基于条件随机域的入侵检测研究与应用

【摘要】： 计算机网络技术的飞速发展极大地改变了人们学习、工作以及生活方式。随着网络技术快速发展和网络应用环境不断普及,安全问题也越来越突出。在传统的安全机制已不能完全满足安全需求的同时,入侵检测技术作为一种新的安全手段,其重要性和必要性,正日益凸显。并且,迫切需要一种检测效率高的检测技术帮助人们高效的识别出来自网络中的入侵。本文针对这一要求开展了基于条件随机域的入侵检测研究工作。 条件随机域是一种优秀的统计机器学习方法,它在序列标注和分割方面有着出色的表现。而且,它具有很强的推理能力,能够使用复杂、有重叠性和非独立的特征进行训练和推理,在标注时能够有效的利用上下文信息。因此本文的研究中利用该方法的优势,从检测精度、精确率、误警率等重要指标出发,以提高检测算法对入侵行为检测的有效性为目标,提出了以条件随机域为主线的入侵连接记录的检测算法,并通过大量的实验验证了该方法的有效性。具体研究工作有以下三个方面: 1.根据条件随机域的特点,以高效的、可靠的检测入侵为目的,将该方法应用于入侵检测模型中。该检测模型充分利用了联机数据信息中的各种属性信息及其相关性所隐含的信息,通过对网络连接数据的检测实验,证实了我们的预期目标。 2.根据连接记录序列属性集的特点,融入属性集方法,提出了基于属性集的条件随机域的检测方法。该方法充分的发挥了条件随机域的特长,并且在检测过程中,利用了连接记录序列中的属性集对于不同的入侵行为起的作用不同的特点。经过实验证实,该方法具有非常出色的识别入侵的能力。 3.为了适应网络入侵复杂多变,设计一个检测水平能够得到不断提升的检测系统,并且该系统具有灵活性和可改进性的系统结构。本文提出了一个结构合理,功能模块实用的基于属性集的条件随机域入侵检测系统。该系统能够通过不断的检测,当发现未知入侵以后,改进原有的检测模型,提升系统的检测能力。并且,该检测系统模型参考了非常优秀的轻量级入侵检测系统Snort的系统架构。