论文部分内容阅读
在入侵检测的背景下,如何选择正确的入侵检测技术已经引起许多研究人员的关注。误用检测技术对于一些常见的攻击具有很好的检测效果;异常检测技术提供了检测未知攻击的能力。然而在本文实际研究中发现,这两类方法还存在一些问题:误用检测无法检测到新的攻击,异常检测会影响系统性能。针对上述问题,入侵检测系统既要能够检测出未知攻击又要能够根据环境变化动态选择检测策略。一个可以根据环境变化来选择入侵检测策略的自适应方法是解决入侵检测设计的关键。因此本文通过量化分析当前环境安全态势以及预测未来安全态势来动态选择安全检测策略,运用数据挖掘技术进行异常检测,本文的研究工作和取得的主要研究成果如下:(1)提出了自适应空间的构建方法。自适应空间分为状态空间和策略空间,在构建状态空间时,采取简单权重法,实现了对安全态势的评估;之后利用灰色理论不需要样本规律性分布的特性对未来安全态势值进行预测。得到的预测值根据阂值判断,来选择策略空间的检测策略,从而实现根据环境变化自适应选择入侵检测策略。该方法通过表达式将难以确定的安全态势进行量化分析,并且对未来安全态势进行预测,可以更快的检测到某些入侵发生。(2)将孤立森林算法应用于入侵检测,并且针对算法对入侵数据高维特性处理效果不足的问题,利用Rough Set提取关键属性。孤立森林算法利用“随机切分”思想,而异常数据远远少于正常数据,所以异常数据首先被切分出来。且该算法对内存要求不高,具有线性时间复杂度,适合用于入侵实时检测。而粗糙集属性约简可以去除冗余属性,保留影响结果的重要属性,可以降低数据维度。两种方法相结合能够更好的找出异常数据,能够实现对未知攻击的检测。(3)将谱聚类算法应用于入侵检测,并对相似矩阵进行了改进;对于入侵检测当中出现的噪声数据,利用基于角度和的离群点检测方法进行处理。谱聚类适合处理任何形状的数据,而且对输入数据顺序不敏感,很适合用于入侵检测。聚类之后根据正常数据类数目远大于异常数据数目,来区分正常/异常类。