基于Dempster-Shafer理論的GHSOM入侵檢測方法.pdf

1、現(xiàn)階段的入侵檢測技術在現(xiàn)實使用時仍有很多的不足，比如存在較高的誤報和漏報率、很低的檢測效率和較低程度的智能化等問題。為了解決這些問題，研究者將研究的重點集中在合適的數(shù)據(jù)源和特征的選擇、對現(xiàn)有的檢測算法進行改進、研究新的較好的算法和改善整個入侵檢測模型的框架等方面。目前的入侵檢測模型大多在濫用檢測技術(Misuse Detection)和異常檢測技術(Anomaly Detection)的基礎上發(fā)展而來。濫用檢測較為簡單，使用了特征檢測的

2、方法，有較高的檢測準確性，但也存在著缺點，不能對某些經(jīng)過偽裝的惡意行為或未添加進特征庫的惡意入侵進行準確判定，異常檢測判斷的標準是依據(jù)以往攻擊行為的特征平均值，對何種程度的異常才是入侵行為需要去確定一個特定的閾值，閾值的高低比較難以確定，如果閾值設置的太低，會有大量的誤報，使得誤報率居高不下，而設定的較高時，會漏報一些入侵，無法起到應有的作用。
　　本文試引入GHSOM和D-S證據(jù)理論相結合的方法，針對存在的問題，通過使用GHSO

3、M神經(jīng)網(wǎng)絡可以無監(jiān)督地依靠數(shù)據(jù)特征對故障進行正確聚類和識別，還可以進行分層和動態(tài)的增長，清晰的對數(shù)據(jù)內(nèi)在層次進行分析和模塊化解析，最終實現(xiàn)數(shù)據(jù)由模糊到清晰的聚類識別。同時注意到如果僅僅對每個數(shù)據(jù)單獨地進行觀測，很難判斷該行為是否是惡意入侵，而如果將許多前后關聯(lián)的數(shù)據(jù)進行統(tǒng)一考察，專家系統(tǒng)就能根據(jù)經(jīng)驗很好的判斷出訪問的合法性，該方法可以替代傳統(tǒng)的檢測方法。
　　本文提出的DS-GHSOM檢測方法首先可以用來解決處理采集的數(shù)據(jù)樣本不確