文献类型：期刊文章

作　　者：任家东[1,2] 刘新倩[1,2] 王倩[1,2] 何海涛[1,2] 赵小林[3,4]

Ren Jiadong;Liu Xinqian;Wang Qian;He Haitao;Zhao Xiaolin(School of Information Science and Engineering,Yanshan University,Qinhuangdao,Hebei 066001;Hebei Key Laboratory of Software Engineering (Yanshan University),Qinhuangdao,Hebei 066001;School of Software,Beijing Institute of Technology,Beijing 100081;Beijing Key Laboratory of Software Security Engineering Technology (Beijing Institute of Technology),Beijing 100081)

机构地区：[1]燕山大学信息科学与工程学院,河北秦皇岛066001 [2]河北省软件工程重点实验室(燕山大学),河北秦皇岛066001 [3]北京理工大学软件学院,北京100081 [4]软件安全工程技术北京市重点实验室(北京理工大学),北京100081

出　　处：《计算机研究与发展》

基　　金：国家重点研发计划基金项目(2016YFB0800700);国家自然科学基金项目(61472341;61772449;61572420);河北省自然科学基金项目(F2016203330;F2015203326);燕山大学博士后科研择优资助项目(B2017003005);燕山大学博士基金项目(B1036)~~

年　　份：2019

卷　　号：56

期　　号：3

起止页码：566-575

语　　种：中文

收录情况：AJ、BDHX、BDHX2017、CSA-PROQEUST、CSCD、CSCD2019_2020、EI、IC、JST、RCCSE、SCOPUS、ZGKJHX、核心刊

摘　　要：入侵检测系统能够有效地检测网络中异常的攻击行为,对网络安全至关重要.目前,许多入侵检测方法对攻击行为Probe(probing),U2R(user to root),R2L(remote to local)的检测率比较低.基于这一问题,提出一种新的混合多层次入侵检测模型,检测正常和异常的网络行为.该模型首先应用KNN(K nearest neighbors)离群点检测算法来检测并删除离群数据,从而得到一个小规模和高质量的训练数据集;接下来,结合网络流量的相似性,提出一种类别检测划分方法,该方法避免了异常行为在检测过程中的相互干扰,尤其是对小流量攻击行为的检测;结合这种划分方法,构建多层次的随机森林模型来检测网络异常行为,提高了网络攻击行为的检测效果.流行的数据集KDD(knowledge discovery and data mining) Cup 1999被用来评估所提出的模型.通过与其他算法进行对比,该方法的准确率和检测率要明显优于其他算法,并且能有效地检测Probe,U2R,R2L这3种攻击类型.

关 键 词：网络安全 入侵检测系统 KNN离群点检测  随机森林模型  多层次  

分 类 号：TP393.08]