邻法在入侵检测中的应用

4.3 k-近邻法和单类支持向量机的混合方法

4.4 仿真实验

4.5 本章小结

第5章 总结与展望

5.1 工作总结

5.2 下一步展望

参考文献

在读期间发表的学术论文及研究成果

致谢