基于數(shù)據(jù)引力的分類方法及網(wǎng)絡(luò)異常檢測(cè)模型的研究.pdf

1、近年來(lái)，伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)入侵事件也日益猖獗，而傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如反病毒技術(shù)和防火墻技術(shù)要防范入侵比較困難，這就使得入侵檢測(cè)成為網(wǎng)絡(luò)安全研究體系中的一個(gè)重要的組成部分。在入侵檢測(cè)技術(shù)中，基于規(guī)則的誤用檢測(cè)技術(shù)發(fā)展比較成熟，但由于該項(xiàng)技術(shù)的一些本質(zhì)局限性，使其成為入侵檢測(cè)技術(shù)中的一種低級(jí)形式，發(fā)展空間也相對(duì)有限。而異常檢測(cè)技術(shù)作為入侵檢測(cè)技術(shù)的一種比較高級(jí)的形式，已經(jīng)成為入侵檢測(cè)研究領(lǐng)域的熱點(diǎn)。異常檢測(cè)技術(shù)最大的優(yōu)勢(shì)在于它

2、能根據(jù)已知的入侵模式檢測(cè)出未知的入侵。數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)等許多技術(shù)都可以用于建立異常檢測(cè)模型。 本文將物理世界中的萬(wàn)有引力概念和萬(wàn)有引力定律引入到數(shù)據(jù)分類問(wèn)題中，提出了一種新的數(shù)據(jù)分類方法DGC(DataGravitationbasedClassification)，并基于該理論建立了一種高效的異常檢測(cè)模型。DGC將數(shù)據(jù)空間中各數(shù)據(jù)點(diǎn)之間的相似性定義為數(shù)據(jù)引力，認(rèn)為數(shù)據(jù)空間中任何兩個(gè)數(shù)據(jù)點(diǎn)之間都存在數(shù)據(jù)引力，克服了傳

3、統(tǒng)數(shù)據(jù)挖掘技術(shù)中用局部聯(lián)系的觀點(diǎn)對(duì)待數(shù)據(jù)的缺陷。在數(shù)據(jù)引力的基礎(chǔ)上，本文提出了數(shù)據(jù)空間中數(shù)據(jù)引力定律，給出了數(shù)據(jù)引力的計(jì)算方法，并通過(guò)對(duì)數(shù)據(jù)引力大小的比較，對(duì)數(shù)據(jù)進(jìn)行分類。 在DGC理論的基礎(chǔ)上，本文針對(duì)異常檢測(cè)中特征選擇的問(wèn)題，進(jìn)一步提出了特征加權(quán)的思想，并用一種嘗試性隨機(jī)選擇算法對(duì)特征的權(quán)值優(yōu)化。在DGC算法模型中通過(guò)對(duì)加權(quán)特征進(jìn)行選擇，建立了DGC的改進(jìn)算法模型WDGC(Feature-WeightedDGC)。

4、通過(guò)對(duì)數(shù)據(jù)挖掘中的高維度數(shù)據(jù)的自動(dòng)子空間聚類算法(CLIQUE)研究，本文借鑒CLIQUE聚類算法關(guān)于高維度數(shù)據(jù)空間單元?jiǎng)澐值乃枷?，將該思想引入到異常入侵檢測(cè)中，提出了一種基于高維度數(shù)據(jù)單元?jiǎng)澐炙惴℉DUP(High-DimensionDataUnitPartition)，并基于該算法理論建立了一種對(duì)高維度入侵檢測(cè)數(shù)據(jù)有效的異常檢測(cè)模型。 實(shí)驗(yàn)結(jié)果表明，基于DGC/WDGC和基于HDUP的異常檢測(cè)模型與傳統(tǒng)的異常檢測(cè)模型如神經(jīng)網(wǎng)

5、絡(luò)、C4.5決策樹(shù)等相比，有著比較高的檢測(cè)精度，并且在誤報(bào)率和漏報(bào)率等各項(xiàng)重要評(píng)價(jià)指標(biāo)上均有比較理想的效果。 在異常模型建立的理論工作之外，本文研究了幾類典型的攻擊，分析了它們的特征，在此基礎(chǔ)上，研究并實(shí)現(xiàn)了幾種原始數(shù)據(jù)的采集方式。這幾種原始數(shù)據(jù)的采集方式涵蓋了主機(jī)網(wǎng)絡(luò)數(shù)據(jù)包的采集、OS審計(jì)日志和網(wǎng)絡(luò)流量統(tǒng)計(jì)特征的采集等各方面。在原始數(shù)據(jù)的預(yù)處理方面，本文以KDD99入侵檢測(cè)數(shù)據(jù)集的特征集為框架，采用該特征集的一個(gè)有效子集對(duì)原始