论文部分内容阅读
随着计算机网络尤其是Internet技术的迅速发展,网络在我们日常的生活、学习和工作中发挥着越来越重要的作用。而在网络迅速增长的同时,越来越多的敏感信息被在线存储与管理,网络更容易受到各种恶意或非法用户的攻击,使信息的机密性、完整性和可用性得不到保证,因此,网络安全已变得极其重要。诸如用户鉴别、防火墙等传统的被动防御网络安全技术,已不能完全满足网络安全的需要:作为网络安全第二道防线的入侵检测系统是一种主动动态信息安全防范技术,它集检测、记录、报警、响应于一体,不仅能检测出来自外部网络的入侵行为也能监督内部网络用户的未授权活动,因而,它成为当前的热门研究领域。入侵检测从技术上分为误用检测和异常检测,误用检测一般不能检测出新型或未知的攻击。近几年出现的基于数据挖掘的入侵检测方法采用不含攻击的纯净数据进行训练,建立起反映用户正常行为的规则集,根据当前行为和正常行为规则集的偏离程度来判定是否存在攻击。该方法能够检测出从未发生过的新型未知攻击,然而纯净的训练数据在真实的网络环境中往往难以获得,而且代价高昂。再者,若在此训练集中隐藏着未发现的入侵攻击行为,则用此数据集构建的检测模型不能有效检测出此攻击,因为它们被看作正常的行为。与之相比,本论文提出的基于无监督神经网络的入侵检测系统,它们无需大量带标识的、用于标明各种攻击的训练数据,而只需要寻找和定义正常的聚类,因此,它们具有在不具备任何先验知识的情况下发现新型攻击的能力。本论文以基于无监督神经网络的入侵检测技术为研究内容,以提高检测算法对未知入侵的检测有效性为目标,从检测率和误报率两个重要指标出发,以聚类分析为主线,提出新的聚类入侵检测算法和模型,并进行计算机仿真实验。本论文主要做了以下研究工作:①介绍了入侵检测的基本概念、原理、分类和发展;介绍了神经网络的基本概念、结构、功能及学习算法,并由此引入了基于神经网络的入侵检测技术;分析了基于神经网络的入侵检测技术现状、种类和技术特征;提出了基于无监督神经网络的入侵检测模型,并介绍了这种模型的优点。②介绍了自组织特征映射SOFM的基本原理,提出利用自组织特征映射SOFM进行网络入侵检测,并设计出相应检测过程和算法。详细阐述了利用国际权威KDD Cup 99入侵估计数据库时,选取能反映多个数据连接之间内在联系的41维特征,可以使入侵检测系统检测出隐藏在多个数据连接内的攻击。通过对实验数据集的仿真实验表明,这一新型算法具有较高的检测率、较低的误报率。③自适应共振理论ART网络是一种无监督的、能较好地解决“稳定性可塑性二难问题”的神经网络,适用于平稳和动态的各类环境,是理想的动态聚类算法。入侵攻击行为类型数目未知并且随时间和空间变化。ART网络的优点使其适合于入侵检测。传统的ART-2网络存在“预处理信号畸变”和“同相位不同幅值不可分”问题,影响其分类性能,针对此情况,采用新的非线性变换函数和竞争层学习算法避免了传统ART-2神经网络的这两个问题,并将这种改进的ART-2算法用于入侵检测中。计算机仿真结果表明,改进的ART-2神经网络更适合用于当今入侵手段不断变化情况下的入侵检测,可以实现对入侵的实时检测并识别出新型未知入侵,检测率较高,误报率较低。④在对传统Fuzzy ART算法在模式分类问题中存在的问题进行深入分析的基础之上,提出了一种改进的模糊自适应共振理论IFART算法,该算法能有效地克服原算法中存在的“饱和”现象,还能降低原算法的计算复杂度。网络安全具有模糊性,入侵检测中包含许多数值属性的特征,这些特征可能会导致“尖锐边界问题”,从而会导致误报和漏报的产生。针对此情况,提出了基于改进的模糊自适应共振理论IFART的入侵检测算法。计算机仿真结果显示,该算法能够检测新型未知入侵,其检测率和误报率保持了较好水平,表明该算法对入侵检测的可行性和有效性。