【摘要】：隨著各類新型高新信息技術(shù)的廣泛普及與互聯(lián)網(wǎng)的迅速發(fā)展,萬物互聯(lián)的時代正在到來,人們的日常生活與社會分工協(xié)作得到了極大的便利。與此同時,各類互聯(lián)網(wǎng)威脅,諸如新型病毒、蠕蟲層出不窮,給企業(yè)和個人帶來不可估量的信息資產(chǎn)損失。互聯(lián)網(wǎng)安全問題已經(jīng)成為全世界各個企業(yè)及組織必須面對的一大挑戰(zhàn)。入侵檢測技術(shù)是一種能夠?qū)碜詢?nèi)部或外部的網(wǎng)絡(luò)入侵行為進行識別和響應(yīng)的安全保障技術(shù)。現(xiàn)如今,日益復(fù)雜的網(wǎng)絡(luò)環(huán)境及不斷增長的網(wǎng)絡(luò)流量對入侵檢測系統(tǒng)的精準檢測能力、高可用、高擴展性上提出了更高的要求。機器學(xué)習(xí)技術(shù)在解決復(fù)雜空間的入侵檢測問題上已被證明是有效的方案,并被廣泛用于解決現(xiàn)實入侵檢測問題。然而,面對日新月異的入侵手段,常規(guī)的機器學(xué)習(xí)解決方案構(gòu)建入侵檢測系統(tǒng)一方面面臨時效性問題,即當(dāng)下網(wǎng)絡(luò)入侵手段更新迭代速度快且傳輸數(shù)據(jù)量大,重復(fù)的離線批量訓(xùn)練將帶來計算資源的開銷而降低系統(tǒng)運行效率,入侵檢測系統(tǒng)需要具備利用增量數(shù)據(jù)進行增量訓(xùn)練的能力;另一方面,入侵檢測系統(tǒng)需要極高的穩(wěn)定性來保證網(wǎng)絡(luò)系統(tǒng)的安全,因此需要盡可能避免系統(tǒng)預(yù)測結(jié)果隨著訓(xùn)練數(shù)據(jù)的偏差導(dǎo)致模型方差變大,需要對模型預(yù)測的穩(wěn)定性進行控制。在入侵檢測系統(tǒng)工程實現(xiàn)上,入侵檢測系統(tǒng)需要具備良好的高可用及易擴展能力,以面對海量網(wǎng)絡(luò)流數(shù)據(jù)的入侵檢測場景。因此,針對入侵檢測的問題,本文提出一種基于在線集成模型的解決方案,通過在線學(xué)習(xí)技術(shù)來滿足入侵檢測系統(tǒng)對數(shù)據(jù)時效性的要求,進而通過集成學(xué)習(xí)技術(shù)提高系統(tǒng)的穩(wěn)定性和可靠性。本文在工程實現(xiàn)方面,首先對所提在線集成算法進行了算法實現(xiàn)與部署,進而為了應(yīng)對入侵檢測系統(tǒng)的高吞吐、低延遲的應(yīng)用需求,本文將基于分布式數(shù)據(jù)平臺設(shè)計合理的數(shù)據(jù)架構(gòu),完成在線集成模型高可用的分布式系統(tǒng)部署。首先,本文選型并實現(xiàn)了FTRL在線學(xué)習(xí)算法進行模型的構(gòu)建和訓(xùn)練,并根據(jù)不斷補充的時序數(shù)據(jù)構(gòu)建一組在線基學(xué)習(xí)器。進而,結(jié)合模型性能,提出一種基于時序性能加權(quán)的集成的方案,降低在線模型方差,提高穩(wěn)定性。隨后,本文將在開源的入侵檢測數(shù)據(jù)集UNSW-NB15中進行模型評估,并與其他模型方案進行對比。實驗結(jié)果顯示,面對未知測試數(shù)據(jù),在線集成模型在預(yù)測指標和穩(wěn)定性上均得到了更優(yōu)的表現(xiàn)。最后,本文針對入侵檢測應(yīng)用設(shè)計了一套基于Hadoop分布式數(shù)據(jù)平臺的分布式系統(tǒng)架構(gòu),采用Lambda架構(gòu)實現(xiàn)數(shù)據(jù)的采集、預(yù)處理、離線存儲、模型預(yù)測工作,保證入侵檢測系統(tǒng)高可用、易擴展,使在線集成模型可以實時應(yīng)對大吞吐量數(shù)據(jù)傳輸及處理。
【學(xué)位授予單位】：西安電子科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2019
【分類號】：TP393.08;TP181
【圖文】：

檢測和基于網(wǎng)絡(luò)的入侵檢測，如圖 2.1 所示，這也是最為常見的入侵檢測系統(tǒng)的類別劃分。圖2.1 入侵檢測系統(tǒng)分類架構(gòu)圖(1) 基于主機的入侵檢測系統(tǒng)（HIDS）基于主機的入侵檢測系統(tǒng)作為一種早期的入侵檢測系統(tǒng)結(jié)構(gòu)[26]，從數(shù)據(jù)中心服務(wù)器主機采集的審計日志和系統(tǒng)數(shù)據(jù)，針對主機系統(tǒng)和本地用戶進行入侵檢測。

西安電子科技大學(xué)碩士學(xué)位論文26圖2.2 基于主機的 IDS 結(jié)構(gòu)如圖 2.2 所示，審計記錄來源是主機的服務(wù)日志和系統(tǒng)日志，入侵檢測器獲取日志數(shù)據(jù)后，通過攻擊模式的分析產(chǎn)生告警信息。由于日志數(shù)據(jù)型式通常無法具有豐富的維度，因此入侵檢測的有效性極度依賴于系統(tǒng)庫的可靠性。由于 HIDS 數(shù)據(jù)采集的特點，從主機層面監(jiān)控主機活動，適合用于有加密的網(wǎng)絡(luò)交換環(huán)境，且可一定程度保證主機安全，不需要添置額外的網(wǎng)絡(luò)安全設(shè)備。另外，HIDS 還可以檢測一些針對主機植入而不經(jīng)過網(wǎng)絡(luò)的攻擊。不足方面，由于主機部署的特性，HIDS 必須部署在每一個節(jié)點，對操作系統(tǒng)的依賴性較高

基于網(wǎng)絡(luò)的IDS結(jié)構(gòu)

【參考文獻】

相關(guān)期刊論文 前5條

1 武小年;彭小金;楊宇洋;方X;;入侵檢測中基于SVM的兩級特征選擇方法[J];通信學(xué)報;2015年04期

2 張旭東;;基于混合數(shù)據(jù)挖掘方法的入侵檢測算法研究[J];信息安全與技術(shù);2015年02期

3 張拓;王建平;;基于CQPSO-LSSVM的網(wǎng)絡(luò)入侵檢測模型[J];計算機工程與應(yīng)用;2015年02期

4 楊雅輝;黃海珍;沈晴霓;吳中海;張英;;基于增量式GHSOM神經(jīng)網(wǎng)絡(luò)模型的入侵檢測研究[J];計算機學(xué)報;2014年05期

5 程建;張明清;劉小虎;范濤;;基于人工免疫的分布式入侵檢測模型[J];計算機應(yīng)用;2014年01期

本文編號：2798289