动态、分布式网络入侵模式分析

对网络入侵的有效检测是信息安全系统的核心问题。本项目拟研究动态、分布式条件下网络入侵模式分析的有效理论与方法：（1）研究如何平衡入侵模式分析算法的检测率与虚警率，以提高单站点的入侵模式分析能力；（2）研究面向动态环境下的入侵模式在线学习与更新机制，特别是要根据入侵行为的时序（动态）特点来设计相适应的在线算法；（3）对于分布式入侵模式的分析，探索如何在获取各个站点入侵模式分析器（分类器）相关参数条件下，利用局部站点现有资源对各个分析器进行选择性融合，同时还要保证融合算法也具有在线更新能力。项目要分析现有数据集的特点，挖掘拟解决问题的本质。以此为基础，采用一系列有效的机器学习算法，如类不平衡学习、增量学习/减量学习、选择性集成等进行解决。通过本项目的研究，有效解决传统的模式分析方法用于处理动态分布式入侵模式分析问题上的不足，推动基于入侵模式分类的网络入侵检测技术进一步发展。

本项目主要研究动态、分布式条件下网络入侵模式分析的有效理论与方法。主要研究内容包括（1）研究如何平衡入侵模式分析算法的检测率与虚警率，以提高单站点的入侵模式分析能力；（2）研究面向动态环境下的入侵模式在线学习与更新机制；（3）动态分布式入侵模式分析。. 针对上述三项研究内容，我们开展了一系列的工作，取得了主要研究成果为。（1）我们提出了基于AdaBoost算法的集成式入侵模式分析算法。与经典的AdaBoost算法相比，我们的算法在两个方面结合了网络入侵数据的特点进行了创新。首先我们在每一维特征上分别建立一个弱分类器，同时我们引入平衡因子来消除数据集不平衡对模型构建带来的负面影响。进一步的，为克服现有入侵模式分析方法只能对海量数据进行耗时严重的离线重训练、难以适应复杂多变的网络环境的不足，我们提出了基于Online boosting的入侵模式分析算法。（2）我们提出了分布式架构下的入侵模型分析新算法。对于各个分布式检测站点，我们融合Adaboost和混合高斯模型（Gaussian Mixture Models）进行本地站点的入侵数据训练，并得到基于GMM和一组权重向量的网络入侵类型特征表达。这种特征表达方式可以对各种入侵类型进行简洁有效的特征描述，便于在各个分布式检测站点之间进行信息交流和融合，能有效的提高各分布式站点的入侵检测能力。（3）在上述工作基础上，我们提出了基于粒子群优化-支持向量机（PSO-SVM）融合算法的动态分布式入侵模式分析新算法。与现有的集中式入侵检测系统相比，本项目提出的分布式入侵检测系统不仅占用的网络资源大幅度减少，而且提高了整个系统的扩展性和可靠性。（4）我们还研究了基于排序集成学习的入侵模式分析算法。到目前为止，在无监督的网络入侵模式分析领域已经有大量的研究成果，但是依然没有一个算法能够在全部数据集上都取得满意的识别结果。我们引入无监督的选择性集成学习算法，能够在无监督信息情况下，自动地学习出各个输入结果的权重，然后进行有权重的融合。. 以上述成果为核心，项目在国际知名期刊与一流国际会议上发表了一系列论文，包括IEEE Trans. SMC, Part B两篇，以及IJCAI, CIKM, SDM, PAKDD等。同时申请发明专利5项，项目执行期间获授权1项。