论文题目: 基于机器学习的入侵检测技术研究
论文类型: 博士论文
论文专业: 信息与通信工程
作者: 张义荣
导师: 王国玉
关键词: 入侵检测,机器学习,攻击图建模,统计学习理论,多分类支持向量机,算法,超球面上的类,双算法,粗糙集,属性约简,不一致推理,系统调用短序列,小生境遗传算法,可能近似正确学习,性能评估
文献来源: 国防科学技术大学
发表年度: 2005
论文摘要: 入侵检测技术作为动态安全系统(P2DRR)最核心的技术之一,在网络纵深防御体系中起着极为重要的作用,它是静态防护转化为动态防护的关键,也是强制执行安全策略的有力工具。随着网络攻击手段的日益复杂化、多样化和自动化,传统的入侵检测系统(IDS)已不能满足安全需求。为了对付目前越来越频繁出现的分布式、多目标、多阶段的组合式网络攻击和黑客行为,提高在高带宽、大规模网络环境下入侵检测的效率、降低漏报率和缩短检测时间,把先进的机器学习方法引入到IDS中来已成为一种共识。本文的主要工作是将目前几种有生命力的机器学习策略应用于入侵检测技术中,论文从入侵检测的不同视角出发,系统深入地研究了统计学习理论、基于符号的归纳学习理论和遗传学习方法在入侵检测信号分析中的应用技术,并在可能近似正确(PAC)学习框架下,利用计算学习理论和统计假设检验方法对基于不同机器学习策略的入侵检测方法进行了性能比较和评估。在基于统计学习理论的入侵检测研究中,把入侵检测看作是一个模式识别问题,即根据网络流量特征和主机审计记录等观测数据来区分系统的正常行为和异常行为。针对训练样本是未标定的不均衡数据集的情况,把攻击检测问题视为一个孤立点发现或样本密度估计问题,采用了超球面上的One-class SVM算法来处理这类问题;针对有标定的不均衡数据集对于数目较少的那类样本分类错误率较高的情况,引入了加权SVM算法-双v-SVM算法来进行异常检测;进一步,基于1998 DARPA入侵检测评估数据源,把两分类SVM算法推广至多分类SVM算法,并做了多分类SVM算法性能比较实验。在把基于符号的归纳学习理论应用于入侵检测方面,基本思想是把入侵检测视为一个知识表达和规则提取问题。建立在不可区分关系上的粗糙集(Rough set)理论为这一类型的机器学习提供了共同的理论基础。论文详细地研究了基于Rough集知识表达和规则获取的进程正常行为的建模方法,在此基础上,结合统计机器学习理论,提出了一种Rough集约简和支持向量机分类相结合的混合异常检测算法,其基本思想是采用Rough集属性约简的方法压缩数据空间,然后利用v-SVM两分类算法处理约简和正规化后的数据,算法在不损失检测精度的前提下有效缩短了检测时间,更适用于实时入侵检测场合。在基于遗传学习的入侵检测研究中,把机器学习看作一个搜索过程,即入侵检测可视为基于训练样本集,按照既定的搜索策略对入侵规则的搜索或逼近问题。在对遗传算法(GA)实现的相关技术问题,如关键参数选择、操作设计和算法改进等内容深入分析的基础上,论文研究了基于小生境遗传算法的入侵规则自动获取方法,同时给出了相应的异常检测仿真实验结果。然后,结合基于符号的归纳学习理论,提出了一种采用Rough集约简和遗传规则提取的混合检测方法,它利用Rough集约简得到的决策规则集作为GA的初始种群,从而节省了进化代数,提高了检测精度。论文在上述研究的基础上,对基于不同机器学习方法的入侵检测技术进行了性能比较和评估。在可能近似正确学习(PAC)框架下,分析了学习算法的样本复杂度和计算复杂度
论文目录:
摘要
ABSTRACT
第一章 绪论
1.1 引言
1.2 国内外研究现状及发展趋势
1.2.1 入侵检测发展历史
1.2.2 入侵检测体系结构的研究
1.2.3 现有入侵检测技术的局限性
1.2.4 机器学习研究现状
1.2.5 基于机器学习的入侵检测技术研究现状
1.3 论文的主要工作和结构安排
第二章 入侵检测与网络攻击建模
2.1 入侵检测系统概述
2.1.1 入侵检测的模型
2.1.2 入侵检测的系统结构
2.1.3 入侵检测系统功能模块
2.1.4 入侵检测的类型
2.2 入侵检测特征分析和协议分析
2.2.1 网络连接状态和入侵信号
2.2.2 特征分析
2.2.3 协议分析
2.3 网络攻击技术分析
2.3.1 网络攻击的步骤和层次
2.3.2 网络攻击的方法
2.3.3 网络攻击的新技术及发展趋势
2.4 基于攻击图的网络攻击建模方法
2.4.1 攻击建模方法概述与分析
2.4.2 符号模型检验技术
2.4.3 Büchi 模型描述
2.4.4 攻击图建模过程
2.5 入侵检测数据源
2.5.1 基于主机的数据源
2.5.2 基于网络的数据源
2.5.3 论文实验所采用的数据源
2.6 本章小节
第三章 基于统计学习理论的异常检测
3.1 统计学习理论概述
3.1.1 学习问题的表示
3.1.2 经验风险最小化(ERM)归纳原则
3.1.3 学习过程的一致性
3.1.4 学习过程收敛速度构造性的与分布无关的界
3.1.5 推广能力和结构风险最小化(SRM)原则
3.2 C-SVM 算法和v-SVM 算法
3.2.1 最大间隔超平面分类器
3.2.2 Karush-Kuhn-Tucker(KKT)条件
3.2.3 C- S V M 算法
3.2.4 推广为 Mercer 核函数
3.2.5 v-软间隔支持向量分类器
3.2.6 v-SVM 与 C-SVM 的关系
3.2.7 v-SVM 算法的实现
3.3 基于超球面 One-class 支持向量机的异常入侵检测
3.3.1 超球面 One-class SVM 算法
3.3.2 推广为其它核函数
3.3.3 与超平面上的 One-class SVM 的关系
3.3.4 基于超球面上的 One-class SVM 的异常检测实验
3.4 基于双v-SVM 的异常入侵检测
3.4.1 双v-SVM 基本原理
3.4.2 双v 特性
3.4.3 仿真实验与性能比较
3.5 多分类 SVM 在网络异常入侵检测的应用
3.5.1 基于 SVM 的多分类策略
3.5.2 M-ary SVM 的多分类方法
3.5.3 M-ary v-SVM 多分类器
3.5.4 仿真实验与性能比较
3.6 本章小节
第四章 基于符号的归纳学习在入侵检测中的应用
4.1 粗糙集基本概念
4.1.1 等价关系
4.1.2 决策表知识表达系统
4.1.3 Rough 集
4.1.4 可辨识矩阵和决策规则
4.1.5 决策规则的不确定性表示与度量
4.2 决策表约简与推理
4.2.1 数据预处理
4.2.2 决策表属性约简
4.2.3 决策表值约简
4.2.4 不一致推理
4.3 基于粗糙集约简的系统调用序列异常检测方法
4.3.1 系统调用序列与入侵检测
4.3.2 基于粗糙集理论的异常检测模型
4.3.3 仿真实验与性能比较
4.4 基于粗糙集属性约简和 SVM 分类的混合入侵检测方法
4.4.1 算法基本思想
4.4.2 算法流程
4.4.3 实验结果分析
4.5 本章小节
第五章 基于遗传学习的入侵检测
5.1 遗传算法
5.1.1 遗传算法基本流程
5.1.2 模板定理和隐含并行性
5.1.3 马尔可夫链收敛分析
5.1.4 算法参数选择和实现技术
5.2 小生境遗传算法在网络异常入侵检测中的应用
5.2.1 基因编码方法
5.2.2 小生境实现
5.2.3 适应度函数确定
5.2.4 遗传算子的选择
5.2.5 检测方法
5.2.6 仿真实验与性能比较
5.3 基于粗糙集约简和 GA 进化的混合入侵检测方法
5.3.1 算法基本思想
5.3.2 实现过程
5.3.3 实验结果分析
5.4 本章小节
第六章 基于机器学习的入侵检测方法的性能评估
6.1 引言
6.2 PAC 学习框架与样本复杂度
6.2.1 可能近似正确学习( PA C ) 模型
6.2.2 假设空间的样本复杂度分析
6.2.3 统计学习泛化误差的界
6.3 学习算法错误率估计
6.3.1 学习算法错误率建模
6.3.2 估计假设的精度
6.4 统计假设检验和学习算法性能比较
6.4.1 两个假设错误率间的差异比较
6.4.2 配对t 检验法
6.4.3 仿真实验与结果分析
6.5 本章小节
第七章 结束语
7.1 论文主要创新点
7.2 进一步研究展望
参考文献
致谢
攻读博士学位期间发表与投稿的论文
攻读博士学位期间参与的科研工作
发布时间: 2006-09-14
参考文献
- [1].基于机器学习的文本情感分类研究[D]. 张庆庆.西北工业大学2016
- [2].机器学习及其在多Agent对策学习中的应用研究[D]. 王泉德.武汉大学2005
- [3].基于机器学习的几种医学数据处理方法研究[D]. 翁时锋.清华大学2005
- [4].基于Kernel的机器学习在建模与分类问题的应用研究[D]. 范玉刚.浙江大学2006
- [5].核机器学习方法若干问题研究[D]. 蒋刚.西南交通大学2006
- [6].基于机器学习的编译优化适应性研究[D]. 刘章林.中国科学院研究生院(计算技术研究所)2006
- [7].机器学习与文本挖掘若干算法研究[D]. 何清.中国科学院研究生院(计算技术研究所)2002
- [8].支撑矢量机应用的关键技术研究[D]. 郑春红.西安电子科技大学2005
- [9].支持向量机在机器学习中的应用研究[D]. 罗瑜.西南交通大学2007
- [10].基于互信息与先验信息的机器学习方法研究[D]. 王泳.中国科学院研究生院(自动化研究所)2008
标签:入侵检测论文; 机器学习论文; 攻击图建模论文; 统计学习理论论文; 多分类支持向量机论文; 算法论文; 超球面上的类论文; 双算法论文; 粗糙集论文; 属性约简论文; 不一致推理论文; 系统调用短序列论文; 小生境遗传算法论文; 可能近似正确学习论文; 性能评估论文;