近几年来,随着Internet的迅速发展,信息安全问题日益突出,入侵检测是信息安全体系结构中的一个重要环节。但现有的入侵检测方法只能对某些特定的或已知的入侵行为取得较好的效果,有时误报率之高甚至严重影响了系统的性能。如何有效检测或防止入侵行为的发生,降低误报率已经成为亟待解决的问题。 为了提高入侵检测系统的性能,本文将选择性集成的思想引入到入侵检测系统的实现中。在综合分析各种入侵检测数据源的基础上,首先定义了入侵特征通用数据模型,将当前事件的源数据规范化为通用模型所确定的数据格式,并获得该事件的特征向量;然后根据特征向量中的类型属性确定当前向量的类别,选择相应的入侵检测分析引擎;接着利用选择性集成的思想,定义了一个集成函数,对不同的检测方法得到的结果进行选择性集成,从而获得对一类事件的结论;本文的最后,利用DARPA数据源,对文中的各个检测算法进行验证,并利用ROC曲线图来证明引入选择性集成方法的入侵检测系统的检测性能优于单个入侵检测方法,也优于集成全部检测算法,有效地降低了系统的误报率。 论文的主要贡献点在于: 1.自主定义了一个入侵特征通用数据模型E_ⅰ=BASE(?)CLASS_ⅰ(1≤ⅰ≤n)。该模型用一个基特征BASE和n个类特征CLASS_ⅰ的自然连接来表示一类事件。其中,基特征定义了所有事件的公有属性,类特征则体现了各类事件的个性化特征。入侵特征通用数据模型可采用二维存储方式来进行存储。 2.在系统中,引入了选择性集成方法,并定义了一个集成函数H(X)=sum from t=1 to T(α_th_t(x))。将若干个不同的检测算法分别看成是个体分类器,赋予输入数据集相同的权值。通过不断训练,逐步调整数据集和检测结果的权值,最终利用集成函数进行加权集成,有效提高了检测性能。