基于进化算法的入侵检测技术研究.pdf

重庆大学博士学位论文


基于进化算法的入侵检测技术研究







博士研究生：郑洪英
指 导 教 师：廖晓峰 教 授
学科、专业：计算机软件与理论




重庆大学计算机科学与工程学院
二 OO 七年三月

1
. Dissertation of Chongqing University


Research on Intrusion Detection Based on
Evolutionary Algorithms




. Candidate: Hongying Zheng
Supervisor: Prof. Xiaofeng Liao
Major: Computer Software and Theory




College of Computer Science
Chongqing University
March 2007
2
摘 要

随着计算机技术和通信技术的发展，由入侵而造成的损失以及和计算机相关
的犯罪也急剧增加。因此，网络安全即确保系统按照预期目标正常、稳定的运行，
成为人们关注的焦点。入侵检测系统(IDS)是从计算机或网络中抽取信息，用以检
测来自于系统外部的入侵者和内部人员对系统的误用。
入侵检测实际上是把异常数据从正常数据中抽取出来，从而识别入侵。因此
入侵检测问题可以转化成数据的最优分类问题，也就是找到正确分类数据的最优
解。而进化算法是模拟自然进化过程，从随机产生的一群个体出发，采用“适者生
存”的进化机制，最后收敛到最优解。针对复杂问题，进化优化算法具有很强的搜
索能力和最优化性能。所以，可以使用进化算法来解决入侵检测中数据分类问题
以及和分类有关的参数确定问题。以此来提高检测率和降低误报率。
本论文的主要研究工作如下：
①从入侵检测研究的背景和发展历程出发，介绍了入侵和入侵检测的基本概
念和原理，阐述了将进化算法引入入侵检测的可行性。
②入侵检测前分析输入数据的特征是很有必要的。论文中介绍了现有的特征
选择方法，分析了粒子群算法中参数对算法性能的影响，并使用免疫粒子群进化
算法对特征进行选择，消除冗余属性、降低问题规模、提高数据分类质量、加快
数据处理速度。提出了使用二进制字符串序列来表示粒子位置，解释了位置和速
度的更新方法以及适应度函数的选择，进而获得了较理想的特征子集。
③已有的许多入侵检测方法需要对大量已标识的数据进行训练和学****因此
不可避免地造成了对训练数据集的强烈依赖性，训练数据集的分布特征也会影响
检测算法的性能。此外，带标识的训练数据集的获取在现实环境中很难保证，而
且也无法保证得到的标签数据能够覆盖所有可能出现的攻击。论文中提出使用聚
类和混沌模拟退火算法进行网络入侵检测——NIDCCSA算法，NIDCCSA算法充分
利用了混沌的遍历性特点进行状态的变换，这样的混沌模拟退火算法更加可能收
敛到全局最优解，从而提高检测率。同时，也分析了NIDCCSA算法中参数对算法
性能的影响。
④传统的入侵检测算法往往对高维数据无法检测或者检测效率很低。因此，
论文中提出了一种基于支持向量机和量子进化算法的网络入侵检测算法
——NID