论文研究-聚类模型参数自动选择的图库索引.pdf

所需积分/C币:5 2019-09-16 09:39:03 1.15MB .PDF
收藏 收藏
举报

根据操作系统的工作原理,对计算机执行程序的行为特征进行严密地入侵剖析。运用马尔可夫模型对计算机受到入侵时的状态建立合适粒度的状态知识源,采用模糊D-S证据论方法来融合所建立的状态知识源进行综合评判,解决了入侵检测过程多源数据融合常涉及到非排斥性假设和操作不确定性的数据所造成的误检和漏检率。经过实验分析,该方法有效地降低了误检和漏检率,提高了入侵检测的全面性和准确性。
1562007,43(22) Computer Engineering and Applications计算机工程与应用 会经常反复执行,则对应的状态转换也是循环的。这样可以置定条件概率知识P(aH)(1≤i≤5,1≤j≤N)和一个系数a1(1≤ 某种状态为常返态。譬如图2中的状态A、B、P、E。 i≤5,01∈10,1)表示与每个信息源或传感器R;(1≤i≤5)相应 若再发生事件序列W,BW2 PW EW A}可以认为是合理 的可靠性程度,每个概率P(aH1)实际上对应目标属于j类时 的。尽管B→P转移的可能性不大,但是从A→4必须经过环每个特征a遵守的法则,获得参数a没有一般规律。它与具体 ABPEA}才能返回循环调用。 计算机的漏洞及状态知识库有关,很多具体实验表明a,可取 3.1.4按功能子序列来划分知识源 程序对系统函数的调用一般是按功能子序列为团体的,因 0.5~1之间为益。 此对每个功能子序列统计其集团状态是有意义的。每个功能子 (1)设U={H1,H2,…,H}是识别框U得到的一个有序 序列对应一个或一组进程,因此将产生一个对应的子状态闭集,满足P(nHk)≥P(a1H)(任意1≤k≤j≤N)。 集。如果在状态转换过程中,此功能子序列团体还没有执行完 )考虑满足B={H1,H2,…,HN(任意h:1≤k≤N);BC 毕时状态转移就超过了这个最小团体状态闭集。则必然是发生 了异常。 2,且m(B4)>0。 定义状态空间Q的子集C为闭集,如果任意q∈C及 (3)对每个状态知识库R1(1≤i≤5);为B4={H1,H2 q2∈C都有Wa2=0.即自C的内部不能到达C的外部,这意味 H}(任意k:1≤k≤N-1)定义一个合理的BPAm2(B) 着一旦进程进入闭集C中,它一直在这些状态中转换,除非某 P(a, IH)-P(a, IH 12,若B≠(B)(任意k:1≤k≤N-1)和B≠ 个应用执行完为止。如图2,当W2=0时如果有事件序列W P(a IH,) BW2CW3F则会发生异常。尽管状态序列子集BCF是预测U则m2(B)=0,m2(U)=m2(U) P(a IH) P(a1|H1) 的正常状态转移,因为在这些状态中形成了两个封闭的子状态 集AW1BW3PW4EW64}和{CW5F。B→C不能发生,除非状态集 (4)使用公式P(H1)=∑m(B)评估每个假定H1的似 B∩|≠0 W1BW3PW4EW64}转移结束或两个闭子集状态转移都结束。 真性 3.1.5预测性检测知识源 5)最后遵从实验分析有最大似真值的假定为最大适宜的 为了提高检测的准确率和降低误报率,必须对未知的攻击决策选择。 甚至是已知攻击的变种做一些预测。对预测状态矩阵 (6)按 Dempster- Shafter推厂规则m=m1m2{m3(m4 m5=(…(m16m2)Gm3)m4)m3)的融合规则,计算组合 A= W BPAm。 n 根据上述过程对5个知识源的信度分配进行融合,得到入 W是对应的令牌传递矩阵,表示状态转移获得令牌的情侵检测的综合评判。 况。对于某一状态a发生完全状态转移时则有间 n≥0i,i∈n (1)5实验分析 0=1i∈n (2) 在实验中本文针对 Linux系统(内核版本24.l8-3)的WWW 服务器( Apache1.3-20)的进程进行了分析,测试的数据集来自 式(2)中对j求和是对状态空间A的所有可能状态进行的 niversity C eXIco ICo 此性质说明完全状态转移矩阵中任意一行元素之和为1。若分数据涉及到缓冲区溢出、后门以及远程过程调用等。 DARPA ∑m<1说明没有发生完全状态转移,即还没发现其完全转将攻击类型分为4类 Probe dos rzl和UZR为了检测该人侵 检测对新的网络攻击的检测效果,从 DARDA入侵检测评估数 移到正常状态和入侵状态,有可能会转移到一个新的尚未发现据集的测试数据集中选取近20000条数据记录作为D-S的 的状态。假设系统在某个状态a2时发生完全转移,即转移必然组测试数据集。 发生,此令牌权限值为1。已测得其转移到合理状态的权限为5.1检测结果的描述 0,转移到入侵状态的权限为,则a转移到未知状态时获得 通过数据挖掘和机器学习等方法建立的检测模型存在 令牌权限为1-0-1。转移到新状态的个数与其获得转移令牌个缺点,就是它们将待检测对象行为强行分为正常和入侵两 权限成反比。假设出现的新状态的个数为n,则n个新状态获类。而基于D-S证据论入侵检测方法并没有将待检测对象强 得的令牌权限和为W=1-10-1.。n越大则每个新状态分得的行分为正常和入侵两类,而是通过D-S方法将其融合。综合判 Wa就越小。假设an转移到新状态的可能性最大,其权限为1 断来决定该行为是否为攻击行为。 0-0。观测状态矩阵B=(b;)x中发现b转移到了一个 本文通过用图3Roc曲线来表示实验中的检测率和误报 尚未发现的状态,则通过计算Wm=1-0-02的值来预测是否 率的函数关系。 有可能发生转移。如果W很小即转移到合法状态的程度几乎 0.8 是不可能的,则说明有可能是一次入侵。 0.6 己0.4 4D-S证据论的状态知识源的融合方法 0.2 0.0 上述5种粒度划分的状态知识源S=S1,S2,S3,S4,S3},假 0.000.020.040.060.080.10 False positive rate 定识别框U={H1,H2,…,H}可能的状态数N已知,并假定给 图3检测率和误报率的函数关系的Roc曲线 张秋余,张启坤,王锐芳:基于模糊D-S证据论的入侵检测 2007,43(22)157 为了更深入地了解该算法对新型攻击的检测效果,表1列6结束语 出在同分布情况下检测效果较好的两种类型攻击的检测结果。 入侵检测是信息安全体系的核心部分之一,目前国内外的 表1新型DOS和 Probe攻击检测效果 入侵检测系统普遍存在误报率和漏报率过高的问题,这个问题 的解决,有赖于更有效的入侵检测方法。基于D-S证据论的融 攻击类型样本总数新攻击新样本攻击原样本攻击总检测率 样本数检测率/%检测率/% /% 合人侵检测方法,用数值运算代替普通模式匹配,把误用与异 DOS 11446 3276 68.176 99.4924 96.8496 常检测等5种状态知识源有机结合起来,综合考虑入侵行为的 Probe 2083 87 92.4312 89.9457 87.8782 各种因素,利用概率测度有效表示出各因素间关系的不确定 5.2D-S证据论方法与相关工作比较 性。分析和实验结果表明该方法能在保持高检测率的情况下降 低漏报率。另外,基于D-S证据论的融合入侵检测方法融合了 与本文同样关注的入侵检测的研究工作较多,表2仅列出待测对象的众多局部特征,而不是局限于某一规则的二分法, 使用 DARPA基于IDS数据进行相关检测的系统,并将D-S获 使其具有较好的鲁棒性。(收稿日期:2006年1l月) 得的实验结果与它们进行比较。 表2D-S与相关工作实验结果的比较% 参考文献 Probe DOs UIR [1] Han Sang-Jun, Cho Sung-Bae Detecting intrusion with rule-based inte- Wenke lee 91.8 5.83 gration of multiple models[J]. Computers Security, 2003, 22(7): 613-623 朴素贝叶斯92.124874.214 [2 Chen Wang-bin, Wang Li-sheng, Liao Gen -wei. Study on intrusio SVM 94.5224753960 detection techno logy based on sequence pattern mining [J M ini 68.175.817 Micro Systems,2004,25(5):878-881 从实验结果中看出,该算法用于网络入侵检测中,具有较3 i Zhi-,LJia- chun. Fuzzy neural network in intrusion detec- 高的检测率,尤其对曾经出现过的攻击,检测精度极高,对某些 tion system[J].M ini-Micro Systems, 2002, 23(10): 1235-1238 类型的新型攻击,如Dos类型,对其检测率也较高。但是对4 Dempster A Upper and lower probabilities induced by multivalued mapping[J].Annals of Mathematical Statistics, 1967, 38(2): 325-339 Probe类型而言,其对新型攻击检测率偏低,之所以出现这样的 [5]张尧学,史美林计算机操作系统教程[M北京:清华大学出版社 现象,是因为新型攻击表现出的状态转移概率与原有的该类型 的攻击表现出的状态转移概率不太符合或者有较大差距.因此6]刘次华随机过程及其应用M北京:高等教育出版社,200:48-65 如何更精确地描述攻击类型的转移概率统计是进一步提高入[7 MIT Lincoln Labs. DARPA intrusion detection evaluation EB/O 侵检测效果的研究方向。 http://www.ll.mitedu/IsT/ideval/indexhtml (上接139页) 发,从而消耗能量。还有节点在不需要发送数据时,一直保持对 200 无线信道的空闲侦听、过度侦听是没有必要的。 180 H UCP (收稿日期:2006年11月) 参考文献: 120 1李建中,李金宝,石胜飞传感器网络及其数据管理的概念、问题与 进展软件学报,2003(3). 2]任丰原,黄海宁,林闯无线传感器网络门软件学报,2003(3) 3 Soro S, Heinzelman W Prolonging the lifetime of wireless sensor networks via unequal clustering C/Proceedings of the 5th Inter- national Workshop on Algorithms for Wireless, Mohile, Ad Hoc and Sensor Networks(IEEE WMAN05 ), April 2005 0100200300400500600700 Time/ [4] Heinzelman W, Chandrakasan A, Balakrishnan H Energy -efficient 图6网络生命周期(场景2) communication protocol for wireless microsensor networksICp/proc of the 33rd Annual Hawaii Int'l Conf on System Sciences. Maui 6结论 TEEE Computer Society, 2000: 3005-3014 本文提出了一种基于不均匀簇的无线传感器网络高效节 5 Heinzelman WApplication-specific protocol architectures for wire- 能数据通讯协议(UCP),各个节点独立的运行UCP协议,簇头 less networks D]. Massachusetts Institute of Technology, June 2000 节点收集到数据后不直接传送到基站,而是传送到父亲节点, [6] Heinzelman W R, Kulik J, Balakrishnan H Adaptive protocols for 这样均衡了网络中簇头节点能量,也解决了离基站较远的簇头 information dissemination in wireless sensor networks [C]/Proc of 节点直接传送给基站而带来的能量巨大耗损问题。模拟实验显 the 5th Ann Int'I Conf on Mobile Computing and Networkin 2001:174-185 示,UCP协议的性能比 LEACH协议的性能好13%-16%。 7 Younis O, Fahmy SHEED: a hybrid, energy -efficient, distributed 下一步工作是通过改进MAC层协议,把UCP协议和 clustering approach for ad hoc sensor networks [J. IEEE Trans on MAC层协议结合起来提高无线传感器网络的生命周期。现有 Mobile Computing, 2004, 3(4): 660-669 MAC层协议采用竟争方式使用共享的无线信道,节点在发送81 Tanh o. Power efficient data gathering and aggregation in wire 数据中可能会引起多个节点之间的数据发生碰撞,这就需要重 less sensor networks[C]SIGMOD Record, 2003

...展开详情
试读 4P 论文研究-聚类模型参数自动选择的图库索引.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    抢沙发
    一个资源只可评论一次,评论内容不能少于5个字
    weixin_38743968 你的留言是对我莫大的支持
    2019-09-16
    • 至尊王者

      成功上传501个资源即可获取
    关注 私信 TA的资源
    上传资源赚积分,得勋章
    最新推荐
    论文研究-聚类模型参数自动选择的图库索引.pdf 5积分/C币 立即下载
    1/4
    论文研究-聚类模型参数自动选择的图库索引.pdf第1页
    论文研究-聚类模型参数自动选择的图库索引.pdf第2页

    试读已结束,剩余2页未读...

    5积分/C币 立即下载 >