基于自然鄰居的半監(jiān)督入侵檢測(cè)算法.pdf

1、入侵檢測(cè)系統(tǒng)是繼防火墻技術(shù)之后的新一代安全保護(hù)措施，它通過(guò)對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)信息的采集、分析，從中發(fā)現(xiàn)與正常模式不同的異常行為，及時(shí)發(fā)出警報(bào)并處理。
　　傳統(tǒng)的入侵檢測(cè)算法主要是基于監(jiān)督學(xué)習(xí)和無(wú)監(jiān)督學(xué)習(xí)的?；诒O(jiān)督學(xué)習(xí)的入侵檢測(cè)算法雖然檢測(cè)率高，但訓(xùn)練樣本難以獲取，訓(xùn)練集的建立依賴(lài)于安全領(lǐng)域?qū)＜?，代價(jià)較高；基于無(wú)監(jiān)督學(xué)習(xí)的入侵檢測(cè)算法雖然不需要建立訓(xùn)練集，但檢測(cè)率明顯低于有監(jiān)督的入侵檢測(cè)算法。實(shí)際上，網(wǎng)絡(luò)中不僅存在著大量無(wú)

2、標(biāo)簽的數(shù)據(jù)，同時(shí)也存在一些帶標(biāo)簽的數(shù)據(jù)，利用這部分帶標(biāo)簽數(shù)據(jù)進(jìn)行基于半監(jiān)督學(xué)習(xí)的入侵檢測(cè)，可以充分學(xué)習(xí)帶標(biāo)簽數(shù)據(jù)含有的信息，提升檢測(cè)算法的精度。
　　在利用聚類(lèi)的方法進(jìn)行半監(jiān)督入侵檢測(cè)時(shí)，算法通常需要設(shè)置聚類(lèi)個(gè)數(shù)，這個(gè)參數(shù)的選取非常困難，一般只能依賴(lài)大量的實(shí)驗(yàn)以及用戶(hù)在實(shí)驗(yàn)過(guò)程中的經(jīng)驗(yàn)。自然鄰居是一種新的鄰居概念，自然鄰居的搜索不需要設(shè)置任何參數(shù)，完全由算法自適應(yīng)產(chǎn)生，它完美的解決了參數(shù)設(shè)置的問(wèn)題。
　　本文結(jié)合了半監(jiān)督學(xué)習(xí)

3、和自然鄰居概念，提出了一種基于自然鄰居的半監(jiān)督入侵檢測(cè)算法(SID2N)，算法首先對(duì)帶標(biāo)簽數(shù)據(jù)按攻擊類(lèi)型分別做基于自然鄰居的聚類(lèi)，然后求出每個(gè)簇的簇中心作為分類(lèi)器的樣本，再對(duì)無(wú)標(biāo)簽數(shù)據(jù)做基于自然鄰居的分類(lèi)。算法的優(yōu)勢(shì)在于，不僅充分學(xué)習(xí)了網(wǎng)絡(luò)中可獲得的帶標(biāo)簽數(shù)據(jù)的信息，而且不需要提供參數(shù)，算法完全是自適應(yīng)的。
　　本文從KDD CUP99的Corrected數(shù)據(jù)集中選取19999條記錄作為實(shí)驗(yàn)數(shù)據(jù)集，首先對(duì)數(shù)據(jù)集進(jìn)行了數(shù)值化、標(biāo)準(zhǔn)化

4、和歸一化，根據(jù)SPSS分析結(jié)果和屬性的信息增益，從41個(gè)屬性特征中選取了15個(gè)相關(guān)度最大的特征，然后對(duì)數(shù)據(jù)集的部分?jǐn)?shù)據(jù)進(jìn)行了標(biāo)記，將基于自然鄰居的半監(jiān)督入侵檢測(cè)算法的結(jié)果和SAID半監(jiān)督入侵檢測(cè)算法的結(jié)果做比較，實(shí)驗(yàn)證明，基于自然鄰居的半監(jiān)督入侵檢測(cè)算法無(wú)論在檢測(cè)率、誤報(bào)率還是漏警率上都有優(yōu)勢(shì)，驗(yàn)證了算法的有效性；然后改變帶標(biāo)簽數(shù)據(jù)的比例，分別對(duì)數(shù)據(jù)集的1/5數(shù)據(jù)、1/4數(shù)據(jù)和1/3數(shù)據(jù)做標(biāo)記，用基于自然鄰居的半監(jiān)督入侵檢測(cè)算法進(jìn)行檢測(cè)