论文部分内容阅读
网络入侵检测是保障计算机网络安全的重要技术,现行的入侵检测主要是依靠领域专家的经验和知识,难以应对各式各样的网络攻击。本文在对网络入侵检测的研究现状进行分析之后,以数据挖掘技术为基本工具,围绕基于统计学习理论的支持向量机方法及其在入侵检测中的应用进行研究,以期解决网络入侵检测在准确性、时效性以及对未知攻击的检测能力方面存在的问题。网络连接数据是入侵检测的重要数据来源,本文采用基准评测数据集KDDCUP1999作为实验数据,其中包含着许多未标签的数据以及大量的正常数据和少量的攻击数据,数据分布呈现出不均衡、高维度等特点。支持向量机利用核函数代替高维特征空间的点积运算,巧妙地解决维度问题,适合处理高维以及不均衡数据的异常检测问题。针对人工标记数据类别代价太高以及传统聚类方法在处理高维数据时产生的维度效应,本文提出了一种针对无标签数据的新型模糊核聚类方法,通过将K-means与DBSCAN聚类算法相结合生成关联矩阵,设置约束条件的阂值得到初始聚类结果,并在模糊支持向量数据描述方法的基础上完成聚类过程。通过在网络连接数据的对比实验,验证了该方法的可行性与有效性。聚类方法的目的是将相似的对象归为一类,再由专家对这类数据进行鉴定判断其真实的类别。而分类方法可以利用分类模型对未知数据进行预测,判断其类别。为此本文提出了一种基于特征选择的超球面支持向量机改进算法WSVM,通过特征选择方法找出最优特征子集,交由HSVM进行训练,最终生成分类模型。实验中,对基于不同特征选择方法的HSVM分类结果进行比较,发现SVM-HSVM方法在保证分类精度的同时,检测速度较未使用特征选择方法的HSVM提高了约50%。由于网络攻击类型的多样性,如何检测出具体的攻击类型是本文研究的另一个重点。针对这一问题,本文提出了一种基于树结构的多类超球面支持向量机,并将其应用于实际网络连接数据中,对不同的攻击类型进行检测。通过实验,验证了该方法在保证较高检测率的同时,降低了误报率。