模式识别方法在入侵检测中的应用.pdf
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《模式识别方法在入侵检测中的应用.pdf》由会员分享,可在线阅读,更多相关《模式识别方法在入侵检测中的应用.pdf(4页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 1994-2010 China Academic Journal Electronic Publishing House.All rights reserved.http:/模式识别方法在入侵检测中的应用姜楠天津大学计算机科学与技术学院,天津摘要将模式识 别方 法应用到 入 侵 检测领域,用以区分正常和异常的 用户或主机行为。采用作为实验数据集,通过计算信息增益,从原始数据中选取对分类结果影响较大的特征 属 性再分 别选取两种带监督的模 式识 别 方 法支持向量机和多层神经网络以及两种不带监督的聚类方 法一和一进行 实验。实验结果表明,上述方 法在入 侵 检刚领域中具有很好的应用前景。关键词
2、模 式识别入侵检测支持向量机聚类盯,洲,二叩叩,卿,比,卯一,少叱一呷,而厕人侵监测 系统 在 信 息安全领域具 有重 要的应用价转化 为大约百 万条记录。每条记 录包含个字段,其值。人侵检测 系统需要以较 高的检测率和较低的误报率中第到第字段为特征属性。特征 属性 描述 网络会区分正常和异常的用户或主机行 为。从某 种意义 上讲,话信息,包括连接时间、端口、源地址、目的地入侵检测问题可 以看作是一个分类问题,因此笔者将模址等。第字段为标记字段。每条记录都被标记为正常式识别中的分类和聚类方法 应用到人侵检测领域。并且或者是以下四种特定类型的异常行 为之一在应用中基于以下三个 直观假设正常和异
3、常行 为拒绝服务攻击非授权远 程访 问具有较大差异属于同一种类型的异常行 为有较大的非授 权使用本地超级用户 特 权扫描 攻相似性某 种 特定的异 常行 为在不同的环境中可能击。通过修改参数而产生很大变化。同时选取模式识别中两在实验中,加人了两种新的标记取代原始标记。种带监督的分类 方法支持向量 机和多层神经网二元标记如果一条记 录是异常行为,标记 为如络,训 练 它们识别正常行为和异常行为以及识别果一条记 录是正常行 为,标记 为一。异常行为类型标每种不同的异常行为。由于在实际的应用 中,通常没有记根据异常行 为类型标记数据集正常一,标 识好的训练数据,不能直接使用带监督的方法,因此,。选取
4、两种不带监督 的聚类方法一和一特征属性 的选 取,作为带监督方法 的有效补充。由于记 录中有些特征属性与分类结果无 关,在分类实验 数 据过程中采用这些特 征属性将增加时间复杂度,同时很可本 文采用仃实验室在仿 真环境下获 取的能降低检测率。因此,为获得更高效的分类和聚类,利用数据集,记录个星期内的原始网络数据包,并信息 增 益 的方法,选 取 对分 类结 果 影响 较 大的特 征属电子技术应用年第期次迎仃 灼电子技术应用 兀旧年合仃光直 1994-2010 China Academic Journal Electronic Publishing House.All rights reserv
5、ed.http:/性。具体方法如下计算具有个不同值 的标记字段的嫡万二 一艺,计算标记字段对每个特征属性的条件嫡万一二一艺,、艺,、,、计算对每个耳的信息增益二一较大的值,表示耳对分类的贡献较大。实验中采取保守估计,设定信息增益的 阑值为,即选取信息增益大于的特征属性 用于实验。最终,针对标记,共选 取了个 特 征属性而针对标记,选 取了个特征属性。带监督的方法在所有带监督 的模 式识别方法中,选取具有广泛应用的支持 向量机 和多层神经 网络方法,训练它们识别正常行为和异常行 为以及识别不同类型的异常行 为。支持 向,机作为较优秀 的线性分类器 之一,支持 向量 机 的重 要特性是分类器只与支
6、持 向量的数目相关,这些支持向量有助于分 析和 了解最有 效划 分的不同类别的特 征 属 性的值。与此同时,支持 向量机 还支持核函数,在不增 加计 算量 的前提下将原特征 属性空间投影到高维空间,使其可以应对非线性可分 的数据集。在 实 验 中,采用函数 库构 建 支持 向量 机分类器,并分别对加人标记和加入标记的数据集进行 实验。实验数据选 取原始个特征 属 性和缩 减后的个特征属性或 者个 特征 属性,停止阑值为。因为支持向量 机只能区分两个数据类,故将加人功 标记 的数据集按照异 常行 为类型分成个子数据集进行测试,每个数据集包含惟一一种异常行为以及所有的正常数据。结果如表所示,其 中
7、代表支持向量的数目。表支持向机分类结果针 对皿的分类结果分类率个特征属性个 特征属性针对功的分类结果高训练效率的同时还有效地提高了分类准确率。针对扫描以及攻击,支持向量机能够达到的分类率,而和攻击也有接近的分类率。此外,通过分析支持 向量,能够总结出区分各种异 常行 为的最有效特征属性。从协议类型特征 属 性可以发现,扫描攻击倾向于使用协议 从几服务类型特征属性可以发现,扫描攻击经常访问服务从几 目的字节 特征属性可以发现,探测攻击传输较少的字节数从登陆 特征属性可以发现,和攻击发生在登陆之后从坛数目特征 属性可以发现,被 探测攻击的服务器倾向于初始化更多的连接数。多层神经 网络一个多层的神经
8、 网络由一定数目的节点组成,所有节点被分成输人层、输出层 和若干个隐藏层。不同层中的节点通过不同权重的链接关联起来。实验 中,将选 取的特征属性的值作为输人,通过 基于梯度下降的反向传播算法迭代计算权重值,直至达到规定的迭代次数。实验 中,使用原始个特征 属性 的数据进 行实验。对加人标记的数据集,统计不同隐藏节点数目的神经 网络的分类率。对加入标记的数据集,统计个隐藏节点的神经网络给出的分类结果。具体参数设置如下输人节点数,输出节点数或,迭代次数。分类结果如表所示。当隐藏节点数目为时可以达 到较优的分类率,继续增加 隐藏节点的数目不会 进一步优化分类结果。表多层神经网络分类结果对加人标记的数
9、据集 分类结果隐藏节点数分类率使用个 隐藏节点对加 人助标记的数据集分类结果异常行 为类型分类率异常行为类型个特征属性分类率个特征属性分类率可见,通过信息增益方法选 取特征 属性的操作在提不带监督 的方法通过实验可以看出,带监 督 的方法 可以通过训练达到较高的检测率。然而,在实际应 用过程中,目前没有可靠的方法来获取正确标识 的训练数据。因此在实验 中同时选取了不带监督的模式识别方法中的两种聚类算法,一哪和一在现实网络环境 中,正常数据的数量通常远远大于异常数据的数量,而且 二者之 间通常有比较大的距离。因此 通过聚类算法将正常数据分成 几 个大的类,同时将巧次迎网上投稿刃。电子技术应用年第
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 模式识别 方法 入侵 检测 中的 应用
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内