论文部分内容阅读
入侵检测技术是一种重要的动态安全防护技术,现已成为信息安全中的一个重要研究方向,可分为异常检测和误用检测,本文将主要研究异常检测。异常检测首先要构建正常行为的模型,然后将当前行为与模型进行比较来检测入侵。在理想情况下,异常检测具有很高的检测率,而其关键在于模型的建立和各种阈值的确定。目前,异常检测研究方法主要有数据挖掘、神经网络、人工免疫和隐马氏模型(HMM)等。
传统异常检测的HMM对初值十分敏感,在实际训练中极易得到局部最优模型参数。有文献提出了将遗传算法(GA)和Baum-Welch算法结合而形成一个新的混合GA算法,采用混合GA算法训练HMM的参数,得到了优于传统Baum-Welch算法的训练参数模型,并成功地应用到语言识别问题的研究当中。另有文献认为在入侵检测系统中,“正常和异常出现序列”一般体现了入侵的紧急程度,而“正常和异常出现序列”少见往往意味着更危险的入侵的这一情况,从而提出了紧急级别的概念,引入了HMM来检测紧急异常。目前,基于HMM和混合GA算法在入侵检测特别是紧急异常检测中还未见应用。基于以上研究的启发,本文主要研究了基于HMM和混合GA算法的紧急异常检测,相关研究工作要点如下:
(1)把采用混合GA算法来训练HMM参数的方法引入到紧急异常检测中。与Baum-Welch算法相比,混合GA算法训练HMM得到的模型参数更优。
(2)设计了基于HMM和混合GA算法的紧急异常检测系统模型框架,对模型中的训练模块和检测模块给出了流程描述。
(3)为了减少计算量,采用Java实现的K均值聚类算法对KDDCUP99数据进行预处理,以此完成对“正常和异常出现序列”的正常和异常状态的构建。
(4)用Java分别实现了基于HMM的紧急异常检测与基于HMM和混合GA算法的紧急异常检测。对比这两个实验,其结果表明基于HMM和混合GA算法的紧急异常检测对紧急级别划分的比较理想。