基于混沌同步与相关向量机的入侵检测算法研究

摘要

入侵检测技术是网络信息安全领域的一个重要研究分支。随着互联网应用的深化普及,网络黑客频繁出现,攻击方式不断增加,使得网络入侵检测技术成为计算机网络安全研究的热点,并对研究人员提出了更高的要求。入侵检测系统作为一种主动防御系统,是防火墙的重要补充,主要研究以往入侵信号的行为和特征,实现对新的入侵事件做出实时响应。本文把两种其他领域的方法引入到入侵检测领域,使检测的效率以及准确率都得到较大的提高。针对目前入侵检测系统已使用的ARMA等线性检测方法,本文引入了动力学的混沌同步思想,从非线性信号处理角度对网络数据进行检测。在数据建模上使用高斯混合模型(Gaussian mixture model,GMM)结合期望最大化(Expectation Maximization,EM)算法对网络数据流建模,估计GMM的三个参数向量。使用待检测网络数据流参数向量与正常数据流参数向量的差值作为Liu混沌系统的混沌同步控制量,如果待检测数据流存在入侵信号,波形会产生振荡,只要选取适当的判决门限即可准确判定入侵信号。最后利用MIT林肯实验室DARPA数据库对系统进行仿真实验,结果表明,本文提出的方法与ARMA模型相比,对入侵检测具有更高的检测率和更低的误警率。针对基于支持向量机(Support Vector Machine,SVM)等机器学习的非线性检测方法,本文引入了一种广泛用于图像识别领域的方法——相关向量机(Relevance Vector Machine,RVM)算法,对网络信号进行检测。先采用“删除特征”法对DARPA数据集中的42个特征进行评级,筛选出针对不同入侵类型的重要特征和非重要特征,通过仿真实验,证明了只选择重要特征进行RVM分类器的训练和测试,可以有效地提高分类器的检测率,并降低其误警率和减少检测时间。经过使用DARPA数据仿真,使用RVM可以获得与SVM相近的检测效果,但是检测速度相比于SVM大为提高,因此可以获得更高的检测效率。通过分析比较,本文引入的两种方法应用于入侵检测系统以后,均能使检测性能在原有方法的基础上获得一定的提升,并且可以达到实际使用的标准。

目录

摘要

Abstract

第1章 绪论

1.1 课题的目的和意义

1.2 入侵检测技术分类

1.3 入侵检测系统及其未来发展趋势

1.4 本文结构安排

第2章 入侵检测技术研究概况

2.1 ARMA 线性检测技术

2.1.1 预测模型简介

2.1.2 预测流程

2.1.3 ARMA 模型的自相关分析

2.2 基于SVM 的非线性检测技术

2.2.1 支持向量机的原理

2.2.2 支持向量机的优点

2.2.3 基于支持向量机的入侵检测系统

2.2.4 检测效果分析

2.3 DARPA 数据库介绍

2.3.1 DARPA 数据内容

2.3.2 入侵信号的分类

2.3.3 数据的选取

2.4 本章小结

第3章 混沌同步理论

3.1 混沌的研究概况

3.2 混沌的基本特性

3.3 混沌同步的原理

3.4 混沌同步的数学模型

3.5 本章小结

第4章 基于混沌同步的入侵检测模型

4.1 系统结构框架

4.2 高斯混合模型(GMM)结合期望最大化(EM)算法建模

4.3 基于Liu 混沌系统同步的入侵检测

4.4 计算机仿真

4.5 本章小结

第5章 基于RVM 算法的入侵检测模型

5.1 RVM 基本原理

5.2 RVM 与SVM 比较

5.3 计算机仿真

5.3.1 RV 与SV 稀疏特性与泛化能力比较

5.3.2 RVM 的仿真结果

5.4 本章小结

第6章 总结与展望

6.1 本文研究内容与创新点

6.2 未来研究工作展望

参考文献

致谢

攻读学位期间发表的学术论文