基于机器学习的入侵检测技术概述资料下载.pdf

1、序列&序列最高化#相应的算法有&1（?2-0.2/&E*-.*-FF&E*-$.*-.2/等$分类分析$数据分类提取数据库中数据项的特征属性#生成分类模型$常用的算法有决策树&7-EE/*&G?%H/9?1/,等$目前真正采用数据挖掘实现的%&主要是I.F+2J-?大学基于机器学习的入侵检测技术概述张义荣肖顺平鲜明王国玉!国防科技大学电子科学与工程学院#长沙D$KLM:82?-FB*8NO?（PQ）.2C0.2摘要基于机器学习的入侵检测方法是大规模&高带宽网络环境下实现对网络攻击智能检测的关键技术之一$该文对目前主流的基于机器学习的各种入侵检测方法进行了简要介绍和评述#并结合网络攻击的发展趋势

2、#阐述了入侵检测机器学习方法的发展方向$关键词入侵检测机器学习数据挖掘神经网络遗传算法粗糙集支持向量机人工免疫文章编号&（）&*!K6*KKKLRD文献标识码+中图分类号;5MSMTKU!#$%&$%（）*+,&-.）/%,%0,）1%023-%.45.%6）7502%8%5&9:259;&）995 79?59-）A-!0O.F.V:F/0）*.（-0 0-/（0/?（B:（P-（/*-（P#G?）-.（?F W（-HT.V&/V/（,/;/0O（.F.P1#IO?（P,O?D$LMBC.,&50,%（）*+,-.（B/）/0）-.（）/0O（-X+/,J?,/B.（2?0O-（/F/?*（-

3、（P-,.（/.V）O/1）/0O（.F.P-/,）.J/?EEF-/B）.-（）/FF-P/（）-（）*+,-.（B/）/0）-.（+（B/*）O/0-*0+2,）?（0/.V F?*P/,0?F/?（B J?（BY-B）O（/）Y.*TZ?（1-（B,.V 0+*/（）F1E.E+F?*-（）*+,-.（B/）/0）-.（）/0O（-X+/,J?*（-（P?*/P/（/*?FF1-（）*.B+0/B?（B*/H-/Y/B-（）O-,E?E/*#2/?（YO-F/#）O/B/H/F.E2/（）E*.,E/0）.V-）,-,E*/,/（）/B?,Y/FF?00.*B-（P）.）O/）/（B/（

4、01.V（/）Y.*?）?0TD%A（）&6.-（）*+,-.（B/）/0）-.（#2?*（-（P#B?2-（-（P#（/+*?F（/）Y.*#/（/）-0FP.*-）O2#7.+PO/）#,+EE.*）H/0）.*2?0O-（/#O+2?（-22+（/基金项目国家自然科学基金资助项目!编号!ML6MS作者简介张义荣!$SLL*#男#博士生#研究方向为网络信息安全$肖顺平#教授#博导$鲜明#博士#副教授$王国玉#研究员#博导$L!#计算机工程与应用的$%&研究小组（）!他们提出了一种新的入侵检测框架$*+,-+*.-*/0/01+23/4-545678+247954%3*73%:678.048

5、2;/70-%4%4/70#$其中!使用了数据挖掘技术从系统审计数据计算活动模式!并从这些模式中提取预测特征$然后!根据所提取的特征定义产生入侵检测规则!学习算法主要采用关联规则算法+;78%?2%04 A/;73%;%算法实现特征选择$基于BCCD-+=E+入侵检测评估数据源的实验表明!*+-+*.-是用于入侵检测技术评估的性能最佳的.-F之一$另外!*GHGF7N等人O）使用神经网络来进行攻击检测!对于异常检测和误用检测分别采用多层感知机*$E和多层PE神经网络模型!取得了不错的实验效果$+GHI7;I和+GFIQ584JR583!）研究了神经网络在异常检测和误用检测中的应用!他们的实验结

6、果表明基于神经网络的入侵检测模型在误用检测中工作得很好!但对未知攻击模式则效果不佳$EG$/I73J/S%Q;T/等U）利用自组织映射FV*%做基于主机的入侵检测!取得了不错的结果$WGX/85A299/0等D）利用基于FV*和反弹传播神经网络=EEVE=%;/:/%04 E87A5154/70 Y%285:Y%4Q78T%的混合检测系统进行入侵和正常模式的可视化和分类研究!他们的算法对于一种FZY泛洪攻击和两种端口扫描攻击获得了C%以上的检测率!同时误警率在O%以下$此外!还有$%和%/0R2IC）采用分层后向传播神经网络检测WE FZY泛洪和端口扫描&XGW50053等_）利用多层感知机*

7、$E%进行误用检测等$神经网络对异常检测具有很多优点不依赖于任何有关数据种类的假设&能处理噪声数据&实现简单$但同时也存在一些问题神经网络拓扑结构的形成不稳定&易陷于局部极小&学习时间长!而且对判断为异常的事件不能提供解释或说明信息$LG（遗传算法遗传算法H%0%4/GY%8/和WGP78;5:/07K）做了H+与局部贪婪搜索算法入侵检测比较的实验!结果表明网络数据的表示形式对流量模型的分类性能有重要影响$张凤斌等O）在L_K年提出了一种基于H+的网络异常入侵检测算法!其基本思想是用滑动窗口将系统各属性表示为特征向量!从而将系统正常状态分布在0维空间中!并使用遗传算法进化检测规则集来覆盖异常空

8、间!实验表明算法可提高检测率$遗传算法适合数值求解那些带有多参数&多目标和在多区域但连通性较差的YE,I583优化问题!它不需要对目标有精确的了解!能处理带有大量噪声和无关数据的变化事件$在异常入侵检测中!取得了较好的效果$不利之处在于编码表示的不规范&染色体选择和初始群体选取的困难!另外!能否收敛到最优解也是个问题$LGK粗糙集粗糙集=721I F%4%理论在处理大量数据&消除冗余信息方面有着良好的结果$在0/N操作系统中!通过对进程运行过程中产生的一系列系统调用的分析!有可能发现进程的异常运行状态!进而可以判断出该系统是否受到攻击$近年来788%;4&$%&等人在以进程正常运行时产生的系统

9、调用短序列为模型来刻画进程正常运行状态方面做了大量卓有成效的工作$粗糙集理论提供了一套比较完备的从小样本数据中寻找规律的系统方法!可找到描述正常模型的最小预测规则集!有利于提高检测速度$定义信息系统是一个二元组,$-!%!其中-是一个非空的有限对象集!称为对象空间）&是一个非空的属性集$每个属性%确定了一个从对象空间到%的值域之间的映射!%&%-#.%!.%是属性%的值域$定义L决策系统是形为,$-!$a/b%的信息系统!这里/%&是决策属性!为决策系统的条件属性集!是条件属性$定义（给定信息系统,$-!对于属性集*&定义关系,01,*%ca!%-Ld!%*!%$%!%b为&中的*不可分关系$

10、给定某进程的一个正常系统调用序列样本集!用长度为2e的窗口在样本集中的序列上滑动!得到了一个以长度2e的序列段为对象的决策系统1!序列段的2个一般位置属性组D计算机工程与应用!#初始抗原克隆选择自我模式匹配!删除否定选择异常行为检测器正常行为待检测模式$%图&基于人工免疫的（）原理成了!的条件属性集末位置属性为!的决策属性#定义*关于决策的约简是指决策系统$+$%!,#-%中使$&$#%（$&$）#%成立的最小属性集&基于关于决策的约简可以得到形为!的最小决策规则集其中!（#*$*+*$,%（$#（#$,%,$%在把粗糙集理论应用于（）方面./0/12345等6&7把粗糙集分类用于入侵检测的特

11、征排序与选择并利用-对规则进行进化学习算法可以得到（89:2?8?4过程和A?B52包含的计算免疫模型用于异常模式匹配#蔡忠闽等6&C7利用粗糙集理论对D$E系统调用短序列做异常检测取得了良好的效果#粗糙集理论适于对模糊和不完全知识的处理但对错误信息描述的确定性机制过于简单且在约简的过程中缺乏交互验证的功能当存在噪声时其结果往往不稳定*精度不高#因此和其它方法如神经网络等结合将会大大增强其处理问题的能力#/F支持向量机支持向量机+）GH%是基于结构风险最小化+）AH%原理根据有限的样本信息在模型的复杂性和学习能力之间寻求最佳折衷以期获得最好的范化能力#给定符合某种未知概率分布.+,/%的训练数

12、据集+,0/0%+,I/I%+,J/J%,+,1/1%$2$,%I-2为一非空集合设计一个最优分类器3+,%2,:IK&-能够用于对测试数据集上的概率分布.+,/%的估计&当2为线性可分的45时 原问题为在线性可分实数空间上寻找一个广义最优分类面的问题&该问题可以转化为一个对偶优化问题L3M 6+!%+5!0+&07Ǽ+&0!8/0/8+,0-,8%其中!0&N0+&#,550+&%/0!0+N#从而得到最优分类函数为3+,%+54,+9.,%:-+54,50+&0/0+,0.,%:O-在输入空间是非线性情形下统计学习理论通过核函数将输入空间变换到一个高维特征空间然后在特征空间中构造最

13、优分类面实现分类核函数只要满足HPQP条件即可/设核函数为=+,0,8%则对应的优化对偶问题为L3M 6+!%+50+&0:J508+&8/0/8=+,0.,8%其中!J,550+&0+N#相应地最终决策函数为3+,%+54,+9.,%:会话每一属性对）GH分类的重要性#H/.B?等6#7利用混合的无监督的聚类+DX%方法和超平面的Y4:）GH算法作异常检测算法结合了DX的快速性和Y4:）GH的精确性#Z/0B等6#7针对入侵检测中遇到的含噪数据提出了健壮）GH+A）GH%的分类方法#饶鲜等6#*7利用）GH方法对进程运行时产生的系统调用序列建立了入侵检测模型实验表明所建立的检测模型需要的先验

14、知识很少并且训练时间较短#李辉*管晓宏6#F7针对入侵检测所获得的高维小样本异构函数集 将有监督的X:）GH算法和无监督的Y4:QS3）GH算法用于网络连接信息数据中的攻击检测和异常发现#/H8SS和U/4?B研究了在入侵检测中对大规模网络数据的）GH训练的问题 比较了序贯最小化优化+）HY%*分解和缓存*增量）GH+）GH%*树）GH+WP）GH%和阵列）GH+UPP3）GH%算法的性能#）GH的不足之处在于）GH在训练之前必须进行模型选择并要确定一些参数其中最重要的就是核函数但核函数的选择往往凭经验进行0）GH通常只能处理数值数据0）GH一般只能处理二元分类问题如果要区分多种入侵方式就要使

15、用多个）GH来实现但目前还难以确定哪一种多分类）GH算法性能为优&#/!人工免疫从信息处理的观点来看生物免疫系统具有健壮性*记忆能力*容错能力*动态稳定性以及异常检测等良好特性这些特性与一个合格的网络（）有很高的相似性&因此若把网络系统看作一个生理系统网络攻击检测系统实质是实现这一系统的免疫功能与自愈功能&生物免疫系统的主要目的是识别1S92和14?4S92它是通过抗体和抗原的结合来实现的3 其中抗体的生成和演化是免疫系统识别14?4S92*对1S92形成自我耐受的关键所在一般通过否定选择和克隆选择机制来实现&与此类似如何模拟基因库更新*否定选择*克隆选择等抗体生成过程建立入侵检测器是建立基于

16、人工免疫原理的（）的关键&依据生物免疫的基本思想将正常的网络连接当成是自己的正常行为将异常连接视为异己行为区别1S92和14?4为判断两个二进制模式串在相邻比特匹配规则下是T!#计算机工程与应用否匹配的匹配函数!$%#&对于任意的随机候选检测元#$#%$#$&#$&#$（%#$#%&#%）#%（&#%这里$#$（$#%（$%$&$（*）$（$&$（!#$#%（*）#（）$（$）*+）$#,-,%.（$.$（+*+&$#$.&#%.%,-./0123&/其中$*为预定义的最小连续位匹配长度）从算法可看出$*是一个可调的阈值$*值越大$则匹配的精度就越高$虚警率低$但相应地检测率就下降*相反$*值

17、越小$则匹配更泛化$即精度就越低$此时检测率提高$但虚警率也相应增大）对于检测元的克隆选择过程可以采用遗传算法实现）在初始父代抗原生成后$演化采用简单遗传算法+单点交叉和单点变异操作完成）适应度函数取为新生成的子代模式与已有异己模式的之间的,距离-$当此种距离小于预定的某个阈值且不为时$接纳为候选检测元）在把人工免疫原理应用于456方面$代表性的研究有7/18/92:,大学的;,00/3-小组.8/5?3A=-?小组和英国BC2D/032-E F,GG/H,CI,C的J2L,CM?G/M和55?比较了神经+免疫7/A0,+4L,CM$G/M把负向选择和6N8用于免疫入侵检测中$可以实现异常检测

18、的可视化）55?在（O年提出了一种多层免疫学习算法并把它应用于网络异常检测）PL?G/?C,等则对人工免疫网络模型作了全面的比较）已有研究结果表明$基于人工免疫的456在实现异常检测方面具有很大潜力）不足之处完善基于人工免疫的模型还有困难.需进一步找到合适的否定选择算法和克隆选择算法.需要获取足够多的能代表系统行为的正常数据样本等）Q结束语目前$对于基于机器学习的456研究已取得了一些成果$但在理论的完备性和系统的实用性上还有大量的问题需要解决）同时$随着456的发展$456的保护对象如系统和网络本身也在迅速地发展$这给456提出了许多新的要求）如千兆高速网.RS7技术不断地投入到应用中$使得

19、456面临着大型分布.异构的平台环境$另外$庞大.含噪数据的存储及分析和不完整信息的推理等都使新一代456面临着极大的挑战$机器学习被认为是解决这一挑战的重要工具）机器学习技术使456具有较好的学习和自适应能力$是决定入侵检测快速性.准确性和完整性的关键技术）但每种机器学习方法都不可避免地存在一定的缺陷$因此下一步的发展趋势是将多种机器学习方法进行融合$如引入数据挖掘技术进行数据获取和简化$引入模糊逻辑改善知识的表达$在粗糙集中引入神经网络算法用于推理等$充分发挥各种机器学习方法的优势$真正达到智能化入侵检测的目的）另外$目前的基于机器学习的456大多还停留在理论研究阶段$只提出了一些系统原型

20、$在商业化产品的开发上还很不足$在将各种机器学习方法应用到实际的456中还存在许多问题）收稿日期（O年T月（参考文献&5,0,-.E U 5/CC2CVC 2C-0A32,C+I/-/:-2,C 4UUU Y0?C3?:-2,C3,C 6,Z-1?0/UC2C/02C$&T*6U+&Q（Q（戴英侠$连一峰$王航编著系统安全与入侵检测W8X北京清华大学出版社$（Q_/C/H/$6-,GZ,6 P$8,J _V I?-?2C2C Z0?/1,0 Z,0aA2GI2C 2C-0A32,C I/-/:-2,C 4CS0,:,Z-./&TTT 4UUU6E8 6:.AG-M$U U32C/-?G5?82

21、C2C 8/-.,I3 Z,0 5/-/:-2,C,Z 7/18?G2:2,A3 U9/:A-?aG/3WFX4CS0,:,Z-./（&4UUU 6E=,32A;,9 J$d/CC2C e$e/I P/-?GV C/A0?G C/-1,0?=0,?.-,1?0I32C-0A32,C I/-/:-2,CWFX4CS0,:/I2C3,Z-./&Q-.7?-2,C?G F,V J L.,3.$V 6:.1?0-Ma?0IV 3-AIE 2C A32C C/A0?G C/-1,03 Z,0?C,?GE?CI 4CS0,:/I2C3,Z-./-.B6U74f6/:A02-E 6E=,32AH2:.,IM

22、2g/132 S$h2C:20+d/E1,I V 7$d/E1,I 845EC?4C&b-.VCCA?GF?C?I2?C 4CZ,0?-2,C Y/:.C,G,E 6/:A02-E 6E=,32AF P20?=A2C$7 _?=,C3?,0C$S J?C-.?dEa02I 7/A0?G7/-1,03 Z,0 4C-0A32,C 5/-/:-2,C 6E3-/4CY./（4C-/0C?GY/:.C2:G F,CZ/0/C:/,C F20:A2-3i6E3-/3$F,=A-/03?CI F,6 F H/$5 R d/2CaA:.Y0?2C2C?C/A0?G+C/-1,0 a?3/I 2C-0A32

23、,CI/-/:-,0-,0/:,C2M/C,D/G?3 WPX4UUU Y0?-2,C3,C 6E3-/F?CC?IE PV0-2Z2:G C/A0?G C/-1,03 Z,0 4CS0,:,Z-./7?G 4CZ,0?-2,C 6E3-/V F.2-A08,I/G L/C/0?-2,C Z,0?C 4C-0A32,C 5/-/:-2,C 6E3-/B32C L/C/-2:VG,02-.-=ii111&3:,GA/IAi2I3i=AaG2:-2,C3i?2I3+-./323&=IZ$（&+&（8%H L?33?/C/-2:G,02-.4CS0,:3-4C-/0C?G _,03.,=,C-./e

24、/:/C-VID?C:/3 2C 4C-0A32,C 5/-/:-2,CeV45cT（$&TT&QH_/2Y./2C-/0?-2,C,Z3/:A02-E 3/C3,03 2C-,-./4C-/GG2/C-4C-0A32,C 5/-/:-2,C 6E3-/4456（2C?GA3-/0/CD20,C8?3-/0/3S0,g/:-e/=,0-5/=?0-/C-,Z F,;7/02$F K,03?G2C,F,=?02C H,:G 6/?.12-.e/3=/:-,L/C/-2:UD,GA-2,C-,5/-/:-4C-0A32,C3 2C F,4CS0,:/I2C3,Z-./（F,C0/33,C UD,G

25、A-2C?0E F,张凤斌$杨永田$江子扬遗传算法在基于网络异常的入侵检测中的应用WPX电子学报$（b*Q（O（O&hdV7L H2?C+.A?$hdV7L LA?$jB H?C/-?G4C-0A32,CI/-/:-2,C A32C 0,A.3/-:332Z2:-2,CWPXP h./g2?C BC2D 6F4$（b*OT（&励晓健$黄勇$黄厚宽基于S,2332,C过程和e,A.包含的计算免疫模型WPX计算机学报$（Q*（!（&蔡忠闽$管晓宏$邵萍等基于粗糙集理论的入侵检测新方法WPX计算机学报$（Q*（!Q（Q!Q!T6 8A?4C-0A32,C 5/-/:-2,C B32C7/A0?G 7

26、/-1,03?CI 6A=,0-R/:-,0 8?.2C/3WFX4CS0,:/I2C3,Z4UUU 4C-/0C?G P,2C-F,CZ/0/C:/,C 7/A0?G 7/-1,03$4UUU F,+下转!页（&#计算机工程与应用!上接$%页&（）*+,-.）（/0*）11#2%2$34%25$4%42%67 8+9:#+;=?=6A）9（.B/.9:,*（=9（C）=（*）1 B,*9（*D1.,9 E）（）-（.,9 F1.9:,*（G）-（,*;=-H.9）1=9A I）*=?I）（J,*&,1.,9 7&.-=（.,91=9A（H）9（）*9）（#P*?=9A,#C?,*.A=#NN

27、ODN3$#NQ5#3!#36E+R.#S+0=*6I）（J,*=-H.9）1KLM69$8DR R=H9:）A6LPI#NNO#VIL+2!2#2O$4W454X!226;V,#V I Y=9:#8 Z H=9:）（=?67*）1）=*-H,9.9（*1.,9 A）D（）-（.,9 T=1）A,9 91&）*U.1）A-?1（）*.9:=9A 1&,*（U）-（,*=-H.9）KLM69$+.9:#E Z,?=99#S H,）A16LPI 2O#VIL+2O!#2O$O2X5OO!2O6Y S 8#8 V.=,#G _ G）*.6_,T1（=9,=?/A）（）-（.,9 1.9:1&,*（U

28、）-（,*=-H.9）1KSM6 a*=91,9 0=（）*9 79=?/1.1=9A;=D-H.9）9（）?.:）9-）2W6饶鲜#董春曦#杨绍全6基于支持向量机的入侵检测系统KSM6软件学报#2NNO%$W!W$4Q5NO2X6李辉#管晓宏#昝鑫等6基于支持向量机的网络入侵检测KSM6计算机研究与发展#2NNO%WN!$4QQ5N4!#$b$!$b!b$#也就是说所有队列都获得了$#的带宽&证毕&经过以上分析#我们可以知道#采用;E_算法可以保证在变长包情况下#各个接口的整包缓存队列在报文合路时获得公平的带宽份额&X算法的实现与结果验证作为本算法的实现方法#我们给出;E_算法的实现流程图如

29、图2所示&在本文的第W部分#我们已经在理论上证明了;E_算法的公平性#本部分我们给出该算法在实际应用中的测试数据&图O给出了我们所使用的测试环境#;E_算法在0U!路由器的c!22;7a;接口板上实现#测试时由7dWNNN网络测试仪同时发路数据到线路接口板#经转发处理和交换后最终从线路接口板回到7dWNNN&表$给出了测试结果#此结果表明在各个接口包长差异很大的情况下#各路数据都能够获得预约的带宽&另外我们也使用了变长包及各种流量模式测试#可以得到相同的结果&结论本文针对高端路由器设计中高密度线卡对整包调度算法的需求#给出了一种便于实现的;E_算法#使用该算法可以保证各路数据公平的分享带宽&理论分析和实测结果表明了算法的有效性&收稿日期$2NNX年4月参考文献$6+a08I+E L#eIIaa S#87IZ 86&）9（.9:1-H）A?.9:,*.（H1.9 H.:H 1&）A 9）（J,*1KSM6 S+7L#$QQQ%$4!$WX5$X26;+H*）AH=*#Z G=*:H）1）6BB.-.）9（B=.*f）.9:1.9:A）B.-.（*,9AD*,T.9K