基于稀疏表示的協(xié)同入侵檢測.pdf

1、隨著計算機網(wǎng)絡(luò)的迅猛發(fā)展,網(wǎng)絡(luò)安全問題成為人們關(guān)注的焦點。如何應(yīng)對大規(guī)模的高速數(shù)據(jù)流檢測,如何實現(xiàn)在線學(xué)習(xí),如何減少或消除噪聲數(shù)據(jù)的影響,是入侵檢測系統(tǒng)面臨的主要挑戰(zhàn)。入侵檢測本質(zhì)上可以看成一個分類問題,可以把所有的網(wǎng)絡(luò)行為分成兩類:正常行為和異常行為,這樣入侵檢測問題就可以轉(zhuǎn)化成模式識別問題。解決這個分類問題的關(guān)鍵是模式的有效抽取和分類模型的建立。稀疏表示理論在近年來已被廣泛關(guān)注,在圖像處理等領(lǐng)域也得到了廣泛應(yīng)用。相對于傳統(tǒng)的采用正交

2、基來變換信號,基于超完備字典的信號稀疏分解是一種新的信號表示理論,通過這種超完備字典把數(shù)據(jù)變換到另一空間,即進行稀疏編碼,會帶來更好的分類效果,因為是稀疏表示系數(shù)從某種意義上帶有一定的判別信息。
　　 富有表示力、針對不平衡數(shù)據(jù)集的魯棒性、可以應(yīng)對大規(guī)模數(shù)據(jù)的訓(xùn)練和較好的去噪性能、檢測速度快和自適應(yīng)學(xué)習(xí),稀疏表示所具有的這些特點可有效應(yīng)對入侵檢測的高維數(shù)據(jù)和缺乏先驗知識的情況,保證較高的檢測率和較低的誤報率,減少丟包率,提升入侵

3、檢測系統(tǒng)的性能。本文的主要工作包括:
　　 (1)設(shè)計了一個協(xié)同入侵檢測模型,該模型由數(shù)據(jù)采集器、數(shù)據(jù)預(yù)處理、檢測代理、響應(yīng)單元與數(shù)據(jù)存儲器組成,并詳細介紹了模型中各個模塊的功能。
　　 (2)設(shè)計了一組檢測代理,分別用于檢測TCP／UDP／ICMP協(xié)議的攻擊,各代理獨立地檢測網(wǎng)絡(luò)攻擊行為,又協(xié)同完成整個檢測任務(wù)。本文詳細描述了單個檢測代理的結(jié)構(gòu)和構(gòu)建過程。
　　 (3)提出了三個基于稀疏表示的入侵檢測算法,用于

4、分別構(gòu)建檢測代理。
　　 ①針對正常類和攻擊類分別訓(xùn)練字典,利用子空間結(jié)構(gòu)理論,通過重構(gòu)誤差來判斷測試樣本的類別。②采用判別式K—SVD算法,由于稀疏系數(shù)本身具有很強的表示力和判別力,同時考慮到類別信息,在訓(xùn)練過程中,同時優(yōu)化完備字典和線性判別函數(shù)。③將稀疏表示理論和支持向量機結(jié)合,由于稀疏系數(shù)本身所帶有的類別信息,使得支持向量機在入侵檢測上表現(xiàn)出更好的性能。
　　 (4)給出了訓(xùn)練數(shù)據(jù)精簡和增量學(xué)習(xí)的方法。模型訓(xùn)練時,