《教育厅自然科学研究项目结题报告》由会员分享,可在线阅读,更多相关《教育厅自然科学研究项目结题报告(8页珍藏版)》请在金锄头文库上搜索。
1、安徽省教育厅课题结题报告(二0一二年度)课题基本信息简表课题名称混合支持向量机结合信息熵的TCP/IP隐蔽通道检测模型研究课题来源教育厅计划类别自筹主持人起止时间2011.1-2012.12考核结果院科研处制内 容 要 求一、计划任务书(合同书)确定的年度研究内容及目标(应与原任务书内容一致);二、课题研究工作进展情况(一) 研究工作基本情况。(二)课题研究中取得的研究成果,包括发表(或已撰写未发表)论文、著作,参加学术会议情况;凡未标注受本课题资助的论文不应计入课题研究成果。(三)课题研究取得的实际成果与预期计划和目标比较存在的问题。(四)因课题研究而受到的奖惩。三、应提供的相关支撑材料(一
2、) 课题研究工作志及其它研究原始记录。(二) 课题研究成果附件。要求层次清晰,内容真实,数据可靠,总结内容一般不少于2000汉字符。报告书封面格式不变,附件开本应与报告书规格一致(A4),装订成册。一、计划任务书(合同书)确定的年度研究内容及目标1.研究内容首先对TCP/IP协议进行分析,提出使用TCP/IP协议构建隐蔽通道的方法,并在C+Builder 6.0下实现。针对TCP/IP隐蔽通道的检测,目前通常采用标准支持向量机的方法,但训练时间过高,不适于大规模数据集的检测。我们将对TCP/IP数据流熵标准差和熵值分布特性进行深入研究,提出基于信息熵的训练样本集缩减策略,并进一步构造出可用于大
3、规模数据集下TCP/IP隐蔽通道检测模型。核函数的选取问题也是我们的重点研究内容之一。针对在求解实际问题时使用单一核函数,SVM学习能力与推广能力较弱等问题,我们将建立若干选取规则,分别解决核函数的类型及核参数选取的问题,并构造出一种有效的混合核函数。2.研究目标(1)分析TCP/IP数据流熵标准差和熵值分布特性,在此基础上提出基于信息熵的样本集缩减策略。(2)建立若干选取规则,构造出一种有效的混合核函数。(3)将混合SVM与信息熵相结合,构建出用于检测TCP/IP隐蔽通道的模型。在三类以上期刊发表相关论文3篇,其中二类期刊1篇。二、课题研究工作进展情况(一)研究工作的基本情况 1、研究思路2
4、011年度本课题组在初步分析信息熵与支持向量关系的基础上,参照信息熵理论,同时结合多次试验和测试确定合适的熵阈值。使用数据采集工具进行样本数据采集,从采集到的全部样本中随机抽取一个小规模的初始样本集,利用混合SVM对初始样本集训练获得初始分类超平面,同时结合信息熵公式对样本进行熵值运算,根据熵阈值进行样本筛选,得到缩减的样本集,最后选择合适的混合核函数训练小规模支持向量机,检测出潜在的TCP/IP隐蔽通道。2、研究步骤及分工本年度主要将信息熵与混合支持向量机相结合,构建出用于检测TCP/IP隐蔽通道的信息熵混合支持向量机模型。具体研究过程如下:第一步:在实际的校园网环境下,采用数据采集工具(如
5、Tcpdump)进行数据采集,并进行相应的预处理,实验环境如下图所示:实验环境的具体参数配置见下表1:表1 环境配置表名称软件作用T1Red Hat Linux ,Tcpdump抓取教育网流经安徽科技学院总出入口的TCP/IP数据包T2Red Hat Linux ,Tcpdump抓取由自己构建的隐蔽通道工具(VNCC)产生的TCP/IP数据包P1Red Hat Linux,隐蔽通道工具TCP/IP隐蔽通道客户端P2Windows XP, VNCCTCP/IP隐蔽通道客户端(VNCC工具产生)SRed Hat LinuxTCP/IP隐蔽通道服务器端第二步:对TCP/IP数据流熵标准差和熵值分布特
6、性进行深入研究,提出基于信息熵的训练样本集缩减策略,并进一步构造出可用于大规模数据集下TCP/IP隐蔽通道检测模型。第三步:针对在求解实际问题时使用单一核函数,SVM学习能力与推广能力较弱等问题,建立若干选取规则,构造出一种有效的混合核函数。第四步:将信息熵与混合SVM相结合,构建出用于检测TCP/IP隐蔽通道的模型。其工作过程分为两个阶段:训练阶段和检测阶段,训练阶段用于确定支持向量机分类器的参数,检测阶段对实际需要检测的TCP/IP样本数据进行预测,从而检测出可能存在的隐蔽通道。在研究过程中,*主要负责算法的选取和项目设计协调工作,*负责算法性能分析、*负责实验结果数据测试、其余项目组成员
7、负责数据采集、代码编写等。(二) 课题研究中取得的研究成果项目组成员在课题研究过程中,相互探讨,并定期召开研讨会,在全体成员的积极努力下,我们取得了一定的成果,主要解决了大规模数据的采集、筛选等工作,同时对核函数的选择做了大量的实验,构造出一种有效的混合核函数。主要研究成果是,公开发表多篇相关论文:“Intelligence Computing Strategy for Computer Network Security Intrusion Detection”和“基于改进的候选组合频繁模式的LDoS攻击检测”等,详见附件1。(三)课题研究取得的实际成果与预期计划和目标比较存在的问题我们虽然取
8、得了一定的成绩,也获得了一些经验,但也碰到了一些问题,首先是实验过程中的问题:为了验证本研究中提出的检测TCP/IP隐蔽通道的方法,需要采集国家骨干网数据进行实验,但目前对这种超大容量的数据存储还存在困难。本课题组为了解决该问题,只能对原始数据进行抽样来,但抽样数据与原始数据对实验结果肯定会存在一定的影响。其次是课题组成员理论研究水平不足,主要表现在对网络安全知识了解不深厚、为具备采集大规模数据的经验和实验算法性能研究还不够深入等。(四)下一步拟解决的关键问题在本研究提出的检测方法中,由于初始训练集选取的随机性,难以保证分类的准确度,此时采用信息熵的裁剪方法将导致部分本应该作为支持向量的样本被
9、淘汰,可能会使最终分类结果的精度大幅下降。为了解决这个潜在问题,下一步拟采取二次筛选的方法:对每个被过滤掉的样本根据其对样本集的贡献程度进行二次筛选。三、应提供的相关支撑材料(一)课题研究工作志及其它研究原始记录 1、课题研究工作日志2011年1月:成立了课题研究小组,并制定了定期召开研讨会制度。科研小组学习和探讨原始记录见附件3。2012年3月 -4月:在实际的校园网环境下,采用数据采集工具(如Tcpdump)进行数据采集,并进行相应的预处理。2012年4月-12月:对建立的选取规则进行严格的推理论证,根据实际问题中数据分布的特点,研究选取最优核函数的某些规律,构造出更有效的混合SVM;并攥写了相关论文。(二)课题研究成果 课题研究成果主要为论文,见附件。附件1研究过程记录如下面截图:研讨会记录如下面截图:研讨报告内容及讨论记录如下截图:附件2 课题研究成果第一作者公开发表的论文序号论文名称期刊名称期刊级别出版年1Intelligence Computing Strategy for Computer Network Security Intrusion DetectionIntelligence Computing Strategy for Computer Network Security Intrusion Detection一类(EI)20122
