基于启发式特征搜索的网络入侵检测研究
发布时间:2022-01-15 04:59
近年来,互联网作为最重要的基础设施之一,面临着日益严峻的安全性问题。网络入侵行为复杂多变,单靠收集攻击行为模式并添加防御规则的策略远不足以抵御风险,因此人们在网络入侵检测和防御的研究热点逐渐转向了基于启发式意义的算法上。随着机器学习和数据挖掘等技术的兴起,基于网络流量行为特征的入侵检测成为了网络安全领域研究的重要方向。本文基于改进和进一步优化的遗传算法与神经网络算法建立入侵检测模型。重点研究了利用优化遗传算法对神经网络模型的拓扑结构进行启发式搜索和选择的过程。神经网络算法用于挖掘网络连接报文中的有效特征信息,遗传算法用于对神经网络模型进行调优,并对其在数据特征的搜索机制上进行优化。最后对不同版本的遗传算法进行了对比和统计分析。结果显示,优化后的遗传算法与神经网络模型具有高度兼容性,能够在KDD99网络入侵数据集的检测上得到出色的结果。同时,将结果与支持向量机、蚁群算法以及不同版本遗传算法的计算结果进行对比验证,结果表明本文中改进的入侵检测模型在多个数据集的测试上具有较高的准确率和较低的假阳性率与假阴性率。本文的主要研究内容分为以下四个部分。(1)基于遗传算法进行多方面细节优化,构造在参...
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:78 页
【学位级别】:硕士
【部分图文】:
神经网络的基础结构
第二章网络入侵检测基础11jk|w-x||w-x|成立对所有kj(2-4)其中输入样本和第j个节点对应样本分别为x和wj。基于如下数学形式,获胜神经元会向输入样本在参数空间中的位置移动一段距离:)(jjwxw(2-5)其中wj表示了第j个节点位置的变化,α作为学习率设置为较小的值,防止模型参数出现剧烈的变化。与获胜神经元节点类似,其近邻节点也逐渐向输入向量位置靠近,总体会出现分布的结构化特征。近邻节点的定义范围由阈值参数N决定,在欧式距离范围内节点数量小于N的临界区域任意节点wm均根据获胜节点的分布情况向输入神经元逼近[28]。随着网络大量的训练和尝试过程,节点集合最终会找到适应数据集本身的分布结构。图2-2展示了在不同阶段的训练过程中节点分布的变化情况。图2-2自组织映射在自组织映射的四个训练阶段里,(a)中节点在图中随机分布,(b)和(c)中的节点根据输入向量节点的位置进行调整,(d)中的节点排列为经过若干训练和调整后的稳定结构,此时可以对新的输入向量做分类判别。调整的过程中,每个节点会呈现一个聚类中心,新的输入分类结果取决于它离这些节点的欧式距离。换言之,获胜节点由离输入距离最近的神经元再一次被重设。在这个聚类过程中,训练过程结束后节点不再移动位置。在入侵检测业务过程中,对访问请求合法性的判断即为一个较为复杂的分类问题。要分类的数目与自组织映射里节点的个数是相等
电子科技大学硕士学位论文12的,由此来划分数据集属性类别[29-31]。2.5.2支持向量机同其它线性分类器一样,支持向量机(SVM)的目标是在p维的特征空间中找到一个p-1维的超平面,使其能够将数据集分为两类。支持向量机分类的超平面要求尽可能地远离分类后距离平面最近的数据点。换言之,支持向量机对于不同的分类样本点,要求其在分布空间中彼此之间的间距尽可能大。图2-3表示了一个分类问题的三个可用分类超平面(决策面),对于三角形和圆形表示的两类样本点在特征空间中的分布,可以画出三个决策面以对其进行分类。其中只有Line2在两类样本之间分隔出了最大的边界距离,SVM算法即要找到类似于Line2在此分类过程中所表示的决策面。其中只有Line2是尽可能分隔分类样本数据点的。图2-3支持向量机示意图这种思想的数学形式阐述如下,有以下形式的训练数据集:)}c)...(xc)(xc)(xc{(xnn332211(2-6)其中,ci为-1或+1,表明了xi所归属二分类中的哪一类。然后我们可以通过满足如下形式的表达定义分类超平面:bx0w(2-7)w是独立于超平面的向量,b是距离原点的偏移量。当前便需要确定w和b的值以使得分类平面两边的最近样本距离最大。换句话说,我们需要找到合适的
【参考文献】:
期刊论文
[1]蚁群算法理论及应用研究的进展[J]. 段海滨,王道波,朱家强,黄向华. 控制与决策. 2004(12)
[2]一种基于动态进化模型的事件探测和追踪算法[J]. 贾自艳,何清,张海俊,李嘉佑,史忠植. 计算机研究与发展. 2004(07)
[3]人工神经网络用于岩体工程的方法改进[J]. 刘勇健,刘义建. 广东工业大学学报. 2002(01)
[4]一种自适应蚁群算法及其仿真研究[J]. 王颖,谢剑英. 系统仿真学报. 2002(01)
本文编号:3589949
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:78 页
【学位级别】:硕士
【部分图文】:
神经网络的基础结构
第二章网络入侵检测基础11jk|w-x||w-x|成立对所有kj(2-4)其中输入样本和第j个节点对应样本分别为x和wj。基于如下数学形式,获胜神经元会向输入样本在参数空间中的位置移动一段距离:)(jjwxw(2-5)其中wj表示了第j个节点位置的变化,α作为学习率设置为较小的值,防止模型参数出现剧烈的变化。与获胜神经元节点类似,其近邻节点也逐渐向输入向量位置靠近,总体会出现分布的结构化特征。近邻节点的定义范围由阈值参数N决定,在欧式距离范围内节点数量小于N的临界区域任意节点wm均根据获胜节点的分布情况向输入神经元逼近[28]。随着网络大量的训练和尝试过程,节点集合最终会找到适应数据集本身的分布结构。图2-2展示了在不同阶段的训练过程中节点分布的变化情况。图2-2自组织映射在自组织映射的四个训练阶段里,(a)中节点在图中随机分布,(b)和(c)中的节点根据输入向量节点的位置进行调整,(d)中的节点排列为经过若干训练和调整后的稳定结构,此时可以对新的输入向量做分类判别。调整的过程中,每个节点会呈现一个聚类中心,新的输入分类结果取决于它离这些节点的欧式距离。换言之,获胜节点由离输入距离最近的神经元再一次被重设。在这个聚类过程中,训练过程结束后节点不再移动位置。在入侵检测业务过程中,对访问请求合法性的判断即为一个较为复杂的分类问题。要分类的数目与自组织映射里节点的个数是相等
电子科技大学硕士学位论文12的,由此来划分数据集属性类别[29-31]。2.5.2支持向量机同其它线性分类器一样,支持向量机(SVM)的目标是在p维的特征空间中找到一个p-1维的超平面,使其能够将数据集分为两类。支持向量机分类的超平面要求尽可能地远离分类后距离平面最近的数据点。换言之,支持向量机对于不同的分类样本点,要求其在分布空间中彼此之间的间距尽可能大。图2-3表示了一个分类问题的三个可用分类超平面(决策面),对于三角形和圆形表示的两类样本点在特征空间中的分布,可以画出三个决策面以对其进行分类。其中只有Line2在两类样本之间分隔出了最大的边界距离,SVM算法即要找到类似于Line2在此分类过程中所表示的决策面。其中只有Line2是尽可能分隔分类样本数据点的。图2-3支持向量机示意图这种思想的数学形式阐述如下,有以下形式的训练数据集:)}c)...(xc)(xc)(xc{(xnn332211(2-6)其中,ci为-1或+1,表明了xi所归属二分类中的哪一类。然后我们可以通过满足如下形式的表达定义分类超平面:bx0w(2-7)w是独立于超平面的向量,b是距离原点的偏移量。当前便需要确定w和b的值以使得分类平面两边的最近样本距离最大。换句话说,我们需要找到合适的
【参考文献】:
期刊论文
[1]蚁群算法理论及应用研究的进展[J]. 段海滨,王道波,朱家强,黄向华. 控制与决策. 2004(12)
[2]一种基于动态进化模型的事件探测和追踪算法[J]. 贾自艳,何清,张海俊,李嘉佑,史忠植. 计算机研究与发展. 2004(07)
[3]人工神经网络用于岩体工程的方法改进[J]. 刘勇健,刘义建. 广东工业大学学报. 2002(01)
[4]一种自适应蚁群算法及其仿真研究[J]. 王颖,谢剑英. 系统仿真学报. 2002(01)
本文编号:3589949
本文链接:https://www.wllwen.com/kejilunwen/sousuoyinqinglunwen/3589949.html