论文部分内容阅读
近年来,计算机技术和网络技术飞速发展,与人们生活的联系越来越紧密。人们享受着网络带来的各种便利的同时也受到了多种网络攻击的侵害。DoS(Denial of Service)攻击是目前网络环境中广泛存在的威胁,攻击者通过使用伪装或欺骗技术,利用网络协议或者操作系统的缺陷,不断消耗网络带宽和系统资源,导致网络瘫痪,使目标主机无法响应合法用户的正常访问请求。DoS攻击发动策略简单,攻击范围广,造成的经济损失巨大,严重影响网络的正常运行,而且防范DoS攻击会花费较大的人力和物力。DoS攻击逐渐成为网络中一种强大的攻击方式。 为了改善DoS攻击检测中,检测方法检测率低,漏报率较高,计算复杂,计算量大的情况,该文在机器学习的基础上,从网络流量信号统计分析入手,研究流量信号的统计特性。提出了一种基于高阶统计量变化的DoS攻击异常检测算法(Accumulation-Based Approach,ABA),通过对网络流量信号进行分割量化,得到网络流量的高阶累积量特征。该算法以高阶统计量参数作为检测元,只需要采集网络数据包中的字节大小,不用深入分析统计数据包头中的IP地址,端口号等信息。并且该算法不受具体网络协议的影响,能够适用不同的平台,具有很强的移植性。实验结果证明,ABA算法能有效提升DoS攻击的检测准确率。 针对DoS攻击检测中攻击数据和正常数据的不平衡问题,从数据的采样方式入手,提出了一种基于置信度的SMOTE过采样算法(Confidence-Based SMOTE,CB-SMOTE)使数据平衡化。对边界样本,置信度较高的样本生成新样本时给予更大的权重;对非边界样本,使用基于聚类中心的方式生成新样本,尽可能保证样本的原始分布。该方法解决了SMOTE方法采样有效性不足,模糊正负类边界的问题。通过实验验证,CB-SMOTE方法可以提高分类器的分类性能。 为解决RBF核函数支持向量机(Support Vector Machine,SVM)参数搜索时间过长的问题,以寻优方式作为切入点,提出一种优化的参数搜索方法,多线搜索法(Multiline Search Approach,MSA)。首先确定最优参数可能出现的区域,然后在得到的区域上进行二次搜索。通过缩小寻优区域,降低分类器模型的训练数量,进而减少训练时间。实验表明,该方法在保证较高检测率的同时能够克服网格搜索,群智能寻优等方法搜索时间过长,收敛到局部最优解的缺陷,极大的减少了训练时间。