基于智能软件计算的入侵检测关键技术研究

【摘要】： 随着Internet在全世界范围内的迅速发展,计算机网络的安全问题越来越成为人们关注的热点问题。入侵检测(Intrusion Detection)作为一门新兴的安全技术,逐渐发展成为保障网络系统安全的关键技术。但目前入侵检测系统普遍存在检测性能低,误检率高等问题,同时,网络系统结构日益复杂,分布式环境的广泛应用,海量存储和高带宽的传输技术的应用以及新的攻击方法的不断出现尤其是一些互相协作的入侵行为不断出现,也给入侵检测领域的研究带来新的课题。软计算(SoftComputing-SC)作为一种创建计算智能系统的新颖方法,如何利用软计算技术构建高智能化的入侵检测系统,对解决检测系统的自学习、自适应能力及满足网络系统的实时监测和快速响应等特性具有十分重要的现实意义。 本论文对基于智能软计算的入侵检测关键技术进行了较系统深入的研究。主要研究了基于遗传模糊分类器、神经模糊分类器、自组织映射神经网络、主元分析神经网络及人工免疫分布代理构建智能化入侵检测系统的关键技术和方法,给出了相应模糊规则的表示与挖掘算法、模糊规则库优化算法、神经网络监督学习与无监督学习结合算法、免疫抗体动态进化算法等。论文主要研究内容和创新点如下: (1)基于遗传模糊分类器的入侵检测技术研究 网络安全本身是一个模糊的概念,本文将模糊理论与遗传算法结合,提出一类基于模糊关联规则的遗传模糊分类器,利用模糊逻辑在入侵检测系统中获取更高层次和更广泛内容的模糊规则,然后通过遗传算法对模糊规则库进行优化,构建高效的入侵检测模型。该模型在证据不充分的情况下能够更快速、正确地判断入侵事件,从而进一步提高检测的效率。同时,针对被错误分类的实例自动生成新的模糊规则,使规则库达到自动优化效果,又提出一种新的模糊规则反复学习的改进算法,使遗传模糊分类器具有更强的自学习、自适应能力,并进一步应用到计算机网络的入侵检测中。仿真实验证明了两种模型的有效性。 (2)基于SOM和PCA神经网络的入侵检测技术研究 传统的入侵检测系统多为误用检测系统,存在较大的漏检率和误检率。本文首次将LVQ算法和SOM神经网络相融合,提出一种基于LVQ算法的SOM神经网络,并将其应用到入侵检测模型上,极大提高了检测系统的检测性能,仿真试验证明通过无监督学习和监督学习相结合训练的神经网络分类器将获得更高的检测率和更低的误检率。同时,本文综合了主成分分析技术的数据压缩及分类功能,和神经网络的在线计算能力,构建了一类基于主元分析神经网络的分类器,并进一步应用到入侵检测中,实验证明主成分分析技术的应用极大降低处理数据的维数,进一步提高了系统的实时处理能力。 (3)基于神经模糊分类器的入侵检测技术研究 基于网络的入侵检测技术所面临的一个主要问题是如何提高检测系统的响应速度。本文构建了一类二层式神经模糊推理系统的入侵检测模型,能同时实现误用检测和异常检测。由于采用可进化的模糊C均值聚类法(FCMm)创建和管理模糊规则,使系统更容易适应实时、在线的计算环境,具有较强的自学习、自适应能力,同时构造底层的基于模糊神经网络的多个并行分类器结构,顶层的Mamdani模糊推理系统实现最终入侵行为判断,这种层次式模糊推理系统的应用可以平滑攻击行为和正常行为的边界,较大程度地避免尖锐边界问题。实验结果表明:该检测模型具有较高的检测率和分类率,较小的误警率,检测性能良好。 (4)基于人工免疫分布式代理的入侵检测技术研究 本文根据入侵检测与人工免疫机理之间的相似性,提出一种基于人工免疫系统的入侵检测分布式代理模型。该模型描述了代理在网络安全中分布式信息和安全防护的应用。提出了一种智能代理的层次式结构及动态进化模型,给出了自我集、抗原、免疫耐受、成熟代理的生命周期及免疫记忆等相应的递归公式。实验证明该模型具有较强的实时处理能力,可以有效地提高网络入侵检测的性能。