基于机器学习的入侵检测研究

雩风三日

基于机器学习的入侵检测研究
/ }* b, b3 N. \! ~0 f& T" P
    随着计算机网络的迅速发展，网络安全成为了越来越棘手和重要的问题。为应对网络威胁，一系列的安全保障技术应运而生，如加密机制、数据签名机制、访问控制机制、认证机制和防火墙技术等，而这些静态安全防御技术在面对网络中日新月异的攻击手段时缺乏主动的反应。入侵检测作为一种积极主动的安全防护技术，能在系统受到危害之前拦截和响应入侵，提供了对内外部攻击的实时保护，成为了保障网络安全的重要手段。然而传统的IDS (Intrusion Detection System)存在着很多问题，如:对未知网络攻击检测能力差、误报率高，对攻击数据的关联和分析功能不足等。机器学习所关注的问题是系统如何随着经验积累自动提高性能，这与入侵检测通过对外界入侵进行自我学习，以提高其检测率和降低误报率是一致的。因此把机器学习的理论和方法引入到入侵检测中已成为一种共识，并且近些年来在这一研究领域取得了一些积极的进展。
) _- \! m, E7 ^( |9 S0 B9 }& C    首先，本文系统地阐述了入侵检测系统的基本理论，包括入侵检测技术的基本概念、常用检测方法和技术分类，介绍了入侵检测的研究现状，并从有效性、适应性和可扩展性三个方面指出了当前入侵检测技术存在的问题等。
    其次，本文系统地介绍了机器学习的基本理论，解释了为何把机器学习方法引入入侵检测的问题;并对基于机器学习的入侵检测的研究现状进行了充分论述。入侵检测与机器学习的结合，大大地弥补了前者的不足，提高了检测的性能促进了入侵检测技术的发展。
2 b+ K" `2 f* R- q  H    然后，本文着重对基于聚类的入侵检测技术进行了深入研究。先是阐述了聚类算法设计的原理及主要特点，并就当前基于聚类的入侵检测的研究现状进行了论述。聚类作为机器学习中一种重要的无监督学习算法，具有无需事前标记样本类型等优点，在近些年得到了很好地发展和应用。K-means作为经典的聚类算法之一，但在用于入侵检测时有很多不足之处，因此针对相应的不足问题，本文提出了基于聚类的入侵检测算法 G-means ,G-means不仅克服了K-means的缺点，而且具有高检测率和低误报率等优点，随后通过实验对其优越的性能进行了验证，而且还通过与OPTICS和K-means的对比实验进一步验证了G-means的优越性。
  最后，本文对特征选择的相关知识和针对具体的KDD Cup 1999数据集的特征选择的方法进行了阐述，特征选择在降低特征维数、剔除冗余信息、提高对攻击数据的关联和分析、改善分类器的性能、提高分类结果的性能和精度、降低系统识别的代价等方面具有重要的作用;介绍了数据包头异常检测的相关工作;结合特征选择问题，提出了面向数据包进行异常检测的G-means，并用实验给予了验证;设计了一个简易的基于G means的实现在线检测功能的网络型入侵检测系统，并部署到了实际环境中。

关键词:入侵检测；机器学习；聚类:G-means
$ O/ F, o4 l! e5 i