论文摘要
计算机网络的广泛应用和黑客攻击的频繁出现使得人们更加关注网络安全问题。入侵检测技术作为保障计算机和网络安全的重要手段,成为近年来网络安全领域的研究热点。随着攻击手段的复杂化和网络规模的发展,基于网络的入侵检测越来越发挥更大的作用。网络入侵检测系统通过执行监测、预警、识别、决策和响应等一系列任务,完成网络对抗过程的重要功能,已经成为网络安全系统工程的重要组成部分。目前,网络异常入侵检测仍然是入侵检测研究领域的热点和难点,存在着检测率不够高、检测范围不够全面、检测效率不能满足大规模高速网络实时检测的要求等问题。在无人指导的网络异常入侵检测领域,基于D-S证据理论的网络异常入侵检测技术已经吸引了国内外诸多学者的研究,但大都停留在应用经典的D-S证据理论对网络特征数据进行融合;然而网络数据不可避免地存在冲突,经典D-S证据理论对存在严重冲突的证据进行融合时却不能得到合理的结果,因此会导致检测系统的误报率和漏报率较高等问题。本文结合经典的Dempster-Shafer证据理论和Fabio等提出的扩展D-S证据融合理论,提出一种证据融合算法EDS。该算法可实时地对大量存在严重冲突的证据进行融合并能够得到更加合理的结论;在两互斥目标的辨识框架下,该算法的时间复杂度仅为O(n),具有较高的融合效率,可应用于网络实时检测。鉴于此,本文将EDS融合算法应用于网络入侵检测,针对目前网络异常检测的不足,提出一种实时网络异常入侵检测模型。该模型对存在严重冲突的网络数据进行融合后能够获得较为合理的结果,从而降低模型系统的误报率和漏报率;同时该模型检测算法效率较高,可适用于大规模网络实时检测,并具有较大的检测范围。该模型属于无人指导的网络异常检测范畴,利用统计特征的期望偏方差确定基本概率分配函数,使用显著特征粗集分类机制降低融合严重冲突数据的频率来提高特征学习的准确性;同时采用数据区分度机制来实时反映网络流量特征,以提高模型系统的检测率。最后通过UCI WBCD小维数据集和KDD Cupl999多维数据集的实验表明,该模型检测引擎基于有限维数据特征就能够在较低算法复杂度和较低误报率的前提下达到较高的检测率,具有实时检测的能力和良好的可扩展性,并对新型攻击有一定的免疫力。