面向轻量级入侵检测系统的特征选择算法研究

摘要

目前轻量级入侵检测系统模型的研究主要表现在两个方面：分类器的参数优化和基于数据集的特征选择。在分类器参数优化方面，很多学者已经对某些知名的分类器进行改进，但效果不明显。我们从另一个角度：基于数据集的特征选择，来构建轻量级的入侵检测系统。因提取和处理的特征数目过多是导致入侵检测系统速度下降的主要原因，很多研究者通过特征选择来解决这个问题。特征数目和分类器性能之间并不存在线性关系，当特征数量超过一定限度时，会导致分类器性能变坏。实际上，有些特征没有包含或者包含极少的系统状态信息，它们对检测结果几乎没有影响。所以特征选择一去除冗余特征，噪音特征，保留能够反应系统状态的重要特征是提高检测速度的一个有效方法。 轻量级入侵检测系统不仅要有快速的建模时间，检测时间，而且还要保证较高的检测攻击的能力。针对基于特征选择的网络轻量级入侵检测系统，我们主要的贡献有： 1．对KDDCUP99数据集进行了详细的分类与整理。从训练集和测试集两个角度按照normal，dos，probe，u2r，r21五种类型进行整理，并且针对测试集攻击数据按照已知攻击和未知攻击两类进行分类。同时对KDD1999数据集中各种入侵类型以及其含有的全部41个特征进行了详细的描述。 2．对面向轻量级网络入侵检测系统的特征选择算法进行分类，比较和总结。对基于特征选择的轻量级网络入侵检测系统进行调研，在该领域把面向轻量级网络入侵检测系统的特征选择算法按照filter，wrapper，hybrid分成3类，并且在统一的实验平台下比较了基于这3类特征选择算法的入侵检测系统的性能以及各自优缺点。 3．提出了基于主成分分析和决策树的hybrid特征选择算法。filter特征选择算法特征选择速度快，效率高，但是在其选出的特征子集上构建的入侵检测系统性能表现差。wrapper特征选择算法把在数据集上训练的分类器作为特征子集的评估工具，只有那些对分类效果好的特征子集被选择出来，但是它的特征选择时间长。针对这两种类型的特征选择算法的优缺点，本文提出了一种基于主成分分析和决策树的hybrid特征选择算法。基于该算法建立的入侵检测模型具有较好的异常检测率。 4．把入侵检测系统在未知攻击上的检测能力引入到特征选择算法有效性验证中，并且提出一种高效的wrapper特征选择算法wrapper特征选择算法在特征选择的效果上表现优异，但是需要很长的特征选择时间。我们提出了一种高效的特征选择算法，它可以克服wrapper特征选择算法选择时间长的问题，同时又具有很好的效果。该算法包含两个部分：搜索策略－改进的随机变异爬山MRMHC（Modified Random Mutation Hill Climbing）；评价函数－决策树C4．5算法。改进的搜索策略克服了爬山算法爬山能力差的劣势，形成了爬山能力强的改进的搜索策略；C4．5提高了分类器的训练速度，加快了特征选择的进程。在该领域首次把入侵检测系统在已知攻击和未知攻击上的检测能力区分开，并且把检测系统在未知攻击上的检测能力作为特征选择算法有效性验证的一个重要因素。

目录

文摘

英文文摘

声明

第1章引言

1.1研究背景和研究意义

1.1.1当前互联网面临的安全问题

1.1.2入侵检测系统

1.1.3面向入侵检测系统的特征选择算法概述

1.2本文的贡献

1.3论文的组织

第2章相关工作

2.1特征选择的数学模型及一般过程

2.2遗传算法及遗传算子

2.2.1遗传算法

2.2.2遗传算子

2.3特征选择算法分类

2.3.1 filter特征选择

2.3.2 wrapper特征选择

2.3.3 hybrid特征选择

第3章 基于MRMHC-C4.5的特征选择算法

3.1相关研究

3.2特征选择算法

3.2.1 C4.5算法

3.2.2 MRMHC搜索策略

3.3基于特征选择算法的轻量级入侵检测系统

第4章 系统实现及评测

4.1原始数据中网络连接信息预处理

4.2面向网络连接信息的特征提取

4.3实验数据归类整理

4.4三种类型特征选择算法实现与评测

4.5 MRMHC-C4.5实现与评测

4.5.1实验方案设计

4.5.2实验结果分析

4.6本章小结

第5章结束语

5.1本文主要贡献与创新

5.2下一步研究方向

致谢

参考文献

附录

个人简历 在读期间发表的学术论文与研究成果