基于孤立森林挖掘算法的入侵检测系统研究
发布时间:2021-07-10 18:12
针对现有网络入侵检测系统检测效率差、误检率高的弊端,基于优化IF算法设计了一种适用于大规模数据检测的系统。系统利用蒙特卡洛准则对IF算法进行深度优化,并限定一个最低的收敛值以提高数据分割的精度。系统硬件部分包括数据采集模块、解码预处理模块、检测引擎模块、日志报警模块、规则库等,在应对海量规模的数据样本时,与传统方案相比该系统具有更为明显的优势,其检测率趋近于95.98%的理论值,同时在检测耗时方面也比传统系统更有优势。
【文章来源】:盐城工学院学报(自然科学版). 2020,33(04)
【文章页数】:6 页
【部分图文】:
系统规则的整体结构
(2)解码预处理模块,按照数据的类型和规则库对原始数据作初步的预处理,例如剔除与协议不符合的数据,对原始数据进行降噪处理等。解码和预处理模块是后续运用优化IF算法进行异常检测的基础,解码和数据预处理的目的是按照协议的规则,使原始数据更适合于二叉树的匹配模式,以便在调整之后可以提供完整的数据包。另外,协议解码和预处理后的相关数据组,还可以在后续模式匹配中提高样本属性切分的合理性。(3)检测引擎模块,是入侵检测系统的核心,内置了97C51型高性能的MCU单元。检测引擎模块根据优化的IFMA算法和数据包的不同协议标准,利用97C51型芯片强大的数据在线处理功能,对进入系统的经预处理完成的数据进行阈值判定和逐层迭代反复寻优,提高了对孤立特征点的搜索能力,即使入侵数据与正常数据的特征点较为相近,也能够通过多次迭代和多次的内容匹配,在较短时间内实现对全部数据包的遍历和检测。如果一组原始数据被识别出存在异常点,则将此信息传递到日志报警模块,并记录相关规则于本地数据库,同时提醒管理员系统存在隐患。而对一些重要性较低的统计数据、日志数据等则转为离线处理,以缓解MCU单元的数据处理压力。
基于优化的IF算法的入侵检测系统采用集中式控制与分布式管理相结合的方法,其软件实现流程如图3所示。数据包解码预处理后的最重要流程是基于优化IF算法逐层分割数据集并寻找孤立的异常入侵数据点。入侵检测的过程包括对规则库的解析和对模式匹配方式的认定,基于优化的IF算法的特征匹配成功且切分函数的值趋近于0,即可以依据孤立森林挖掘算法规则检测出孤立的数据点,报警并提示系统管理员当前的数据组内含有异常的数据。算法的实现过程可以用关键代码描述如下所示:
【参考文献】:
期刊论文
[1]基于多层网络的空间信息网络拓扑结构建模方法[J]. 张喜涛,吴玲达,于少波. 计算机应用. 2019(S1)
[2]主用户模拟攻击下的协作频谱感知方法[J]. 王伦文,张孟伯,徐华正,邵豪. 系统工程与电子技术. 2019(09)
[3]“互联网+”背景下企业竞争情报变革模式研究[J]. 陈秋尧,王克平,车尧. 情报科学. 2019(05)
[4]基于复杂网络的能源互联网信息物理融合系统跨空间风险传递研究[J]. 李存斌,张磊,刘定,孙润波. 运筹与管理. 2019(04)
[5]基于假位置和Stackelberg博弈的位置匿名算法[J]. 夏兴有,白志宏,李婕,于瑞云. 计算机学报. 2019(10)
[6]基于网络攻击节点可信度的电力系统状态估计[J]. 谢斌,彭晨,张浩,杨明锦. 仪器仪表学报. 2018(03)
[7]基于ME-PGNMF的异常流量检测方法[J]. 陈露露,郭文普,何灏. 计算机工程. 2018(01)
[8]基于SIR模型的社交媒体病毒营销传播机理研究[J]. 张薇,马卫. 江西社会科学. 2016(01)
本文编号:3276417
【文章来源】:盐城工学院学报(自然科学版). 2020,33(04)
【文章页数】:6 页
【部分图文】:
系统规则的整体结构
(2)解码预处理模块,按照数据的类型和规则库对原始数据作初步的预处理,例如剔除与协议不符合的数据,对原始数据进行降噪处理等。解码和预处理模块是后续运用优化IF算法进行异常检测的基础,解码和数据预处理的目的是按照协议的规则,使原始数据更适合于二叉树的匹配模式,以便在调整之后可以提供完整的数据包。另外,协议解码和预处理后的相关数据组,还可以在后续模式匹配中提高样本属性切分的合理性。(3)检测引擎模块,是入侵检测系统的核心,内置了97C51型高性能的MCU单元。检测引擎模块根据优化的IFMA算法和数据包的不同协议标准,利用97C51型芯片强大的数据在线处理功能,对进入系统的经预处理完成的数据进行阈值判定和逐层迭代反复寻优,提高了对孤立特征点的搜索能力,即使入侵数据与正常数据的特征点较为相近,也能够通过多次迭代和多次的内容匹配,在较短时间内实现对全部数据包的遍历和检测。如果一组原始数据被识别出存在异常点,则将此信息传递到日志报警模块,并记录相关规则于本地数据库,同时提醒管理员系统存在隐患。而对一些重要性较低的统计数据、日志数据等则转为离线处理,以缓解MCU单元的数据处理压力。
基于优化的IF算法的入侵检测系统采用集中式控制与分布式管理相结合的方法,其软件实现流程如图3所示。数据包解码预处理后的最重要流程是基于优化IF算法逐层分割数据集并寻找孤立的异常入侵数据点。入侵检测的过程包括对规则库的解析和对模式匹配方式的认定,基于优化的IF算法的特征匹配成功且切分函数的值趋近于0,即可以依据孤立森林挖掘算法规则检测出孤立的数据点,报警并提示系统管理员当前的数据组内含有异常的数据。算法的实现过程可以用关键代码描述如下所示:
【参考文献】:
期刊论文
[1]基于多层网络的空间信息网络拓扑结构建模方法[J]. 张喜涛,吴玲达,于少波. 计算机应用. 2019(S1)
[2]主用户模拟攻击下的协作频谱感知方法[J]. 王伦文,张孟伯,徐华正,邵豪. 系统工程与电子技术. 2019(09)
[3]“互联网+”背景下企业竞争情报变革模式研究[J]. 陈秋尧,王克平,车尧. 情报科学. 2019(05)
[4]基于复杂网络的能源互联网信息物理融合系统跨空间风险传递研究[J]. 李存斌,张磊,刘定,孙润波. 运筹与管理. 2019(04)
[5]基于假位置和Stackelberg博弈的位置匿名算法[J]. 夏兴有,白志宏,李婕,于瑞云. 计算机学报. 2019(10)
[6]基于网络攻击节点可信度的电力系统状态估计[J]. 谢斌,彭晨,张浩,杨明锦. 仪器仪表学报. 2018(03)
[7]基于ME-PGNMF的异常流量检测方法[J]. 陈露露,郭文普,何灏. 计算机工程. 2018(01)
[8]基于SIR模型的社交媒体病毒营销传播机理研究[J]. 张薇,马卫. 江西社会科学. 2016(01)
本文编号:3276417
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3276417.html
