入侵检测系统中基于代价敏感分类算法的研究

摘要

入侵检测是对传统网络安全防御机制的一种补充，由于提高了网络与系统安全的主动保护能力，目前己成为网络安全领域中的重要研究方向之一。但是传统的入侵检测系统存在着自适应性差、误报漏报、数据过载等问题，针对这些问题，将数据挖掘应用到了入侵检测系统中来。数据挖掘领域直接应用机器学习技术在变化的环境下从数据仓库中自动学习出模型。机器学习中的两个最重要的目标是准确性和效率，过去侧重于一般算法的研究，期望减小复杂性以提高准确性和效率，这样便产生了一些简化了的、错误的假设：错误的认为可以花费任何计算的代价自由获得数据的所有特征；错误的假设训练集中的每项数据都是同等重要的，具有相同的代价；而在实际的入侵检测系统中，不同特征的计算代价不同，并且只有低代价特征学习出的模型所产生的预测才具有实用价值；各个训练实例的重要程度也不同，产生的误分类代价具有很大的差异。 本中将致力于上面提到的特征代价和误分类代价方面的代价敏感性的研究，由于入侵检测涉及大量数据，而且入侵模式也在不断变化，所以它对特征代价和误分类代价有严格的要求。文章重在寻求一般的、算法独立的解决办法，这样可以使现存的大量归纳学习算法能容易的介入，于是采用了复合方法来解决代价敏感的学习问题。 针对特征代价的要求，本文介绍了一种n步连续复合的方法用于实时模型的开发，该方法先使用低特征代价的分类器，只有当低特征代价的分类器达不到预测的精确时才使用高特征代价的分类器，这样产生的操作代价明显的小于利用所有可用代价构造的分类器，而且预测精度保持不变。 误分类代价的问题是本文的主要研究工作。可适应推进算法是前人提出的一个连续生成弱分类器来分类加权实例并根据分类结果调整训练实例权值分布的机器学习过程。该算法从具有不同分布的同一个训练集中学习一系列弱分类器，最后将这些弱分类器加权复合成分类性能很好的强分类器。本文对该算法进行了改进：其一是给每个训练实例一个代价因子来表示其重要程度，代价因子的大小与该实例的误分类代价成正比；其二是将误分类代价引入到训练实例的权值调节规则上，代价高的实例就会获得更大的权值，这样做的结果使每次迭代生成的弱分类器把注意力更多地集中在那些权值较大的、难于分类正确的训练实例上，从而通过组合多个弱分类器找到高度精确的强分类器。 改进后的算法在预测精度上变化不大，但是，在复合分类器生成的过程中，通过对每个弱分类器选择适当的权值可以使累积训练的误分类代价减小。最后通过仿真实验验证了改进后的算法在减小累积误分类代价方面优于先前的算法。

目录

文摘

英文文摘

第一章绪论

1.1研究内容和意义

1.2论文安排

第二章入侵检测系统综述

2.1入侵检测系统

2.2目前入侵检测系统存在的问题

2.3研究意义

第三章基于数据挖掘的入侵检测系统

3.1数据挖掘技术

3.2基于数据挖掘技术的入侵检测系统的主要优点

3.3基于数据挖掘的入侵检测系统的研究现状

3.4基于数据挖掘的入侵检测系统的体系结构

3.5基于数据挖掘的主要入侵检测方法

3.5.1基于聚类的方法

3.5.2基于判定树的方法

3.5.3基于神经网络的方法

3.5.4基于关联规则的方法

3.5.5基于序列模式的方法

第四章复合分类器和相关的工作

4.1分类器

4.2复合分类器

4.2.1训练独立的分类器

4.2.2独立分类器的复合

第五章基于代价敏感的入侵检测模型

5.1入侵检测代价因素和机制

5.2入侵检测代价模型

5.2.1减少操作代价

5.2.2减小综合代价

第六章降低误分类代价的改进算法

6.1可适应推进算法

6.1.1可适应推进算法的描述

6.1.2可适应推进算法存在的问题

6.2可适应推进算法的改进

6.2.2累积误分类代价的上界

6.2.3对每个弱分类器选择适当的权值来减小累积误分类代价

6.3实验

6.3.1采用的数据集

6.3.2确定代价因子的大小

6.3.3确定代价调节函数

6.3.4训练与测试

6.3.5实验结果

第七章结论

7.1主要的工作和贡献

7.2今后的工作

参考文献

致谢

攻读学位期间发表的学术论文