（计算机软件与理论专业论文）基于多分类器集成的入侵检测研究.pdf

aat8l产if j碍 r e s e a r c ho fi n t r u s i o nd e t e c t i o nb a s e do ni n t e g r a t i o no fm u l t i p l ec l a s s i f i e r s 争 * i 0 b y z h u l i n j i e ( h e n a np o l y t e c h n i cu n i v e r s i t y ) 2 0 0 3 at h e s i ss u b m i t t e di np a r t i a ls a t i s f a c t i o no ft h e r e q u i r e m e n t sf o rt h ed e g r e e o f m a s t e ro fe n g i n e e r i n g 1 n c o m p u t e rs o f t w a r ea n dt h e o r y i nt h e g r a d u a t es c h o o l o f l a n z h o uu n i v e r s i t yo ft e c h n o l o g y s u p e r v i s o r p r o f e s s o rz h a n gy o n g m a y , 2 0 1 1 玉j*p=qi 舢5 2舢85 8m 8_-y ； 令 ， j 、 e 。 l l i 膏 吖 ，； 0 。 枣 山 i 兰州理工大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的 研究成果。除了文中特另t l d n 以标注引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均 已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 作者签名： 糸毒未衣 1 7 7 1j 朝：d i 年碍z 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权兰州理工大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同 时授权中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据 库，并通过网络向社会公众提供信息服务。 作者签名： 糸农俄 日期：勿年，月2 日 刷帷轹，i2p 肌训，钳肌们 。协 n ， o - i 乞 ， 硕十学位论文 目录 摘要i a b s t t a c t ii 插图索引i v 附表索引v 第1 章绪论1 1 1 研究背景及意义1 1 2 国内外研究现状2 1 2 1 入侵检测国内外研究现状2 1 2 2 多分类器集成研究现状及内容3 1 3 论文的主要研究内容与组织结构安排5 1 3 1 主要研究内容5 1 3 2 论文的组织结构与安排6 第2 章相关技术与理论知识7 2 1 入侵检测模型7 2 1 1i d e s 模型7 2 1 2c i d f 模型7 2 2 入侵检测的基本原理8 2 2 1 异常检测( 基于行为的检测) 8 2 2 2 误用检测( 基于知识的检测) 8 2 2 3 特征检测9 2 3 入侵检测分类9 2 4 入侵检测的局限性及发展方向1 1 2 4 1 入侵检测的局限性1 l 2 4 2 入侵检测的发展方向1 2 2 5 分类方法13 2 5 1 聚类l3 2 5 2 贝叶斯13 2 5 3 随机森林13 2 5 4 支持向量机14 2 6 相关概念15 2 6 1 遗传算法16 2 6 2 遗传算法步骤17 2 6 3 禁忌搜索18 2 7 本章小结18 第3 章多分类器集成方法分析19 。争 7 一 基于多分类器集成的入侵检测研究 3 1b o o s t i n g 算法一1 9 3 2b a g gin g 算法2 0 3 3b a g g i n g 算法描述2 0 3 4b a g g i n g 算法的理论分析2 1 3 5b a g gin g 与b o o s tin g 算法比较2 2 3 6 本章小结2 2 第4 章基于异构分类器集成的入侵检测方法2 3 4 1 相关研究2 3 4 2 分类器融合2 4 4 2 1 分类器融合概念2 4 4 2 2 加权投票融合算法2 4 4 3 异构分类器集成基本思想2 5 4 3 1 投票方法2 5 4 3 2 改进的加权投票2 6 4 3 3 表决权的决定2 6 4 3 4 分类器结合模型图2 7 4 3 5 算法步骤2 9 4 4 实验3 0 4 4 1 实验数据集3 0 4 4 2 实验结果与分析3 4 4 5 本章小结3 5 第5 章基于遗传禁忌搜索的分类器选择集成方法3 6 5 1 相关研究3 6 5 2 遗传算法3 7 5 2 1 编码方法3 7 5 2 2 适应度函数3 7 5 2 3 遗传操作3 8 5 3 禁忌搜索3 9 5 3 1 禁忌搜索算法流程3 9 5 3 2 禁忌搜索算法步骤4 0 5 3 3 禁忌搜索算法的关键参数及其操作4 0 5 3 4 禁忌搜索的优缺点4 1 5 4 改进的遗传算法4 2 5 4 1 编码方案4 2 5 4 2 适应度函数设计4 2 5 4 3 邻域函数设计4 3 5 4 4 改进的遗传搜索算法模型4 3 ， - 童 硕十学位论文 5 4 5 算法步骤4 3 5 5 实验4 4 5 5 1 实验数据集4 5 5 5 2 实验结果与分析4 5 5 6 本章小结4 6 总结与展望4 参考文献4 9 致谢5 3 附录a 攻读硕士学位期间所发表的论文5 4 膏 ， ， 鲁 硕十学位论文 摘要 最近几年，随着网络技术的不断进步，计算机系统遭受的攻击越来越多，网 络安全问题变得越来越严重，直接影响国家和个人的利益。入侵检测作为一种新 型的网络安全技术，能够在网络关节点中发现查找分析信息，检测出多种类型的 攻击，弥补了传统安全技术的不足，是网络安全结构中重要的一环。但现有的检 测方法在检测精度上还是不太好，主要表现在：入侵检测的精度不高、误报率高 等问题，这严重影响了网路的正常使用，所以，怎样有效阻止入侵的发生，成为 现在的焦点问题。 为了提高入侵检测的性能，本文把多分类器集成思想引入到入侵检测之中。 主要围绕多分类器集成及其在入侵检测中的应用展开研究。主要工作包括以下几 个方面： ( 1 ) 异构分类器集成：这种方法由随机森林，支持向量机，聚类，贝叶斯四 种分类器组成异构分类器，综合了这些分类器的优点。首先每个分类器单独地做 出决策，得到每一个类的误报率，然后计算每一个输出的权值，使得误报率越小， 权值越大，最后对每个类别计算加权和。使用加权投票方法统计每个连接属于每 一类的票数，看哪一类票数最大，就判别为哪一类。 ( 2 ) 基于遗传算法的分类选择性集成方法：遗传算法过早的收敛主要是因为 交叉和变异算子概率取值不当，该方法针对这个问题，经过遗传交叉变异后，先 不直接判断比较子孙，而是用禁忌算法搜索局部最优解后，再搜索大部分未知区 域，得到一组解，与父代比较，再判断哪个解最好。使用b a g g i n g 算法产生一系 列分类器，用该方法对分类器进行选择，能够使得整体的集成效果更好。 实验结果表明，本文使用的方法是有效的，能够较好的提高检测精度，降低 误报率。 关键词：入侵检测；多分类器集成；遗传算法；禁忌算法 a b s tr a c t i nr e c e n ty e a r s ，a st h en e t w o r kt e c h n o l o g ya d v a n c e s ，t h ea t t a c k o nc o m p u t e r s y s t e m sb e c o m e sm o r ea n dm o r ea n dn e t w o r ks e c u r i t yi s s u e sb e c o m em o r es e r l o u s a n dd i r e c t l yi m p a c to nn a t i o n a la n dp e r s o n a li n t e r e s t s i n t r u s i o nd e t e c t i o na san e w n e t w o r ks e c u r i t yt e c h n o l o g yi sa ni m p o r t a n tp a r to ft h es t r u c t u r e ，w h i c hc a nh e l pt o f i n dt h ek e yp o i n t so fi n f o r m a t i o n ，t ot e s tav a r i e t yo ft y p e so fa t t a c k s ，a n dt om a k e u p t h ed e f i c i e n c yo ft r a d i t i o n a ls e c u r i t yt e c h n o l o g i e s h o w e v e r , t h ee x i s t i n g d e t e c t i o nm e t h o d si nt h ed e t e c t i o na c c u r a c yi ss t i l ln o tv e r yg o o d s u c hp r o b l e m sa s l e s sp r e c i s i o no fi n t r u s i o nd e t e c t i o n ，h i g h e rf a l s ep o s i t i v er a t e ，a n ds oo n ，s e r i o u s l y a f f e c t st h en o r m a lu s eo ft h en e t w o r k s oh o wt oe f f e c t i v e l yp r e v e n tt h eo c c u r r e n c e o ft h ei n v a s i o ni sn o w t h ef o c a lp o i n t i no r d e rt oi m p r o v et h ea b i l i t yo fi n t r u s i o nd e t e c t i o n ，i n t e g r a t i o nt h o u g h t so f m u l t i p l ec l a s s i f i e r si si n t r o d u c e di n t oi n t r u s i o n d e t e c t i o ni nt h ep a p e r t h ep a p e r m a i n l yf o c u s e do ni n t e g r a t i o no fm u l t i p l ec l a s s i f i e r sa n d i t sa p p l i c a t i o ni ni n t r u s i o n d e t e c t i o n i t sm a i nt a s k sa r et h ef o l l o w i n g ： ( 1 ) h e t e r o g e n e o u s c l a s s i f i e re n s e m b l e ：i nt h i s a p p r o a c hh e t e r o g e n e o u s c l a s s i f i e r si sc o m p o s e do ft h er a n d o mf o r e s t s ，s u p p o r tv e c t o rm a c h i n e s ，c l u s t e r i n g a n db a y e s i a nc l a s s i f i e r ，w h i c hc o m b i n e st h ea d v a n t a g e so ft h e s ec l a s s i f i e r s f i r s t l y , e a c hc l a s s i f i e ri n d i v i d u a l l ym a k e sd e c i s i o n s ，a n dg e t st h ef a l s ep o s i t i v er a t ef o re a c h c l a s s ，a n dt h e nc a l c u l a t e st h ew e i g h t so fe a c ho u t p u t ，m a k i n gt h ef a l s ep o s i t i v er a t e l o w e ra n dt h ew e i g h th i g h e r f i n a l l y , t h ew e i g h t e d s u mo fe a c hc l a s si s c a l c u l a t e d u s i n gt h em e t h o do fw e i g h t e dv o t i n g ，t h en u m b e ro fv o t e si sc o u n t e di n e a c hc o n n e c t i o n ，a n dt h e na c c o r d i n gt ot h em a x i m u mn u m b e rt o d e t e r m i n et h e c o n n e c t i o nb e l o n g st oe a c hc l a s s ( 2 ) a nc l a s s i f i c a t i o ns e l e c t i v ee n s e m b l ea p p r o a c hb a s e d o ng e n e t i ca l g o r i t h m ： p r e m a t u r ec o n v e r g e n c eo fg e n e t i ca l g o r i t h m i sm a i n l yd u et ot h ef a c tt h a tt h e p r o b a b i l i t y o fc r o s s o v e ra n dm u t a t i o no p e r a t o r sa r ei m p r o p e r t h r o u g hg e n e t i c c r o s s o v e ra n dm u t a t i o n t h em e t h o df o rt h i sp r o b l e mw h i c ht h ef u t u r eg e n e r a t i o n s a r en o td i r e c t l yc o m p a r e da n dd e t e r m i n e d ，b u ta f t e rt h el o c a lo p t i m a ls o l u t i o ni s s c a r e h e db yt h et a b us e a r c h ，m o s to ft h eu n k n o w na r e ai sf o u n da n dt h e n as e to f s o l u t i o n si sg o t ，a n dt h e nw h i c hi sc o m p a r e dw i t ht h ep a r e n t ，a c c o r d i n g l yt oj u d g e w h i c hs o l u t i o ni st h eb e s t as e r i e so fa l g o r i t h m s a r es h o w e di nt h eb a g g i n g c l a s s i f i e r t h e nc l a s s i f i e ri sc h o o s e nb yt h i sm e t h o d ，t h i sm a k e so v e r a l li n t e g r a t i o n b e t t e r i i 一 e x p e r i m e n t a lr e s u l t ss h o wt h a tt h eu s e dm e t h o di se f f e c t i v ei nt h a tc a n n o to n l y b e t t e ri m p r o v et h ed e t e c t i o na c c u r a c yb u tr e d u c ef r e q u e n c i e so ff a l s ep o s i t i v er a t e k e y w o r d s ：i n t r u s i o nd e t e c t i o n ；i n t e g r a t i o no f m u l t i p l ec l a s s i f i e r s ；g e n e t i c a l g o r i t h m ；t a b ua l g o r i t h m 1 1 1 鼻 基于多分类器集成的入侵检测研究 图2 1 图2 2 图2 3 图2 4 图2 5 图2 6 图3 1 图3 2 图4 1 图4 2 图4 3 图4 4 图5 1 图5 2 图5 3 插图索引 i d e s 模型图7 公共入侵检测框架7 异常检测模型8 误用检测模型9 随机森林模型图1 4 遗传算法基本流程图1 7 集成学习模型1 9 b a g g i n g 算法模型2 2 分类集成模型2 4 分类器结合模型图2 8 各种攻击集成框架图2 9 入侵检测模型图3 0 禁忌搜索算法流程图4 0 改进的遗传搜索算法模型4 3 遗传禁忌方法进行分类器选择的入侵检测模型4 4 i v 一 硕十学位论文 附表索引 4 1 攻击类别介绍3 1 4 3 单个t c p 连接的基本特征3 2 4 4 在一个连接内内容属性3 3 4 52 s 时间窗口内流量属性3 3 4 6 随机抽取样本表3 4 4 7 检测精度对比3 4 4 8 误报率对比3 5 5 1 数据集选取情况4 5 5 2 检测正确率4 5 5 3 误报率对比表4 6 v 表表表表表表表表表表 一 硕十学位论文 1 1 研究背景及意义 第1 章绪论 近年来，随着网络科技的快速向前发展，计算机网络给人们生活的方方面面 带来显著的变化，但是面对非常多的信息资源，网络上的信息传递也存在着不利 于安全的因素。造成了各种重要部门的信息、商业机密等都受到了很大的影响， 网络安全变成了许多网络用户关注的话题之一。到目前为止，出现了不少攻击， 如缓冲区溢出攻击、端i s i 扫描攻击、i p 欺骗攻击、拒绝服务攻击、权限访问等。 它们不但对安全网络构成了较大的隐患。而且还给网络增添了不利的后果。所以， 网络安全问题是网络用户没有办法避免的现实问题。 依据国家计算机互联网应急中一l 、c n c e r t c c 的2 0 1o 年上半年中国互联网网 络安全统计报告，互联网安全形势主要体现在以下几个方面：2 0 10 年上半年 c n c e r t 共接收4 7 8 0 次网络安全事件报告( 不包括扫描和垃圾邮件类事件) ，与 2 0 0 9 年上半年相比增长l0 5 。其中，恶意代码、漏洞和网页仿冒事件报告次数 居前三位，所占比例分别为：5 7 5 7 ，2 5 9 6 和1 5 4 8 。2 0 1 0 年上半年c n c e r t 国家中心和各分中心处理各类网络安全事件共7 8 4 件，与2 0 0 9 年上半年相比增长 9 2 2 。其中，恶意代码、网页仿冒、网页篡改是事件处理的重点，上述事件处 理数量占事件处理总数的9 8 以上。 2 0 1o 年上半年国家信息安全漏洞共享平台 ( c n v d ) 共收录信息安全漏洞1 2 4 1 个，其中高危、中危、低危漏洞分别占1 9 3 4 、 2 3 9 3 和5 6 7 3 。2 0 10 年上半年国家信息安全漏洞共享平台( c n v d ) 收录的信 息安全漏洞中，可用于实施远程网络攻击的漏洞有10 7 6 个，占收录漏洞总数的 8 6 7 0 ，0d a y 漏f f d 1 0 7 - 个t 。 总的来说，所统计出的报告网络安全事件主要在于恶意代码、漏洞、网页仿 冒事件等。根据报告的网络安全事件类型统计，恶意代码事件比例最大，为2 7 2 5 次，占报告事件总数的5 7 5 7 。其次是漏洞事件，为l2 4 1 次，占2 5 9 6 。网页 仿冒数量为7 4 0 次，占1 5 4 8 。拒绝服务攻击事件为4 7 次，占0 9 8 。 从以上数据可以看出，2 0 1 0 年上半年所收到的网络安全报告数量跟去年同期 相比大幅度增加，恶意代码事件、漏洞事件仍就是影响企业和用户网络安全的主 要威胁。 所以研究有效合理的安全防范措施是当前网络面临的主要大事。安全方法已 经很多了，如防火墙在网络安全技术中虽然起到了一定的作用，但它只是网络安 全防范中的一个组成部分。然而防火墙不能防范绕过自身的攻击，如内部提供拨 号服务，以及不能防范来自内部人员恶意的攻击，它也无法解决本身的安全问题， 基丁多分类器集成的入侵枪测研究 它是一种被动的技术，防火墙无法提供有效的安全保障力量等许多问题【2 3 】。入 侵检测是对入侵活动的发现。它利用从计算机网络或系统中的某个关节点找到信 息，然后对此信息实施分析，从而找出网络或系统中有没有违备安全措施的行动 和遭到攻击的现象【4 】。它被称为是防火墙的第二层安全防护技术，在不构成对网 络性能影响的前提下，它是一种高效的主动的安全保障技术，对内外部的攻击进 行实时检测，是有效弥补了防火墙的不足【5 】。当今，国内的许多研究者已经对防 火墙具有很好的认识，但是对入侵检测认识的还是不够深刻，目前对入侵检测技 术研究获得了一定的成果，但面对于网络上层出不穷、变化多端的攻击还是表现 得不太有力，而且缺乏有效性和自适应性和伸缩性还有缺乏互操作性【6 ，7 】。正是 在这种情况下对于入侵检测研究具有重要意义。 1 2 国内外研究现状 1 2 1 入侵检测国内外研究现状 从二十世纪七十年代开始，国外就已经对入侵检测有了研究， a n d e r s o n 8 】 首次提到入侵检测的基本概念，指出审计追踪可用到监视入侵威胁的思想，这些 被称为入侵检测的原创性工作【9 】。随后美国国家安全通信委员会下面的单位给出 了入侵检测的比较经典的定义，即入侵检测是对企图入侵、正在实施的入侵或者 已经发生过的入侵进行识别这样一个过程。1 9 8 4 年，d o r o t h yd e n n i n g 1 0 】依据这 些发表了论文入侵检测模型从此对入侵检测领域的相关研究被广泛的展开。 1 9 9 0 年加州大学戴维斯分校的l t o d d h e b e r l e i n 等人】研究出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。通过与以往的入侵检测作比较，其中最大特点仅 仅是监测网络的信息流量进行跟踪被怀疑的入侵，而并不是给予主机系统的审计 记录实施审查。因为这个系统初次直接把网络流当成审计数据来源，因此能够在 不把审计数据转成统一的格式的前提下监控异种主机，从这以后对入侵检测的研 究兴趣出现了又一次热潮2 1 。 19 9 2 年，s a i c 研究出了计算机滥用系统( c o m p u t e rm i s u s ed e t e c t i o ns y s t e m ， c m d s ) ，随后的一年，h a y s t a c kl a b s 研究出s t a l k e r 系统被称为首批商用入侵检 测的系统。在同一个时期，美国空军也开发了自动安全测量系统( a u t o m a t e d s e c u r i t ym e a s u r e m e n ts y s t e m ) ( a s i m ) ，这种系统被用于美国空军网络数据流的 安全检测。它也是首次出现的软硬件相互结合的网络入侵检测系统。 美国新墨西哥大学的f o r r e s t 成员于19 9 6 年对于计算机免疫学应用于入侵检 测技术进行了研究，并提出了基于计算机免疫学的入侵检测技术。接下来的一年， 由i s s 公司成功研究并开发了基于w i n d o w s 平台的r e a l s e c u r e 入侵检测系统， 它给商用入侵检测系统带来了巨大的发展。 2 0 0 0 年入侵检测的自治代理的概念被美国p u r d u e 大学的d i e g oz a m b o n i 与 2 硕十学位论文 e u g e n es p a f f o r d 1 3 】提出并且研发出原型a a f i d 系统。这表示入侵检测技术向主 动式，自适应和分布式的方向进展跨出非常关键的一步。 从2 l 世纪初到现在，入侵检测经历了从使用主机的入侵检测到使用网络再 向混合型和分布式上发展的时期。随着木马等病毒程序广泛蔓延，人们对研究入 侵检测的积极性再一次提高，当前已经形成以s r i 、普度大学、加州大学戴维斯 分校、l o sa l a m o s 国家实验室等为代表的研究局面。 近年来，因为各种算法的研究取得了一定进展，使入侵检测技术的研究有了 新的动态。像国外的公司发展较快，麻省理工学院、哥伦比亚大学、普度大学、 戴维斯分校等研究单位也显得较为突出，像n a i 公司的c y b e r e o pi n t r u s i o n p r o t e c t i o n 是一套包括集成了网络入侵检测、安全扫描、动态响应和审计分析比 较全面的入侵检测安全保护产品。c y b e r c o pm o n i t o r 是其中的核心部分【i 引。 国内对入侵检测的研究也很有成效，产品有：启明星辰的入侵检测与管理系 统是一种能够进行动态的入侵检测与响应系统，它能够同防火墙紧密联合，补充 防火墙遇到的访问控制不严紧的问题。中科网威的“天眼”网络入侵检测系统， 它是能够实施实时的入侵检测及响应系统。联想的网御入侵检测系统架构，综合 了运用模式匹配和协议分析以及异常检测等检测技术。绿盟科技的“冰之眼入 侵检测系统。这种系统的1 2 0 0 系列具备1 0 0 0 m 网络上6 4 b y t e 线速处理的能力， 它是世界上x 8 6 系列唯一达到2 g b 线速的n i d s 。东软的n e t e y ei d s 入侵检测 系统能够对本身的数据库实施自动维护和备份，能够同防火墙联动。虽然国内的 大部分产品充分显示了入侵检测在网络信息安全中的应用。但与美国等国家比 较，入侵检测技术国内的发展现状相对还是比较缓慢。 尽管这些产品得到了比较好的效果。但是从入侵检测概念的提出到现在为 止，它可以说还是一个比较新的研究领域，对于漏报、误报等的问题的研究进展 仍就显示出很不成熟，这就要求要不断的完善以往的技术和理论开展新的思路和 技术探索。当前对于入侵的检测方法已从单一的技术转向智能算法来提高它的性 能，例如：集成方法就是其中的一种，传统的集成方法如：b a g g i n g 、b o o s t i n g 已 经趋向成熟，面对新型的网络安全问题，要求对这种以往的集成方法实行改进才 能够迎合目前网络安全的需要1 7j 。 1 2 2 多分类器集成研究现状及内容 ( 1 ) 多分类器集成研究现状 e n s e m b l el e a r n i n g 原来被称作“大合唱”，随后把e n s e m b l el e a r n i n g 译为“集 成学习 。它是使用不同的分类器作为基础进行构造组合并且具备很强的泛化能 力。早期的集成学习方法是b a y e s i a na v e r a g i n g 。因为集成学习方法使用简便并 且效果显著，后来对于集成学习算法的研究逐渐吸引了学者的注意l l 引。并被权 3 基丁多分类器集成的入侵检测研究 威专家t g d i e t t e r i c h 1 6 j 称集成学习是机器学习领域将来四个重要的研究方向之 首，在1 9 8 8 那一年k e a r n s 和v a l i a n t 1 7 】谈到，在p a c 学习模型【1 8 】中，如果存有一个 多项式级学习算法来辨别一组概念，而且这种算法辨别正确率非常高，那么就说 这组概念是强可学习的；若这种学习算法辨别一组概念的正确率只比随机猜测稍 微好些，那就说这组概念是弱可学习的。紧接着研究了弱与强学习算法是不是等 价的问题。对于这个问题的答案，在l9 9 0 年，s c h a p i r e 1 9 】使用了一个构造性方法 对于此问题进行了验证，证明了多个弱学习器能够集成为一个强学习器，因此奠 定了集成学习在理论方面的基础。它的构造性方法就成为了b o o s t i n g 算法的雏 形。也是这一年，f r e u n d 研究发展了更好的b o o s t i n g 算法，这种算法尽管在一定 意义上达到最优，但局限于一定现实的不足，首次的b o o s t i n g 试验被d r u c k e r s c h a p i r e 和s i m a r d 开展。a d a b o o s t 算法被f r e u n d 和s c h a p i r e 2 0 j 研究引入，这种算 法可以处理许多现实的问题，并且还能够扩展。b r e i m a n 2 l 】提出了同b o o s t i n g 类 似的算法一b a g g i n g 。b r e i m a n 重点指出在集成中学习算法的稳定性能够对所产生 的结果有较大的影响。像不稳定的算法，如神经网络和决策树，能够增加预测的 准确度。s c h a p i r e 于1 9 9 7 年证明了a d a b o o s t i n g 结合纠错输出编码进行产生一个好 的分类器集成方法，它好于一些其他的方法。g r e g 2 2 运用b o o s t i n g 和b a g g i n g 算 法进行研究有噪声的、高位数据密度估计等问题。 k u n c h e v aa n dr o d r i g u e z 【2 习 研究出了一种融合选择的集成分类设计方法，这种方法是每一个分类器被另外许 多子分类器替代之间做出选择，结果证明，许多其他的集成方法比他的方法稍差。 l e a p 等人【2 4 】分析了关联和自关联对于分类器融合跟最优化分类器集成之间的影 响，结果证明，运用神经网络融合方法好于其它的运用b o o l e a n 规则的方法。 s i m o n e 等【2 5 】运用b o o s t i n g 和b a g g i n g 处理回归问题，并且进行了相关的实验。在 国内，李凯等【2 6 】为了进一步提高神经网络之间差异性，提出了使用聚类技术的 选择性神经网络集成方法，这种方法对于部分神经网络进行集成，实验证明了此 方法优于传统的集成方法b a g g i n g 。张莉等人【27 】利用改变数据集重选方法对c 4 5 决策树扩展，检测率得到了很大的提高。张红梅等人【28 】采用b a g g i n g 方法构造了 一个基于s v m 的多类分类集成模型。提高了检测精度。z h o u 2 9 】与微软中国研究 院的研究人员一起，使用神经网络集成研究旋转的多方位人脸识别，得到了较好 的效果。周志华运用了c 4 5 和神经网络集成的方法实施药物检测，取得了较好的 结果。另外李国正等人将特征选择，聚类同集成学习相融合，进而使得集成学习 算法的泛化能力有所提高 3 0 , 3 1 】。 ( 2 ) 多分类器集成存在的问题 虽然现有的多分类器集成方法解决了多分类器集成中面对的许多难题，但随 着网络上出现的问题渐渐增加，多分类器集成中已有的方法面临的问题慢慢的显 示出来，这使得科学进展被阻碍。集成数量问题、怎样选择、选择多少才能够使 4 硕十学付论文 得分类器结合的效果最好，它仍就是不太好衡量的问题；集成建立的模型比较大， 导致速度比较慢；因为入侵检测以往算法的缺陷，这样使得检测结果不是太理想， 还有检测效率方面的问题仍就要进行进一步的研究；尽管集成算法已应用的比较 好，但是以往的检测算法还是缺乏相应的理论支持。另外，怎样度量单一分类器 的差异性，仍然是一个值得研究的问题【15 1 。 1 3 论文的主要研究内容与组织结构安排 伴随着网络规模的不断扩大，出现了新的攻击手段，攻击方法，传统的多分 类器集成方法像b a g g i n g 、b o o s t i n g 、同种分类器集成方法已经趋于成熟，需要研 究新的理论和新的方法来改善入侵检测目前面临的入侵检测精度不高、误报率不 低的问题。如何解决这种问题已经成为当前许多研究者研究的重点。本文紧密围 绕提高网络入侵检测的检测误报率高、检测率精确度不高的状况来使用了几种解 决方案，分别从不同的几个方面来提高入侵检测的性能。 1 3 1 主要研究内容 ( 1 ) 针对入侵检测检测率不高误报率高等问题并且受遗传与禁忌搜索算法 ( 简称遗传禁忌算法) 的启发，利用遗传算法的优点和禁忌搜索算法的特点，认 真总结专家的经验，对其进行细致的研究，深入分析探讨了相关理论，技术方法， 研究将两种算法结合用于入侵检测的可行性，以提高检测的整体性能。 ( 2 ) 针对入侵检测目前的检测率低的状况，从入侵检测的历史状况，模型的 发展，所用到的方法，认真归纳总结进行研究讨论，从某方面的结合来改变检 测率的可能性，以达到将其他方法改进研究用于入侵检测的可能性。 ( 3 ) 分析了目前入侵检测检测效果不太理想的状况，讨论了异构分类器相结 合的可能性。使用了一种异构分类器集成来提高入侵数据检测精度的方法，这种 方法由一种随机森林、支持向量机、聚类、贝叶斯四个分类器构成异构分类器， 并用加权投票方法进行检测。实验结果表明，利用异构分类器集成方法来进行入 侵检测，提高了检测精度，降低了误报率。 ( 4 ) 对于多分类器集成的典型算法b a g g i n g 和b o o s t i n g 进行了研究并通过相关 的概念分析，建立模型，给出相应的算法。使用了一种基于遗传禁忌分类器选择 性集成方法，该方法用b a g g i n g 算法产生一系列分类器，结合遗传禁忌搜索算法 的优点，使用遗传禁忌方法对分类器进行选择。最后通过实验证明，该方法提高 了检测精度，降低了误报率。 在应用遗传禁忌搜索算法的同时，借鉴了专家的思想，设计了新的适应度函 数，根据模型建立了相应的算法，取得了较好的结果。 本文的重点在于遗传禁忌搜索算法结合应用于入侵检测，从总体上提高了入 5 基丁多分类器集成的入侵检测研究 侵检测的性能。文章后几章使用了几种多分类器集成方法，将其用于入侵检测， 得出了测试结果。 1 3 2 论文的组织结构与安排 本文的内容安排如下： 第一章绪论中讨论了网络安全的现状，主要采取的安全技术和安全威胁的 要素，对入侵的种类做了分析，重点分析了入侵检测的不足、文章的内容和意义。 第二章首先分析了入侵检测的定义，入侵检测的分类，入侵检测模型，入 侵检测的原理及使用的检测方法，详细讨论了当前技术的不足并分析了当前入侵 检测的发展动向。 第三章首先分析了多分类器集成的基本概念，对经典的多分类器集成方法 进行了研究总结，对它们的基本原理进行了分析，并对两种典型算法进行了讨论 总结。 第四章许多研究表明，异构分类器集成的集成方法有明显的效果，但具体 做法不太成熟，使用了一种异构分类器集成方法，建立了相应的模型