收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

基于机器学习的入侵检测方法研究

尹清波  
【摘要】: 入侵检测技术是现代计算机系统安全技术中的重要组成部分,并且是当前的研究热点。 目前,绝大多数入侵行为都通过攻击特权进程来破坏计算机系统的安全性。特权进程通常完成特定的、有限的行为,所以其行为在时间上和空间上比其他用户程序要更稳定。 本文以入侵检测的核心技术检测模型为研究对象,以操作系统的系统调用为研究内容,以提高异常行为的识别能力、减少误警率为目标,从研究正常行为与异常行为的差异入手提出一个基于马尔科夫模型的入侵检测框架,在此基础上步步深入研究三个基于马尔科夫模型的异常检测模型。主要研究内容如下: (1)结合系统调用序列的特点,提出基于机器学习的入侵检测系统框架。入侵检测本质上是一个分类问题,而分类问题要以学习为前提。从机器学习所涉及到的一致性假设,划分与泛化能力三方面内容着手,详细分析了入侵检测系统数据的来源,数据的特征(划分)及算法的泛化能力。在此基础上指导入侵检测算法设计。 通过分析正常进程的系统调用序列与异常系统调用序列的异同,可知进程的系统调用具有如下的特性:(1)局部规律性很强;(2)正常进程的系统调用与异常进程的系统调用序列具有不同的分布特性。特定的程序有特定的、相对稳定的结构,因此将确定性方法(短序列建库)与随机性方法(马尔科夫模型)相结合来建立模型。进程的系统调用具有的局部性与马尔科夫模型有天然的联系,因此在这一框架中用马尔科夫模型作为分类器。在PAC学习理论下分析检测模型的样本复杂度;通过对算法偏置与泛化能力的讨论,利用结构风险最小化原则指导学习机的设计。 (2)利用时间序列分析技术提取特征,提出了基于线性预测的入侵检测方法。 从提取特权进程的行为特征入手,引入时间序列分析技术——用线性预测技术对特权进程产生的系统调用序列提取特征向量来建立正常特征库,并在此基础上建立了马尔科夫模型。由马尔科夫模型产生的状态序列计算状态概率,并根据状态序列概率来评价进程行为的异常情况。然后,利用马尔科夫信源熵和条件熵进行参数选取,并对模型进行优化。 (3)提出了基于矢量量化分析与马尔科夫模型相结合的入侵检测方法。 针对传统监督学习的缺点,本文将聚类分析应用于有监督学习,提出了基于矢量量化分析与马尔科夫模型相结合的入侵检测方法。首先利用矢量量化方法对正常特权进程的短系统调用序列进行聚类分析,进而利用马尔科夫模型来学习聚类之间的时序关系。在矢量量化中利用动态分裂算法对短系统调用序列进行聚类分析,充分提取特权进程的局部行为特征的相互关系,因此可以在训练集很小的条件下使模型更精确、检测能力大大增强。 (4)提出基于K-means与马尔科夫模型相结合的半监督异常检测方法。 分析现有基于监督学习或非监督学习入侵检测方法优缺点的基础上,提出了一个新颖的基于K-means与马尔科夫模型相结合的半监督异常检测方法。半监督方法的学习样本包括已标示类别的样本和未标示样本,并且通过对已标示的样本的学习来指导对未标示样本的学习来提高识别率。本方法首先将经过标示的(正常的)系统调用序列投影到高维空间进行有监督聚类后,利用马尔科夫模型来学习聚类间的时序关系,建立起正常行为的初始模型。由马尔科夫模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况。正常行为模型由两种关系确定:1)空间分布关系(聚类);2)空间的时序关系(马尔科夫模型)。在初始模型的导引下对未标示的序列进行学习,利用迭代过程对模型进行改进。实验表明该算法能够在已标示样本较少的情况下通过对未标示样本的学习来改善模型的检测性能,达到在线增量学习的目的。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 罗光春;卢显良;薛丽军;;一种运用限幅自相似性的新型DDoS入侵检测机制[J];计算机科学;2004年03期
2 吴建新;入侵检测技术概述[J];电脑知识与技术;2005年30期
3 邓广慧;唐贤瑛;夏卓群;;基于FCM和RBF网络的入侵检测研究[J];电脑与信息技术;2006年01期
4 李士勇;梁家荣;唐志刚;;基于粗糙—遗传算法的入侵检测方法研究[J];现代计算机;2006年09期
5 石云;陈蜀宇;;入侵检测技术现状与发展趋势[J];六盘水师范高等专科学校学报;2007年06期
6 李波;;基于聚类分析的网络入侵检测方法研究[J];科技致富向导;2008年22期
7 朱桂宏;王刚;;基于数据流的网络入侵检测研究[J];计算机技术与发展;2009年03期
8 廖娟;龙全圣;;基于某高校校园网安防策略[J];今日科苑;2010年04期
9 刘小明;熊涛;;基于数据挖掘的入侵检测技术研究综述[J];现代计算机(专业版);2010年04期
10 郭春霞;续欣;苗青;王玉华;;入侵检测系统发展与研究[J];通信与广播电视;2005年01期
11 蒋盛益,李庆华;无指导的入侵检测方法[J];计算机工程;2005年09期
12 利业鞑;;基于数据挖掘的入侵检测技术精确度研究[J];海南大学学报(自然科学版);2006年03期
13 王福生;;数据挖掘技术在网络入侵检测中的应用[J];现代情报;2006年09期
14 宋明秋;傅韵;邓贵仕;;基于决策树和协议分析的入侵检测研究[J];计算机应用研究;2007年12期
15 杨和梅;戴宗友;冯传茂;;基于信息论的非监督入侵检测方法[J];计算机与数字工程;2007年12期
16 唐贤伦;庄陵;李银国;曹长修;;基于粒子群优化和模糊c均值聚类的入侵检测[J];计算机工程;2008年04期
17 庞雄昌;王喆;韩鲲;;基于CVM的入侵检测[J];微计算机信息;2008年18期
18 宋广军;张要田;;粗糙集-遗传算法在入侵检测系统中的研究与应用[J];网络安全技术与应用;2008年11期
19 徐仙伟;杨雁莹;曹霁;;入侵检测系统中两种异常检测方法分析[J];网络安全技术与应用;2009年01期
20 李斯;;数据挖掘技术在入侵检测系统中的应用[J];科技资讯;2009年27期
中国重要会议论文全文数据库 前10条
1 毛俐旻;王晓程;;基于Multi-SVM的网络入侵检测技术研究[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
2 张满怀;;两类基于异常的网络入侵检测方法的比较[A];2007中国科协年会——通信与信息发展高层论坛论文集[C];2007年
3 张应辉;饶云波;;最小差异度聚类在异常入侵检测中的应用[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
4 董晓梅;郭晓淳;王丽娜;于戈;申德荣;王国仁;;基于关联规则数据挖掘的数据库系统入侵检测方法[A];第十九届全国数据库学术会议论文集(研究报告篇)[C];2002年
5 范瑛;;改进蚁群算法结合BP网络用于入侵检测[A];中国运筹学会模糊信息与模糊工程分会第五届学术年会论文集[C];2010年
6 陈鑫;梁海洁;廖腾峰;;基于TSVM分类器和混合型特征选择方法的入侵检测研究[A];2010年全国开放式分布与并行计算机学术会议论文集[C];2010年
7 张小强;朱中梁;范平志;;基于SVM和序列互相关特性的入侵检测[A];可持续发展的中国交通——2005全国博士生学术论坛(交通运输工程学科)论文集(下册)[C];2005年
8 贾超;张胤;;互联网络的多特征融合入侵检测方法[A];第二届全国信息检索与内容安全学术会议(NCIRCS-2005)论文集[C];2005年
9 高新;臧洌;黄越;;基于分簇和时间自动机的Ad hoc入侵检测方法研究[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(下册)[C];2010年
10 令狐大智;李陶深;;一种基于模糊理论的自适应入侵检测方法[A];2007年全国开放式分布与并行计算机学术会议论文集(上册)[C];2007年
中国博士学位论文全文数据库 前10条
1 邬书跃;基于支持向量机和贝叶斯分析技术的入侵检测方法研究[D];中南大学;2012年
2 张金荣;无线传感器网络能效与安全研究[D];重庆大学;2008年
3 尹清波;基于机器学习的入侵检测方法研究[D];哈尔滨工程大学;2007年
4 唐贤伦;混沌粒子群优化算法理论及应用研究[D];重庆大学;2007年
5 段丹青;入侵检测算法及关键技术研究[D];中南大学;2007年
6 张桂玲;基于软计算理论的入侵检测技术研究[D];天津大学;2006年
7 唐贤伦;混沌粒子群优化算法理论及应用[D];重庆大学;2007年
8 杨智君;入侵检测关键技术在大型科学仪器工作状态监测系统中的研究与应用[D];吉林大学;2006年
9 郑洪英;基于进化算法的入侵检测技术研究[D];重庆大学;2007年
10 翁广安;基于免疫原理的实值编码入侵检测系统研究[D];华中科技大学;2008年
中国硕士学位论文全文数据库 前10条
1 龙泉;基于分布式入侵检测系统研究[D];武汉理工大学;2005年
2 章登科;基于人工免疫系统的检测器生成算法研究[D];华南师范大学;2007年
3 史兴娜;基于免疫机制的Multi-Agent入侵检测系统[D];太原理工大学;2007年
4 杨红;基于选择性集成的入侵检测系统的研究与实现[D];江苏大学;2005年
5 阎明;基于系统调用和上下文的异常检测技术研究[D];哈尔滨工程大学;2009年
6 向光;基于机器学习和数据挖掘的入侵检测技术研究[D];东北大学;2005年
7 尹敬涛;基于大步回退剪枝最大频繁模式挖掘的入侵检测系统研究[D];燕山大学;2006年
8 柴晨阳;基于神经网络集成的入侵检测研究[D];湖南大学;2007年
9 卢洁;基于PSO-RBF神经网络的入侵检测系统的研究与实现[D];南京林业大学;2008年
10 王茜;基于模糊逻辑规则的SYN湮没入侵检测方法[D];南京理工大学;2002年
中国重要报纸全文数据库 前6条
1 翟金钟;把好网络安全这道关[N];金融时报;2002年
2 摩托罗拉(中国)电子有限公司;摩托罗拉:蓝军攻击激活全面防护[N];通信产业报;2006年
3 彭小琴;企业网安全方法论[N];中国计算机报;2004年
4 ;警惕网络诸多敞开的“后门”[N];人民邮电;2006年
5 赵力 文华;部省共建千秋业 百年名校铸辉煌[N];光明日报;2004年
6 ;应用级防火墙走出概念泡沫[N];中国计算机报;2003年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978