基于机器学习的入侵检测研究
- 格式:pdf
- 大小:359.88 KB
- 文档页数:5
下载文档原格式
合集下载
基于机器学习的网络安全攻防研究
基于机器学习的网络安全攻防研究网络安全已经成为当前互联网时代面临的重大挑战之一。
随着互联网的普及和发展,各种网络攻击事件也层出不穷。
为了提高网络安全防护能力,机器学习技术应运而生,并逐渐在网络安全攻防研究中发挥着重要的作用。
一、机器学习在网络安全防御中的应用机器学习技术的应用涵盖了网络安全防御的各个领域,包括入侵检测、恶意代码检测、威胁情报分析等。
下面将分别介绍这些领域中机器学习的具体应用及其相关研究。
1. 入侵检测入侵检测是网络安全中非常重要的一环。
传统的入侵检测方法主要基于规则或签名匹配,但这些方法对于未知的威胁依然存在很大的局限性。
机器学习技术通过从大量历史数据中学习模式,能够识别未知的入侵行为,并进行及时的预警。
目前,基于机器学习的入侵检测研究主要包括两个方面:基于监督学习的入侵检测和基于无监督学习的入侵检测。
基于监督学习的入侵检测需要标注大量的已知攻击和正常流量数据,通过构建分类模型来判断新的流量是否属于攻击。
而基于无监督学习的入侵检测不需要标注数据,通过学习正常流量的分布特点,当新的流量与正常分布差异较大时就可以判断为攻击。
2. 恶意代码检测恶意代码是指那些具有恶意目的或具有潜在危险的计算机程序。
恶意代码的检测一直是一项具有挑战性的任务。
传统的恶意代码检测方法主要基于特征匹配,但随着恶意代码变异的不断增加,这些方法的效果也越来越差。
机器学习技术在恶意代码检测领域的应用已经取得了一定的成果。
其中,基于静态特征的恶意代码检测主要通过分析恶意代码的二进制或文本特征来判断其是否为恶意代码。
而基于动态特征的恶意代码检测则通过监控恶意代码在运行时的行为特征来进行判断。
3. 威胁情报分析威胁情报分析是指从大量的网络安全信息中提取关键信息,并进行有效分析,以预测和应对未来的网络威胁。
机器学习技术在威胁情报分析中的应用包括威胁情报收集、威胁情报共享和威胁情报分析等方面。
通过机器学习技术,可以根据网络攻击的行为特征、攻击者的行为模式等信息,从大量的威胁情报数据中提取出有价值的信息,为网络安全工作者提供决策支持。
基于机器学习的网络入侵检测系统
基于机器学习的网络入侵检测系统网络入侵是指在计算机网络中,未经授权的个人或组织通过各种手段非法进入他人计算机系统,窃取、破坏或篡改信息的行为。
随着互联网的快速发展,网络入侵事件日益多发,给个人和组织的信息安全带来了巨大的威胁。
为了保护计算机系统的安全,不断提高网络安全防护能力,基于机器学习的网络入侵检测系统应运而生。
机器学习是一种人工智能的分支领域,它通过让计算机自动学习和适应数据,提高系统的性能和效果。
在网络入侵检测中,机器学习算法可以通过训练数据学习网络正常行为的模式,从而识别出异常或恶意的网络行为。
下面将介绍基于机器学习的网络入侵检测系统的原理和应用。
基于机器学习的网络入侵检测系统首先需要收集大量的网络数据作为训练样本。
这些数据包括网络流量数据、网络日志数据以及其他与网络行为相关的信息。
通过对这些数据的分析和特征提取,可以建立一种描述网络行为的模型。
在训练阶段,机器学习算法会根据这些模型对网络数据进行学习和训练,以识别网络正常行为的模式。
在模型训练完成后,基于机器学习的网络入侵检测系统可以应用于实际的网络环境中。
当有新的网络数据输入系统时,系统将会根据之前学习的模型,对网络数据进行分类。
如果某一网络数据与正常行为的差异较大,系统会将其判定为异常行为,可能是一次网络入侵尝试。
系统可以根据预设的规则和策略,对异常行为进行进一步分析和处理,以保护网络安全。
基于机器学习的网络入侵检测系统具有以下几个优势。
首先,相比传统的基于规则的入侵检测系统,它能够通过学习数据建立模型,自动识别新的入侵行为,具有更好的适应性和鲁棒性。
其次,由于机器学习算法能够处理大规模数据,并从中学习到潜在的模式,因此可以更好地发现隐藏在海量数据中的入侵行为。
此外,基于机器学习的网络入侵检测系统可以实时监测网络行为,快速响应入侵事件,提高网络安全的响应能力。
基于机器学习的网络入侵检测系统在实际应用中已经取得了显著的成果。
通过从海量数据中分析恶意行为的模式,这种系统能够准确地识别出传统入侵检测系统所难以捕捉到的网络入侵行为。
基于深度学习的入侵检测技术研究
基于深度学习的入侵检测技术研究随着互联网的普及和应用,网络安全问题越来越受到人们的关注,如何保护网络安全成为现代社会面临的重要问题之一。
其中,入侵检测技术作为网络安全的重要组成部分,得到了广泛关注。
而基于深度学习的入侵检测技术,其应用前景更加广阔。
一、深度学习的概念深度学习是一种模仿人脑神经网络进行机器学习的算法,其核心是神经网络模型。
传统的机器学习算法需要人工对数据进行特征工程,提取数据的关键特征,然后输入到模型中进行学习,但是深度学习不需要进行特征工程,它可以自动从原始数据中提取特征,并对数据进行分类、识别等任务。
尤其是在图像、语音、自然语言处理等领域,深度学习已经取得了很大的进展。
二、入侵检测的概念入侵检测是指通过对网络数据流的分析,识别出是否存在入侵行为的过程。
其目的是及时发现并阻止网络攻击,对网络安全起到重要作用。
入侵检测可以分为主机入侵检测和网络入侵检测两类。
主机入侵检测是指在主机上对异常行为进行检测,如病毒、木马、恶意软件等攻击方式。
而网络入侵检测则是指对网络中传输的数据进行分析,识别网络攻击行为。
三、深度学习在入侵检测中的应用传统的入侵检测技术主要是基于规则的方法和基于统计的方法,都需要先进行特征工程或手工设计特征,然后再将特征输入到模型中进行分类。
但是传统方法往往存在特征选择不完备、计算效率低等问题,因此在处理大规模数据时的表现不佳。
而基于深度学习的入侵检测技术可以解决传统方法中的问题。
首先,深度学习可以自动提取从原始数据中学习到的特征,可以更好地处理大规模数据;其次,深度学习可以对非线性的数据进行建模,能够更好地识别复杂的入侵攻击。
因此,基于深度学习的入侵检测技术被认为是未来入侵检测的趋势。
四、基于深度学习的入侵检测技术研究现状目前,基于深度学习的入侵检测技术已经被广泛研究。
现有的主要方法可以分为三类:卷积神经网络、循环神经网络和卷积-循环神经网络。
卷积神经网络主要用于处理图像数据,在入侵检测中主要用于提取数据的时序特征。
基于本福特定律和机器学习的网络入侵检测研究
架 Filter-XGBoost。该检测框架第一层为基于自适应阈值的检测模型,第二层为
基于贝叶斯优化算法(BOA)的 XGBoost 检测模型对第一层中的异常窗口进一
步分析以实现精确到单条流的细粒度检测。与单独的检测模型对比,
Filter-XGBoost 充 分 结 合 了 两 种 检 测 模 型 各 自 的 优 点 。 与 其 他 算 法 对 比 ,
1.4 本文组织结构 .............................................................................................. 11
1.5 本章小结 ...................................................................................................... 11
摘 要
互联网的普及在造福人们的同时,也带来了巨大的安全隐患。不断升级的
网络入侵行为可能会导致个人隐私泄露、系统瘫痪等一系列重大安全问题。相
关入侵检测技术已日臻完善,诸如机器学习等新技术的使用解决了传统入侵检
测中存在的方法僵化、自适应性差等问题,同时也在一定程度上提高了检测率。
但机器学习算法自身的局限性使得现有解决方案仍面临两大主要问题:一是如
accurate to a single flow. Compared with the separate detection models,
Filter-XGBoost combines the advantages of both detection models. Compared with
other algorithms, Filter-XGBoost performs well in detection rate and false alarm rate.
基于贝叶斯优化算法(BOA)的 XGBoost 检测模型对第一层中的异常窗口进一
步分析以实现精确到单条流的细粒度检测。与单独的检测模型对比,
Filter-XGBoost 充 分 结 合 了 两 种 检 测 模 型 各 自 的 优 点 。 与 其 他 算 法 对 比 ,
1.4 本文组织结构 .............................................................................................. 11
1.5 本章小结 ...................................................................................................... 11
摘 要
互联网的普及在造福人们的同时,也带来了巨大的安全隐患。不断升级的
网络入侵行为可能会导致个人隐私泄露、系统瘫痪等一系列重大安全问题。相
关入侵检测技术已日臻完善,诸如机器学习等新技术的使用解决了传统入侵检
测中存在的方法僵化、自适应性差等问题,同时也在一定程度上提高了检测率。
但机器学习算法自身的局限性使得现有解决方案仍面临两大主要问题:一是如
accurate to a single flow. Compared with the separate detection models,
Filter-XGBoost combines the advantages of both detection models. Compared with
other algorithms, Filter-XGBoost performs well in detection rate and false alarm rate.
基于机器学习的网络入侵检测技术实现与评估分析
基于机器学习的网络入侵检测技术实现与评估分析随着互联网的快速发展,网络安全问题日益突出,其中网络入侵是企业和个人面临的重要挑战。
为了保护网络免受来自内部和外部的潜在威胁,网络入侵检测技术变得越来越重要。
传统的基于规则的入侵检测系统已经不能满足对日益复杂的网络攻击的准确检测需求。
基于机器学习的网络入侵检测技术应运而生,通过训练模型自动识别网络流量中的异常行为,以实现更高效准确的入侵检测。
一、机器学习在网络入侵检测中的作用机器学习通过从大量的网络数据中学习模式和特征,可以自动地识别网络中存在的入侵行为。
通过对已知的入侵行为进行建模和分析,机器学习可以根据新的网络流量数据来识别异常行为。
相比传统的基于规则的入侵检测系统,机器学习能够适应变化的网络攻击方式,同时减少误报率和漏报率,提高入侵检测的准确性和效率。
二、基于机器学习的网络入侵检测技术实现基于机器学习的网络入侵检测技术通常包括以下几个步骤:1. 数据收集和预处理:首先,需要收集大量的网络流量数据,并对数据进行预处理。
预处理过程包括数据清洗、特征提取和降维等操作。
2. 特征工程:特征工程是机器学习中至关重要的一环。
通过从原始数据中提取有用的特征,可以帮助机器学习算法更好地学习网络入侵行为。
常用的特征包括端口、协议、数据包大小、流量方向和连接持续时间等。
3. 模型选择和训练:选择合适的机器学习模型进行训练。
监督学习中常用的模型包括支持向量机(SVM)、决策树和随机森林等;无监督学习中常用的模型包括聚类和异常检测算法。
通过使用已标记的训练数据集来训练模型,使其能够识别出正常和异常的网络流量。
4. 模型评估和优化:使用测试数据集对训练好的模型进行评估,并通过性能指标(如准确率、召回率和F1得分)来评估模型的性能。
根据评估结果,可以对模型进行调整和优化,以提高其准确性和泛化能力。
5. 集成和部署:将训练好的模型部署到实际的网络环境中进行实时的入侵检测。
集成多个模型可以提高入侵检测的准确性和鲁棒性。
基于机器学习的网络入侵检测技术综述
基于机器学习的网络入侵检测技术综述1. 总论网络安全已成为现代社会的一个重要问题。
随着网络技术的发展,网络入侵问题日益复杂。
作为一种被动的网络防御技术,网络入侵检测技术在网络安全中既起到保护网络资源和信息的作用,也是网络安全的重要组成部分。
而机器学习作为智能化的技术手段,提供了智能化的网络入侵检测方案。
本文将对基于机器学习的网络入侵检测技术进行综述,并进行归类分析和比较。
2. 基础知识2.1 网络入侵检测技术网络入侵检测技术是通过模拟网络攻击行为,对网络流量进行特征提取和分析,从而识别恶意流量和网络攻击行为的一种技术手段。
可分为基于特征匹配、基于自动规则生成和基于机器学习的三种类型。
基于学习的网络入侵检测系统是通过机器学习技术训练出网络入侵检测模型,然后对流量进行分类,从而更好地检测网络攻击。
2.2 机器学习机器学习是一种通过对专门设计的算法,使计算机能够自主学习的技术。
它的主要任务是从已知数据(历史数据)中学习特征,使其能够更准确地对未知数据(未知流量)进行分类预测。
主要分为有监督学习、无监督学习和半监督学习三种类型。
3. 基于机器学习的网络入侵检测技术3.1 基于分类算法3.1.1 支持向量机支持向量机(SVM)是一类二分类模型,它的基本思想是找到一个好的超平面对数据进行划分,使得分类误差最小。
与其他分类算法不同,支持向量机将数据空间转换为高维空间来发现更有效的超平面,以达到更好的分类效果。
在网络入侵检测中,SVM主要应用于对已知流量进行分类,进而识别未知流量是否是恶意流量。
同时,SVM还可以通过简化流量特征提取的复杂性,优化特征集。
3.1.2 决策树决策树是一种机器学习算法,可以进行分类和回归预测。
决策树使用树形结构来表示决策过程,树的每个节点代表一个特征或属性,每个分支代表一个该特征的取值或一个属性取值的集合。
在网络入侵检测中,决策树算法可识别不同类型的网络攻击,并为网络安全工程师提供必要的信息和分析结果,以支持决策制定。
基于机器学习的网络入侵检测
基于机器学习的网络入侵检测网络入侵是一种非常常见的针对计算机和网络系统的攻击方式。
网络入侵可以给计算机和网络系统带来极大的损害,包括数据丢失、数据泄露、系统瘫痪等问题。
为了及时发现并防止网络入侵,我们可以利用机器学习等技术进行网络入侵检测。
一、基本概念网络入侵检测是指通过对网络数据流量进行监测和分析,对网络中的异常流量进行检测和警报,以及对网络中的恶意行为进行阻断。
网络入侵检测一般分为两种方式,分别是基于签名的检测和基于行为的检测。
基于签名的检测是指利用预先定义好的特征进行网络入侵检测。
当网络数据流量中与预先定义好的特征匹配时,则可以认为发生了网络入侵。
基于签名的检测能够对已知入侵方式进行检测,但是对未知的入侵方式则比较无能。
同时,签名库的维护也是一个问题。
基于行为的检测则是指不同于基于签名的检测,它是通过对网络流量的分析,分析网络流量中的各种特征,然后识别不正常的流量,并进行警报或阻断。
基于行为的检测对未知的入侵方式进行了有效的识别,但是可能会产生误报。
二、基于机器学习的网络入侵检测机器学习是一种人工智能的应用技术,通过训练数据对算法进行学习,从而能够识别并检测数据中的模式。
因此,机器学习可以用于网络入侵检测。
基于机器学习的网络入侵检测是指通过对网络流量进行分析,然后使用机器学习算法进行分类,以识别网络流量中的良性或恶意行为。
在基于机器学习的入侵检测中,我们需要对数据进行处理。
我们需要将网络流量数据进行特征化。
特征化是指将网络流量中的任何数据转化为计算机可读的特征。
特征化后的数据可以用于训练机器学习模型。
机器学习模型一般分为监督学习和非监督学习。
监督学习可以利用已标记过的数据对算法进行训练,而非监督学习则是通过对数据进行聚类分析或异常检测进行学习。
三、改进机器学习算法的入侵检测在实际的网络入侵检测中,基于机器学习的方法仍然有一些缺陷。
例如,一些恶意攻击者可能会通过不断调整攻击方式以规避入侵检测。
基于人工智能的网络入侵检测与防御研究
基于人工智能的网络入侵检测与防御研究简介随着互联网的不断发展和普及,网络安全问题也日益凸显,网络入侵成为现代社会中常见的威胁之一。
传统的网络安全防御手段已经无法满足对于不断进化和变化的网络攻击的需求。
因此,基于人工智能的网络入侵检测与防御技术应运而生。
本文旨在探讨并研究基于人工智能的网络入侵检测与防御技术的原理、方法以及其在网络安全领域中的应用。
一、网络入侵检测与防御技术概述网络入侵检测与防御技术是指通过对网络流量和系统行为进行实时监测与分析,识别潜在的网络入侵行为并及时采取相应的防御措施。
传统的网络入侵检测与防御技术主要基于规则匹配和特征库的方式,但由于网络攻击手段的日益复杂和多样化,传统方法已经不足以应对这些威胁。
基于人工智能的网络入侵检测与防御技术通过机器学习、深度学习和自然语言处理等技术手段,具备更强大的智能化和自适应性,能够实现对网络攻击的实时检测和防御。
二、基于人工智能的网络入侵检测技术1. 机器学习方法基于机器学习的网络入侵检测技术通过构建合适的特征向量和选择适当的算法模型,实现对网络数据流量的分类和识别。
其中,监督学习和无监督学习是常用的机器学习方法。
监督学习根据已标记的样本数据训练模型,再对未知样本进行分类,而无监督学习则通过分析样本数据的相似性和异常性,实现对网络入侵的检测。
2. 深度学习方法深度学习技术是人工智能领域的热点研究方向,也被广泛应用于网络入侵检测。
深度学习通过构建深层神经网络结构,实现对网络数据的高层次抽象和特征学习。
卷积神经网络(CNN)和递归神经网络(RNN)是常用的深度学习模型,在网络入侵检测领域取得了一定的成果。
三、基于人工智能的网络入侵防御技术1. 强化学习方法强化学习是一种通过试错和奖励机制来训练智能体的机器学习方法。
在网络入侵防御中,强化学习可以用于构建网络入侵防御策略和动态调整系统参数。
智能体通过与环境的交互和学习,逐渐提高对网络攻击的应对能力,并实现自适应的网络入侵防御。
基于人工智能的网络入侵检测方法研究
基于人工智能的网络入侵检测方法研究随着网络技术的发展和应用的广泛,网络安全问题愈演愈烈。
网络入侵攻击威胁着网上用户的安全与隐私,如何有效地检测和防范网络入侵威胁成为了当前迫切需要解决的问题之一。
人工智能技术因其在处理复杂问题方面具有的优势而逐渐成为网络入侵检测领域中的重要手段。
本文对基于人工智能的网络入侵检测技术进行了研究和探讨,并提出了相应的应对方案。
一、人工智能在网络入侵检测领域的应用人工智能技术在网络入侵检测领域中的应用主要体现在以下三个方面:1. 基于机器学习的网络入侵检测方法。
机器学习是一种能够让计算机不断地学习和适应的技术,通过对样本数据进行学习和模型构建,使得计算机能够在没有人类干预的情况下自动识别和处理数据。
在网络入侵检测领域,基于机器学习的方法通过建立模型来学习网络入侵行为的规律,并将新的数据与模型进行比对来判断其是否存在入侵行为。
相较于传统的基于规则的检测方法,机器学习技术能够更加全面地考虑网络入侵的各个方面,提高检测精度和准确性。
2. 基于神经网络的网络入侵检测方法。
神经网络是一种类似于人类大脑神经细胞相互连接的计算模型,能够学习和处理复杂的非线性关系。
在网络入侵检测领域,基于神经网络的方法通过构建网络模型来学习和识别网络流量特征,从而实现网络入侵检测。
相较于基于机器学习的方法,基于神经网络的方法能够更加准确地识别数据流量中的复杂关系,从而提高检测精度和准确性。
3. 基于深度学习的网络入侵检测方法。
深度学习是一种基于神经网络的机器学习方法,在处理复杂问题方面具有明显的优势。
在网络入侵检测领域,基于深度学习的方法通过多层次的神经网络架构来学习和识别网络入侵行为。
相较于传统的基于规则和特征提取的方法,深度学习技术能够更加高效地识别复杂的网络入侵行为和攻击类型。
二、基于人工智能的网络入侵检测技术的发展现状当前,基于人工智能的网络入侵检测技术已经逐渐成为网络安全领域的重要研究方向。
基于机器学习方法的入侵检测技术的研究_邓安远
On Intrusion Detection Technology Based on Machine Learnign Method
D EN G An2 Yuan
( Facult y of Information Science and Technology , Jiujiang Universit y , Jiujiang 332005)
Detection System ,NDIS) [5 ] ,分别以主机和网络作为数据源 。
从基于主机的入侵检测系统中又可以细分出一类 — — — 基于应 用的入侵检测系统 ,其数据源是系统上运行的应用 。这一分 类是基于它们各自的数据采集单元 , 即事件产生器 。基于不 同数据源的各种入侵检测系统有各自的优缺点 , 适用于不同 的场合 。 根据数据来源的不同 ,各种入侵检测系统有其固有的优 缺点 。其中 ,基于网络的入侵检测系统由于其安装部署容易 且对现有网络影响小的优点 ,在应用中较为广泛 。但是基于 网络的入侵检测系统需要对网络中所有的通讯量进行监听和 分析 ,为达到一定的性能目标 , 必须有较高的处理能力 , 这是 亟需解决的问题 。基于主机的入侵检测系统只对目标设备的 数据日志进行分析 ,因此对性能的要求不高 ,同时能检测出基 于网络的入侵检测系统漏过的攻击 , 并判断攻击是否成功 。 但其运行在被保护的主机上 ,本身易受攻击 ,并影响主机的性 能 。基于应用的入侵检测系统针对性更强 ,可仍然继承了基 于主机的入侵检测系统的优缺点 。 因此 ,比较有效的入侵检测系统大多采用多种数据源 ,把 三种入侵检测系统有层次地结合在一起 , 通过对多种数据源 的综合分析来得到更好的检测结果 , 达到互补的效果 。当这 三种数据来源结合在一起的时候 , 通常采用应用2主机2网络
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
误用规则处理模块:该模块实现基于规则的误用检测,将收集到的信息与已知的网络入侵和系统己有模式数据库进行比较,从而发现违背安全策略的行为,保持了现有误用入侵检测检测准确率和效率都较高等优点”1。
当误用规则处理模块检测到攻击时,进行结果处理,不需要经过机器学习模块;若误用规则处理模块没有检测攻击时,则将数据包送机器学习模块处理,判断是否是攻击数据,再进行结果处理。
机器学习模块:该模块是该系统的核心,通过该模块训练,使学习机能够检测入侵。
2.2基于机器学习的入侵检测系统的设计
与许多昂贵而庞大的商用系统相比较,Snort系统具有系统尺寸小、易于安装、便于配置、功能强大、使用灵活等诸多优点。
实质上,Snort不仅是一个网络入侵检测系统,它还可作为网络数据包分析器和记录器来使用。
系统检测引擎采用了一种简单规则语言进行编程,用于描述对每一个数据包所应进行的测试和对应的町能响应动作。
从检测模式而言,Snort足误用检测”1。
具体实现上,仅仅是对数据进行最直接最简单的搜索匹配,一旦在系统的规则库巾没有相应的规则,系统就不能正常的判断入侵行为。
现将LERAD应用于Snort,将Snort设计成为~个基于机器学习的IDS的总体结构设计如图4所示。
到入侵
图4基于机器学习的入侵检测的总体结构主控模块实现所有模块的初始化、命令行解释、配置文件解释、数据包捕获库libpcap的初始化,然后调用libpcap库开始捕获数据包,并进{,解码检测入侵,管理所有插件。
解码模块把从网络卜抓取的原始数据包,从下向上二沿各个协议栈进行解码并填充相应的数据结构,以便规则处理模块处理。
规则处理模块实现对这些报文进行基于规则的模式匹配工作,检测出入侵行为,负责完成初始化阶段规则文件的解释和规则语法树的构建工作。
预处理插件对报文进行分片重组、流重组和异常检查。
机器学习算法LERAD以预处理插件形式加入Snort,当模式匹配没发现入侵时,针对己学习的规则,调用该算法对数据包进行异常分值计算,若分值超过阀值,则报警。
处理插件主要检查数据包的各个方面,包括数据包的大小、协议类型、TP/ICMP/TCP的选项等,辅助规则匹配完成检测功能。
输出插件实现在检测到攻击后执行各种输出和反应的功能。
·——2738·——
日志模块实现各种报文日志功能,也就是把各种类型的报文记录到各种类型的日志中。
3实验分析
对机器学习模块选择不同的随机数据5次运行LERAD,检测到的攻击数与产生的误警数的关系如图5所示。
误警数在100个以内检测到的攻击数随误警数迅速增加,误警数大于100时,检测到的攻击数趋于相等。
表l是100个误警中LERAD检测到的攻击类型数据分析。
图5LERAD误警在0-500的检测.误警曲线
表1100个误警中LERAD检测到的攻击类型
4结束语
本文针对现有的入侵检测系统的不足,提出了将机器学习方法应用在入侵检测系统中的思想,建立了一个基于学习的入侵检测系统模型,提出了将机器学习模块LERAD加入到给出了该系统的框架图,并测试了其中的机器学习模块,其不仅能通过模式匹配的方式检测到一些己知的攻击,还能通过自我学习更新规则,检测到网络数据包中未知的攻击。
但在方案中存在着需要解决的几个问题;①在真实的网络环境中,如何确定适当的数据收集周期:②规则生成需要大量的jJRI练数据,并且要求这些训练数据是没有入侵发生的正常数据,而真正的情况是入侵随时会发生,对收集到的海量数据包如何去除攻击数据,产生正常规则;③在高速嘲络中,如何保证机器学习的检测效率。
这些问题为研究和完善基于机器学习的入侵检测研究提出了新的方向。
参考文献:
【l】唐正军,李建华.入侵检测技术时【M】.北京:清华大学出版社,2004:lO.13.
[2】QuinlJR.Programsformachinelearning[M].SanMateo:Mor-ganKaufmannpublisher,1995:478-489.
【3】RebeccaGurleyBrace.入侵检测【M】.北京:人民邮电出版社,200l:67.69.
(下转第2741页)
基于机器学习的入侵检测研究
作者:刘明川, 彭长生, LIU Ming-chuan, PENG Chang-sheng
作者单位:重庆邮电大学,成人教育学院,重庆,400065
刊名:
计算机工程与设计
英文刊名:COMPUTER ENGINEERING AND DESIGN
年,卷(期):2008,29(11)
1.Blazek R B;Kim H;Rozovskii B A novel approach to detection of denial-of-service attacks via adaptive sequential and batch-sequential change-point detection methods 2001
2.Lippmann R;Haines J;Fried D The 1999DARPA offLine intrusion detection evaluation[外文期刊]
2000(04)
3.Matthew Vincent Mahoney A machine learning approach to detecting attacks by identifying anomalies in network traffic 2003
4.Hongyu Yang;Lucia Xie;Jizhou Sun An application of decision supporto network intrusion detection 2004
5.Myung-Sup Kim;Hun-Jeong Kong;Seong-Cheol Hong A flow-based method for abnormal network traffic detection[外文会议] 2004
6.Rebecca Gurley Brace入侵检测 2001
7.Quinl J R Programs for machine learning 1995
8.唐正军;李建华入侵检测技术时 2004
本文链接:/Periodical_jsjgcysj200811009.aspx。