基于Dempster-Shafer理論的GHSOM入侵檢測(cè)方法.pdf

1、現(xiàn)階段的入侵檢測(cè)技術(shù)在現(xiàn)實(shí)使用時(shí)仍有很多的不足，比如存在較高的誤報(bào)和漏報(bào)率、很低的檢測(cè)效率和較低程度的智能化等問題。為了解決這些問題，研究者將研究的重點(diǎn)集中在合適的數(shù)據(jù)源和特征的選擇、對(duì)現(xiàn)有的檢測(cè)算法進(jìn)行改進(jìn)、研究新的較好的算法和改善整個(gè)入侵檢測(cè)模型的框架等方面。目前的入侵檢測(cè)模型大多在濫用檢測(cè)技術(shù)(Misuse Detection)和異常檢測(cè)技術(shù)(Anomaly Detection)的基礎(chǔ)上發(fā)展而來。濫用檢測(cè)較為簡(jiǎn)單，使用了特征檢測(cè)的

2、方法，有較高的檢測(cè)準(zhǔn)確性，但也存在著缺點(diǎn)，不能對(duì)某些經(jīng)過偽裝的惡意行為或未添加進(jìn)特征庫(kù)的惡意入侵進(jìn)行準(zhǔn)確判定，異常檢測(cè)判斷的標(biāo)準(zhǔn)是依據(jù)以往攻擊行為的特征平均值，對(duì)何種程度的異常才是入侵行為需要去確定一個(gè)特定的閾值，閾值的高低比較難以確定，如果閾值設(shè)置的太低，會(huì)有大量的誤報(bào)，使得誤報(bào)率居高不下，而設(shè)定的較高時(shí)，會(huì)漏報(bào)一些入侵，無法起到應(yīng)有的作用。
　　本文試引入GHSOM和D-S證據(jù)理論相結(jié)合的方法，針對(duì)存在的問題，通過使用GHSO

3、M神經(jīng)網(wǎng)絡(luò)可以無監(jiān)督地依靠數(shù)據(jù)特征對(duì)故障進(jìn)行正確聚類和識(shí)別，還可以進(jìn)行分層和動(dòng)態(tài)的增長(zhǎng)，清晰的對(duì)數(shù)據(jù)內(nèi)在層次進(jìn)行分析和模塊化解析，最終實(shí)現(xiàn)數(shù)據(jù)由模糊到清晰的聚類識(shí)別。同時(shí)注意到如果僅僅對(duì)每個(gè)數(shù)據(jù)單獨(dú)地進(jìn)行觀測(cè)，很難判斷該行為是否是惡意入侵，而如果將許多前后關(guān)聯(lián)的數(shù)據(jù)進(jìn)行統(tǒng)一考察，專家系統(tǒng)就能根據(jù)經(jīng)驗(yàn)很好的判斷出訪問的合法性，該方法可以替代傳統(tǒng)的檢測(cè)方法。
　　本文提出的DS-GHSOM檢測(cè)方法首先可以用來解決處理采集的數(shù)據(jù)樣本不確