入侵检测系统是当前网络安全领域的研究热点之一,根据其检测和分析方法的不同可分为误用检测类和异常检测类。前者只能根据预先建立的入侵行为特征库来识别已知的入侵,对未知的入侵无法识别;而后者则不需特定的入侵知识即可检测到未知的入侵行为,本文的研究对象属于后者。\n 软计算、知识发现、数据挖掘、机器学习等研究方法在异常类入侵检测方面有着广泛应用,这些技术在应用时需将捕获的数据整理成数据库;但这些应用在处理数据库时大多面临着训练周期长、占用存储空间大等问题,很难满足实时处理的需要,解决这些问题的途径之一是属性约简。\n 现有文献中有一类做法:将信息论与粗糙集结合,形成基于信息论的属性约简方法,其大致思想为:引入属性间的条件熵、互信息等信息论概念,计算属性间的依赖程度,进而实现属性的取舍。一种代表性的做法是基于互信息的属性约简算法(MIBARK:Mutual Information-Based Algorithm of Reductionfor Knowledge),但其在计算核和条件互信息时复杂度较高:有文献提出MIFS(Mutual Information for Feature Selection)算法,该算法利用条件属性间的互信息进行属性约简,并减少MIBARK中计算核的环节;但该做法在计算互信息时复杂度仍然较大。本文的主要工作在于,借鉴MIBARK和MIFS算法,对基于互信息的属性约简算法做出改进,结合改进的约简算法和支持向量机构造出一种高效入侵检测分类器。相关的研究工作要点如下:\n (1)在MIFS算法基础上引入两个阈值,分别控制条件属性与决策属性间、条件属性间的互信息进行属性约简;得到改进的基于互信息的属性约简算法—MIBARA(Mutual Information—Based Algorithmfor Reduction of Attribute),并给出相关的程序代码。实验结果表明,在构建基于支持向量机的入侵检测分类器中,该算法在保持其分类准确性的同时,还可有效减少其训练和检测时间。\n (2)利用支持向量机构建入侵检测系统时,传统的做法有一个不足之处—平等对待各条件属性;研究者分别利用粗糙集和模糊集相关概念对核函数增加权值进行改进,结果均显示改进后的核函数分类性能有所提升;鉴于此,本文利用属性间的互信息构造一种基于加权核函数的支持向量机模型,并利用开源软件Libsvm对该模型进行了相关的实验验证。
暂无评论