基于非均衡數(shù)據(jù)分類的高速網(wǎng)絡(luò)入侵檢測研究.pdf

1、隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，層出不窮的網(wǎng)絡(luò)攻擊所造成的危害越來越大，網(wǎng)絡(luò)安全面臨著嚴(yán)峻的挑戰(zhàn)。如何在高速網(wǎng)絡(luò)環(huán)境下及時(shí)、高效地處理大量的網(wǎng)絡(luò)數(shù)據(jù)包和降低誤報(bào)率是目前網(wǎng)絡(luò)入侵檢測系統(tǒng)面臨的一個(gè)主要難題。對(duì)高速網(wǎng)絡(luò)環(huán)境下的入侵檢測系統(tǒng)模型進(jìn)行了研究，提出了基于負(fù)載均衡機(jī)制的兩階段入侵檢測模型—TSMBLB模型?；谠撃Ｐ停岢隽嗣嫦蚍謱訖z測的攻擊分類方法。由于入侵檢測系統(tǒng)中所要處理的數(shù)據(jù)是海量的、非平衡的，因此，在TSMBLB模型的

2、離線建模階段采用了非平衡數(shù)據(jù)分類技術(shù)建立檢測模型。主要?jiǎng)?chuàng)新成果如下：
　　 ⑴針對(duì)高速網(wǎng)絡(luò)入侵檢測系統(tǒng)在處理速度上的不足，提出了TSMBLB基于負(fù)載均衡機(jī)制的兩階段入侵檢測模型。整體上分為在線檢測和離線建模兩個(gè)階段，在線檢測階段通過負(fù)載均衡器把從網(wǎng)絡(luò)中截獲的數(shù)據(jù)按負(fù)載均衡算法分流給多個(gè)檢測器，各個(gè)檢測器檢測的結(jié)果提交給分析主機(jī)進(jìn)行分析處理。離線建模階段是對(duì)已有的數(shù)據(jù)集經(jīng)過預(yù)處理器，采用與在線檢測階段相同的負(fù)載均衡算法進(jìn)行分流，然

3、后對(duì)各部分?jǐn)?shù)據(jù)分別學(xué)習(xí)建模，建立的模型用于在線檢測。該模型通過負(fù)載均衡的機(jī)制加快數(shù)據(jù)處理速度，用異常檢測的方法來檢測新的攻擊。
　　 ⑵為了使攻擊檢測系統(tǒng)化，構(gòu)造高效的檢測方法，提出了面向分層檢測的攻擊分類方法?；赥SMBLB模型，根據(jù)系統(tǒng)能及時(shí)檢測攻擊的先后順序?qū)舴诸?，把檢測任務(wù)分階段交給各自檢測器完成，各檢測器之間遵循：如果能在高層檢測到，在低層中就不要再檢測的原則，這樣可以保證分類無重復(fù)，而且也簡化了檢測過程，提高了

4、檢測效率。
　　 ⑶針對(duì)網(wǎng)絡(luò)入侵檢測系統(tǒng)對(duì)少數(shù)類攻擊檢測率低的問題，設(shè)計(jì)了一種基于TSMBLB模型的非均衡數(shù)據(jù)分類框架。采用Relief方法進(jìn)行特征選取、改進(jìn)的SMOTE過抽樣增加少數(shù)類，采用集成學(xué)習(xí)AdaBoost和隨機(jī)森林算法建立分類器，分層10折交叉驗(yàn)證方法對(duì)預(yù)測模型進(jìn)行了評(píng)估，用精確度、召回率、F度量值和ROC曲線對(duì)分類性能進(jìn)行了比較。實(shí)驗(yàn)結(jié)果表明，該框架可有效提高少數(shù)類攻擊的檢測率。
　　 ⑷由于網(wǎng)絡(luò)數(shù)據(jù)包中存

5、在大量的“無用”和“噪音”樣本，提出了基于最近鄰的快速分層重抽樣方法FHNN。把原數(shù)據(jù)集劃分成幾個(gè)子集并對(duì)每個(gè)子集分別重抽樣，把重抽樣結(jié)果合并即為目標(biāo)樣本集。對(duì)每個(gè)子集中重抽樣時(shí)，先從子集的每個(gè)類中隨機(jī)抽出一個(gè)樣本作為構(gòu)造子集，然后用構(gòu)造子集對(duì)子集上的每個(gè)樣本最近鄰學(xué)習(xí)，分類不正確則加入構(gòu)造子集。結(jié)果表明，F(xiàn)HNN方法不僅可以很好的刪除噪聲數(shù)據(jù)和冗余信息，尤其是類區(qū)域內(nèi)樣本，減小數(shù)據(jù)的不平衡度和樣本總量，而且由于算法時(shí)間復(fù)雜度是線性階的