论文部分内容阅读
在信息安全领域中,入侵检测是一种监控和分析系统事件的安全服务,其目的在于发现未授权方式下试图访问系统资源的行为和提供实时或准实时报警,并可分为误用检测和异常检测。在异常检测中,可引入软计算方法。
软计算由若干种软计算方法构成,包括神经元网络、支持向量机、模糊集合理论、近似推理及一些非导数优化方法,如基于熵的计算、遗传算法、人工免疫和蚁群算法等等。现时期,单一软计算方法用于异常检测有其局限性,比如说仅把人工免疫用于入侵检测系统中,所用的连续位匹配算法对多个分离特征区间的数据进行判定时,作用不明显,所以引入条件熵对高维数据集进行属性约简,但是由此引起了漏报率过高的问题,进而引入遗传算法来进化出最优种群。本文通过条件熵、遗传算法和人工免疫这三种软计算方法的结合来提高入侵检测的检测效率、降低漏报率和发现未知类型的攻击。综合以上几个方面,本文所做工作如下:
(1)分析了信息论中条件熵在高维数据集中的应用,并运用条件熵降低KDDCUP99数据集的维数,即对有42维属性的KDDCUP99训练集,分别计算前41维条件属性和第42维决策属性的条件熵,然后按条件熵的值进行升序排序,就能发现条件属性相对于决策属性的重要程度,从而通过实验效果依次删除直到m维。实验结果表明该算法可以把KDDCUP’99数据集的维数降低到一定程度,而且几乎不影响入侵检测的效果。此项研究结果将用于遗传算法的训练。
(2)分析了二进制编码和实数编码遗传算法在入侵检测应用中的不足,本文采用二进制和实数混合编码,保证了搜索空间和较低的空间复杂度。实验结果表明改进后的遗传算法比标准遗传算法收敛速度快,比实数编码的空间复杂度小。此项研究将用于人工免疫初始抗体的生成。
(3)为了提高对未知攻击的检测,将人工免疫算法应用到入侵检测中,并且对人工免疫算法同样采用二进制与实数混合编码。同时,本文引入基于条件熵的属性约简算法和遗传算法,对将要检测的数据进行预处理和生成抗体基因库,有效降低了待检测数据的冗余,而且保持了抗体基因的优化状态和适应性。实验结果表明,该算法能够有效地发现未知类型的攻击。