基于重采樣的級聯(lián)分類器入侵檢測研究.pdf

1、隨著信息技術的快速發(fā)展和網絡的普及，互聯(lián)網已經成為人們工作生活的重要組成部分，同時互聯(lián)網中惡意信息竊取、人身攻擊、非法牟取暴利的行為也大量增長，網絡安全問題日益突出，致使網絡安全研究的重要性日漸凸顯。
　　入侵檢測是網絡安全領域的研究熱點，是一種檢測計算機網絡或系統(tǒng)中違反安全使用行為的過程。隨著信息技術的發(fā)展，各類計算機系統(tǒng)的復雜性也呈指數(shù)級增長，這給入侵檢測帶來極大困難。本文通過對網絡入侵檢測方法的研究，發(fā)現(xiàn)常用的入侵檢測方法主

2、要致力于于提高整體的檢測率，然而卻忽視了部分重要類別的檢測率，使得R2L（來自遠程主機的未授權訪問）和U2R（未授權的本地超級用戶特權訪問）兩類攻擊行為檢測率很低，然而該兩類行為入侵成功后均可對服務器資源進行竊取或破壞，因此，提高其檢測性能顯得刻不容緩。
　　本文首先針對目前常見的主要檢測方法，分析了導致R2L和U2R兩類攻擊檢測效果不理想的原因，其主要原因有兩點：一是數(shù)據(jù)分布不平衡，導致分類發(fā)生偏斜，其為不平衡分類問題（即訓練集

3、中數(shù)據(jù)分布極其不平衡，某一類或某些類的樣本數(shù)量遠遠大于或小于其他類別）；二是該兩類攻擊很難從包頭分辨，需要數(shù)據(jù)包的詳細內容信息。通過對常用入侵檢測方法的分析與研究，發(fā)現(xiàn)他們均采用相同方法檢測各類，故很難達到理想效果，而級聯(lián)多個分類器分別做不同類的分類能有效解決入侵檢測中數(shù)據(jù)分布不平衡問題。
　　入侵檢測屬于典型的不平衡分類問題，本文系統(tǒng)深入地研究了重采樣等不平衡分類方法，針對SMOTE在對入侵檢測數(shù)據(jù)集重采樣過程中會產生噪音及邊界

4、數(shù)據(jù)的問題，引入NCL（鄰域清理）過濾器方法；提出了改進優(yōu)化的重采樣方法SMOTE-NCL用于過濾掉噪音與邊界數(shù)據(jù)。由于級聯(lián)分類器方法在解決不平衡分類問題中的優(yōu)勢和在入侵檢測中表現(xiàn)的良好效果，本文使用級聯(lián)分類器進行入侵檢測。但考慮到入侵檢測數(shù)據(jù)集中較高的特征維數(shù)對檢測性能的影響的問題，本文通過引入改進優(yōu)化的CGFR特征選擇方法，分別為級聯(lián)的分類器選擇特征子集。然后將CGFR與SMOTE-NCL應用于級聯(lián)分類器，在此基礎上提出了基于重采樣

5、的級聯(lián)分類器入侵檢測模型，以解決現(xiàn)有入侵檢測方法中對R2L和U2R兩類攻擊檢測效果不理想的問題。
　　根據(jù)理論分析實驗，本文選擇的級聯(lián)分類器中的分類方法分別為決策樹算法（C4.5）和樸素貝葉斯（NB）算法，模型級聯(lián)的第一個分類器用于訓練DoS（拒絕服務攻擊）、Probe（端口掃描）和Normal（正常數(shù)據(jù)）三類，第二個分類器用于訓練Normal、R2L和U2R三類；在檢測過程中，測試集首先進入第一個分類器被分類器分類為Normal

6、的數(shù)據(jù)進入到第二個分類器分類，最終能夠完成DoS、Probe、Normal、R2L和U2R五類的分類。
　　實驗首先對比了各種特征選擇方法與CGFR方法選擇的特征子集在級聯(lián)分類器上的分類結果；然后對比了在原數(shù)據(jù)集、SMOTE不同采樣率的和SMOTE-NCL重采樣的數(shù)據(jù)集上使用級聯(lián)分類器進行分類的結果；最后對比了在SMOTE-NCL重采樣的數(shù)據(jù)集上使用SVM、KNN、NB、C4.5以及級聯(lián)分類器方法進行分類的結果；對于U2R和R2L