入侵检测算法三大分类(重要)
网络安全中的入侵检测技术
网络安全中的入侵检测技术随着互联网的普及和发展,网络安全问题变得愈加重要。
入侵行为是指未经授权的用户或程序进入计算机系统的行为,对系统造成威胁。
为了保护网络安全,必须及时检测和阻止入侵行为。
因此,入侵检测技术变得至关重要。
本文将重点介绍常见的入侵检测技术,并分析其优势和劣势。
一、入侵检测技术分类入侵检测技术可以分为两大类:基于特征的入侵检测和基于行为的入侵检测。
1. 基于特征的入侵检测基于特征的入侵检测是通过事先定义好的入侵特征进行检测。
该方法依赖于特征数据库,在数据库中存储了各类已知入侵的特征模式。
当网络流量中的特征与数据库中的特征匹配时,就判断为可能的入侵行为。
基于特征的入侵检测方法可以高效地识别已知特征模式,但对于未知入侵行为的检测能力较弱。
2. 基于行为的入侵检测基于行为的入侵检测不依赖于特定的入侵特征,而是对系统的正常行为进行建模,通过检测异常行为来判断是否存在入侵行为。
该方法可以检测到未知的入侵行为,但也容易误报。
基于行为的入侵检测技术需要对系统进行长期的学习,以建立准确的行为模型。
二、常见的入侵检测技术1. 签名检测签名检测是基于特征的入侵检测方法的一种。
它通过比对网络流量中的特征与已知入侵模式的特征进行匹配,从而判断是否存在入侵行为。
签名检测方法准确度较高,但对于未知的入侵行为无法进行检测。
2. 异常检测异常检测是基于行为的入侵检测方法的一种。
它通过对系统正常行为进行学习,建立正常行为模型,当系统行为与模型不一致时,判断为异常行为。
异常检测可以发现未知入侵行为,但容易受到正常行为的波动和误报干扰。
3. 统计分析统计分析方法是基于行为的入侵检测方法的一种。
它通过对网络流量的统计特征进行分析,判断是否存在异常行为。
统计分析方法可以发现一些隐藏的入侵行为,但对于复杂的入侵行为需要更高级的分析算法。
三、入侵检测技术的优缺点1. 基于特征的入侵检测技术具有以下优点:- 准确性高:通过匹配特征数据库中的模式,可以准确地识别已知入侵行为;- 检测速度快:由于采用了特征匹配,可以快速进行入侵检测。
网络攻防中的入侵检测技术
网络攻防中的入侵检测技术随着现代社会的发展,计算机网络已经成为了人们进行交流和传播信息的重要工具,同时也为恶意攻击者提供了更多的侵入渗透的机会。
为了保障网络的安全和稳定,入侵检测技术已经成为了网络安全领域内的重要组成部分。
一、入侵检测的概念和分类入侵检测是指通过对网络流量、系统和应用程序进行监测,发现和识别入侵行为,并及时采取防范措施的技术手段。
根据入侵检测系统的部署环境可以将其分为网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)。
NIDS主要用于监测网络中的流量、连接和协议等,能够快速识别和跟踪网络中的攻击行为。
HIDS则是指在主机层面对系统和应用程序进行监测和分析,能够有效地发现主机上的入侵行为。
二、入侵检测的技术原理和方法入侵检测系统主要依靠实现智能分析和监测网络流量、协议和应用程序等行为来识别和报告网络中的攻击活动。
(一)基于签名的检测方法该方法基于已知攻击特征的签名库,通过对网络流量和数据包进行比对,来识别出与已知攻击特征相符的攻击行为。
该方法优点是准确率高,缺点是需要事先知道已知攻击的特征,否则会较难进行攻击检测。
(二)基于异常检测的方法该方法主要是基于对系统和网络行为的监测和分析,发现和报告异常的行为或活动。
该方法的优点是可以发现未知攻击行为,缺点是误报率较高,需要对误报进行过滤和调整。
(三)基于机器学习的方法该方法利用机器学习算法对网络数据进行分类和模式识别,从而准确地识别和分析网络中的攻击行为。
该方法的优点是自动化程度高,适应性强,但是需要大量的教学样本来训练和验证模型,因此需要大量的时间和资源。
三、入侵检测系统的关键技术入侵检测技术在实际应用中还需要结合一些关键技术才能发挥出最大的效果。
(一)流量采集技术网络流量是入侵检测的源头数据,需要对网络中的流量进行采集和分析。
目前主要采用的流量采集技术有镜像端口采集、流量监测器和传感器等。
(二)数据挖掘技术数据挖掘技术可以从复杂的数据中挖掘出有价值的信息,通过对大量的流量数据进行分析和挖掘,可以有效地识别和发现网络攻击。
网络安全领域的入侵检测算法
网络安全领域的入侵检测算法在当今互联网时代,随着网络技术的不断发展,网络安全问题也变得日益突出。
为了保护网络系统的安全性和完整性,人们提出了许多方法和技术,其中入侵检测系统(Intrusion Detection System,IDS)就是防止网络攻击的重要手段之一。
本文将介绍网络安全领域的入侵检测算法,包括基于特征的入侵检测算法和基于机器学习的入侵检测算法。
一、基于特征的入侵检测算法基于特征的入侵检测算法是使用预先定义的特征集合来识别网络中的恶意行为。
这些特征可以包括网络流量、主机日志、系统调用以及其他与网络安全相关的信息。
基于特征的入侵检测算法通常分为两类:基于规则的入侵检测算法和基于统计的入侵检测算法。
1. 基于规则的入侵检测算法基于规则的入侵检测算法使用预定义的规则集合来检测网络中的恶意行为。
这些规则可以基于已知的攻击特征或者异常行为。
一个典型的基于规则的入侵检测系统会遵循以下几个步骤:收集网络数据、分析数据、应用规则进行检测并生成警报。
其中,规则可以手动定义也可以通过学习和训练得到。
2. 基于统计的入侵检测算法基于统计的入侵检测算法通过分析网络数据的统计特征来识别恶意行为。
这种方法利用了正常网络流量和异常网络流量之间的差异,从而检测潜在的入侵行为。
常见的统计特征包括流量大小、流量分布、流量周期性等。
基于统计的入侵检测算法通常使用概率模型或者机器学习算法进行分析和判断。
二、基于机器学习的入侵检测算法基于机器学习的入侵检测算法是利用机器学习技术来自动地从网络数据中学习和识别恶意行为。
这种算法通过训练样本集来构建分类模型,然后使用该模型对未知数据进行分类和检测。
基于机器学习的入侵检测算法通常可以根据监督学习和非监督学习进行分类。
1. 基于监督学习的入侵检测算法基于监督学习的入侵检测算法首先需要一个预先标记好的训练数据集,其中包含了正常数据和恶意数据。
然后,算法使用这些训练数据来构建分类器,并利用分类器对未知数据进行分类。
网络安全防御中的入侵检测算法分析
网络安全防御中的入侵检测算法分析随着互联网的飞速发展,网络安全问题越来越受到关注。
网络入侵是正常运行的计算机网络被黑客攻击,从而影响系统的稳定和安全。
入侵检测算法是网络安全防御的重要方法之一。
本文将分析入侵检测算法的分类、原理及应用。
一、入侵检测算法分类根据入侵检测算法的工作方式,可以将其分为基于特征的入侵检测算法和基于异常的入侵检测算法。
基于特征的入侵检测算法在工作时,需要提前人工设定好一些规则,并将这些规则转换成一个个特征。
当网络被攻击时,算法会检测传输的数据流是否包含这些特征。
如果数据流中包含了规则中定义的特征,就会触发警报。
基于异常的入侵检测算法是通过学习网络的正常模式,判断网络流量是否异常。
该算法会先分析正常网络流量的模式,生成一份模型。
当网络流量超出该模型的范围时,算法会认为发生了异常,并触发警报。
二、入侵检测算法原理1. 基于特征的算法原理基于特征的入侵检测算法在工作时,首先需要进行实时的数据收集和分析。
收集到的数据包括网络流量、系统安全日志、用户行为等。
数据被整合成一个数据集,数据集中每一个数据都被描述为一个向量,向量的每一项则代表了数据中一个特定的特征。
当新的数据流入系统时,算法会对其进行特征提取,并将其映射到一个特定的向量空间中。
然后算法会查找该数据的向量是否与已经定义好的特征向量匹配。
如果匹配成功,就意味着发现了一次入侵行为,系统将进行相应的处理。
2. 基于异常的算法原理基于异常的入侵检测算法一般采用统计学中的离群值检测方法。
在正常情况下,网络流量会呈现一定的规律性和稳定性。
当发生入侵行为时,网络流量会发生异常,从而违反了其正常的统计特征。
该算法会先对网络流量进行学习,生成网络的基础模型。
然后不断地监测每一个数据输入,并计算其与基础模型之间的差异。
如果差异超过一定的阈值,就会触发警报。
三、入侵检测算法应用入侵检测技术在网络安全中的应用非常广泛。
一般应用于大型企业、政府机构、银行等需要保护关键数据的机构中。
第二讲入侵检测技术的分类
第二讲入侵检测技术的分类第一节入侵检测的信息源对于入侵检测系统而言,输入数据的选择是首要解决的问题:⏹入侵检测的输出结果,取决于所能获得的输入数据的数量和质量。
⏹具体采用的入侵检测技术类型,也常常因为所选择的输入数据的类型不同而各不相同。
几种常用输入数据来源▪操作系统的审计记录▪系统日志▪应用程序的日志信息▪基于网络数据的信息源▪其它的数据来源操作系统的审计记录▪在入侵检测技术的发展历史中,最早采用的用于入侵检测任务的输入数据源▪操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的,其目的是记录当前系统的活动信息,并将这些信息按照时间顺序组织成为一个或多个审计文件。
▪不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。
▪操作系统审计机制的设计和开发的初始目标,并不是为了满足后来才出现的入侵检测技术的需求目的,因此无法提供所需的关键事件信息(不足),或者是提供了冗余的记录信息(过)。
操作系统审计记录做为是基于主机入侵检测技术的首选数据源的原因:⏹安全性有保障。
操作系统的审计系统在设计时,就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制,因此操作系统审计记录的安全性得到了较好的保护。
⏹没有经过高层抽象、详尽。
操作系统审计记录提供了在系统内核级的事件发生情况,反映的是系统底层的活动情况并提供了相关的详尽信息,为发现潜在的异常行为特征奠定了良好的基础。
审计记录的优点▪可信度高⏹得益于操作系统的保护▪审计记录没有经过高层的抽象⏹最“原始”的信息来源⏹了解系统事件的细节⏹实现准确的入侵匹配⏹不易被篡改和破坏审计记录的问题▪过于细节化的问题▪缺乏足够细节的问题▪缺乏说明文档▪不同系统审计记录的不兼容审计记录级别审计记录内容▪响应事件的主题和涉及事件的目标信息⏹主体⏹对象⏹进程⏹用户id⏹系统调用的参数⏹返回值⏹特定应用事件的数据⏹...OS审计纪录示例之一—Sun Solaris BSM▪BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等信息▪其中审计日志由一个或多个审计文件组成,每个审计文件包含多个审计记录,而每个审计记录则由一组审计令牌(audit token)构成。
网络安全中的入侵检测方法及算法原理
网络安全中的入侵检测方法及算法原理随着互联网的快速发展,网络安全问题变得日益突出。
为了保护网络的安全,入侵检测成为了一项重要的任务。
入侵检测系统能够监视和分析网络中的数据流量,识别出潜在的入侵活动,并及时采取相应的措施。
本文将介绍网络安全中常用的入侵检测方法及其算法原理。
一、基于特征的入侵检测方法基于特征的入侵检测方法是一种常见的入侵检测方式。
该方法通过建立一系列的特征模型,检测网络流量中的异常行为。
这些特征模型可以基于已知的入侵行为进行定义和训练,也可以使用机器学习算法从大量数据中学习并自动识别新的入侵行为。
1.1 签名检测签名检测是一种常见的入侵检测方法,它通过比对网络流量与已知的入侵签名进行匹配来判断是否存在入侵行为。
入侵签名是已知入侵的特征集合,可以基于已有的安全知识进行定义。
然而,签名检测方法无法有效检测新型入侵行为,因为它只能识别已知的攻击模式。
1.2 统计检测统计检测方法使用统计模型分析网络流量的变化,并通过比较实际数据与期望模型之间的差异来检测入侵行为。
常见的统计检测方法包括:基于异常的检测和基于异常的检测。
基于异常的检测依赖于对正常行为的建模,当网络流量的行为与已定义的模型出现明显偏差时,就会发出警报。
基于异常的检测则是通过建立正常流量的统计模型,当流量中的某些特征值与期望模型差异较大时,就认为存在异常行为。
1.3 机器学习检测机器学习检测方法基于大量的对网络流量数据进行训练,使用机器学习算法来自动识别入侵行为。
常见的机器学习算法包括决策树、支持向量机、神经网络等。
这些算法可以根据已有的训练数据来学习网络流量数据的特征,从而能够检测新的入侵行为。
机器学习方法相较于传统的特征基础方法更加灵活和自适应,但需要大量的训练数据和算力支持。
二、基于行为的入侵检测方法除了基于特征的入侵检测方法外,基于行为的入侵检测方法也是一种常见的方式。
该方法通过分析网络中各个节点的行为,检测异常行为并判断是否存在入侵活动。
网络安全中的入侵检测算法
网络安全中的入侵检测算法在当今数字化时代,网络安全问题日益突出。
随着网络攻击手段的不断升级,保护网络安全成为了重要的任务之一。
而入侵检测算法作为网络安全的一种重要手段,具有着不可忽视的地位。
本文将从初识入侵检测算法、常见的入侵检测算法以及算法优化方面展开阐述。
一、初识入侵检测算法入侵检测算法是指通过对网络数据流进行持续监测与分析,尝试发现并阻止恶意的网络活动。
其主要目的是通过对网络流量进行实时监控,识别和记录可疑的行为模式,及时发现并阻止网络攻击的发生。
入侵检测算法按照工作原理可以分为两大类:基于特征的入侵检测算法和基于异常的入侵检测算法。
基于特征的入侵检测算法主要是通过事先学习已知恶意行为的特征,将恶意行为转化为特征规则,当检测到特征规则匹配时,判定为入侵行为。
其中,常用的特征规则匹配算法有K-最近邻算法、决策树算法和支持向量机算法等。
基于异常的入侵检测算法则是通过对网络数据进行建模,识别数据的正常模式,当检测到异常模式时,判定为入侵行为。
其中,常见的异常检测算法有统计学方法、机器学习方法和神经网络方法等。
二、常见的入侵检测算法1. K-最近邻算法K-最近邻算法是一种常用的入侵检测算法。
它的核心思想是根据样本之间的距离来进行分类。
具体而言,对于一个未标记的数据点,通过计算与其最近的K个已标记数据点的距离,根据这K个数据点的标签进行投票,从而确定其标签。
2. 决策树算法决策树算法是一种基于树结构的分类算法。
它通过对已有的数据进行划分,构建一个分类规则的树模型。
在入侵检测中,决策树算法可以通过对网络流量的特征进行划分,判断网络流量是否属于入侵行为。
3. 支持向量机算法支持向量机算法是一种常用的机器学习算法,在入侵检测中也得到了广泛应用。
它通过构建一个最优的超平面来实现分类。
在入侵检测中,支持向量机算法可以通过对已有的网络数据进行训练,建立一个分类模型,并使用该模型对新的网络数据进行分类判断。
三、算法优化方面尽管上述算法在入侵检测领域中发挥了重要作用,但仍然面临着一些挑战。
网络入侵检测
网络入侵检测网络入侵检测(Intrusion Detection System,IDS)是一种旨在监测和防御计算机网络系统中的入侵行为的技术和方法。
随着互联网的迅速发展,网络入侵事件呈现出日益增多和复杂化的趋势,而网络安全问题也日益凸显。
网络入侵检测的出现,为保障网络系统的安全性和可靠性提供了有力的手段。
一、网络入侵检测的定义与分类网络入侵检测是指通过检测和分析计算机网络中出现的异常活动,以及识别并响应潜在的入侵行为。
根据检测技术和工作方式的不同,可将网络入侵检测分为以下几类:1. 基于特征的入侵检测系统:通过比对已知入侵模式的特征与网络流量的匹配度,来判断是否发生了入侵事件。
它可以根据网络流量的规律和特征进行实时监测和检测。
2. 基于异常的入侵检测系统:通过对网络流量的正常行为进行建模,当检测到流量行为有明显偏差时,即判定为入侵事件。
该方法适用于检测未知入侵行为和零日攻击等。
3. 混合入侵检测系统:综合了基于特征和基于异常的检测方法,既能检测已知入侵行为,也能检测未知入侵行为。
二、网络入侵检测的工作原理网络入侵检测系统一般包括数据采集、数据处理和响应三个主要阶段。
1. 数据采集:通过网络流量监控技术,实时捕获和收集网络中的数据包和日志信息。
常见的数据采集方式包括镜像端口监控、数据包嗅探和日志记录等。
2. 数据处理:对采集到的网络数据进行预处理和分析,提取出关键特征,对比和匹配已知入侵模式或异常行为,以识别潜在的入侵行为。
同时,还需要将数据进行归纳和分类,为后续的安全响应提供支持。
3. 响应:当检测到入侵行为时,网络入侵检测系统会触发相应的安全响应机制,如发出警报通知管理员、封锁恶意流量或隔离受感染的设备等,以保护网络系统的安全。
三、网络入侵检测技术的挑战与发展方向网络入侵检测技术面临着一系列挑战,主要包括以下几个方面:1. 数据处理与分析效率:随着网络流量的不断增大和复杂化,如何高效地采集、处理和分析大量的网络数据,是网络入侵检测技术亟需解决的问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测算法三大分类(重要) 入侵检测系统(IDS,Intrusion Detection System)就是利用入侵检测技术发现计算机或网络中存在的入侵行为和被攻击的迹象的软硬件系统。
区别于防火墙,入侵检测系统是一种主动防御的系统,能够更加及时地主动发现非法入侵并报警和采取应急措施,是人们研究的热点领域。
当前研究入侵检测系统的核心是对其算法的研究,人们的工作也大多集中于此。
对于算法研究的目标是降低入侵检测系统的误报、漏报率和提升系统的运行效率。
由于各种算法都有其局限性的一面,而具体的网络使用环境各不相同,这也是阻碍入侵检测系统商业应用的重要障碍,寻找一种具有适用性更广泛的算法也是研究工作的重要内容,对当前入侵检测算法研究现状进行综合考虑是十分必要的。
本文从当前入侵检测算法的热点领域入手,依据入侵检测系统种类对当前流行的算法进行分类并详细介绍研究现状。
入侵检测算法分类 当前入侵检测算法多种多样,其中以关联规则、聚类和支持向量机等算法为代表的数据挖掘技术是当前研究的重点方面,另外,人工智能算法也在逐渐引起人们的注意。
对入侵检测算法进行分类,首先考虑入侵检测系统的分类。
入侵检测系统的分类有多种方法,如根据审计对象的不同,可分为基于网络的IDS、基于主机的IDS和基于网络/主机混合型IDS;按照系统的体系结构可以分为集中式和分布式入侵检测系统;按照检测技术可分为误用检测和异常检测两类。
由于检测技术实际上指的就是所使用的入侵检测算法,所以这里主要考虑按照检测技术分成的误用检测和异常检测的分类方法。
另外随着人们对人工智能算法在入侵检测系统中应用研究的开展,这类系统呈现出与前两类不同的一些特性。
因此将当前入侵检测算法归结为误用检测算法、异常检测算法和人工智能算法三类,具体情况如图1。
图1给出了入侵检测算法的分类。
下面就误用检测、异常检测和人工智能算法三种入侵检测算法分别进行介绍。
误用检测算法 误用检测的基本原理是将已知的入侵行为和企图进行特征抽取,提取共同模式并编写进规则库,再将监测到的网络行为与库进行模式匹配,如果特征相同或相似,就认为是入侵行为或者企图,并触发警报。
模式匹配是这类系统所采用的方法,如图1所示。
Snort入侵检测系统是一种典型的误用检测系统。
它是在Libcap基础上研发的较为成熟的轻量级入侵检测系统,具有尺寸小、易于安装、便于配置、功能强大、使用灵活等特点。
该系统采用的算法是模式匹配,因此人们的研究主要是集中在对模式匹配算法的优化上。
例如:黄侃【1】对BM算法进行了优化,能够有效节省Snort系统的运算时间,提高系统性能,BM算法是Snort入侵检测系统中重要的字符串匹配算法。
郝伟臣【2】给出一种基于哈希算法的匹配算法应用于Snort系统,取得了较好的效果。
该方法具有低误报率的优点,但是不能检测出规则库中不存在的入侵行为和企图,即无法检测未知的攻击。
异常检测算法 异常检测是通过建立一个主体正常行为的模型,将攻击行为作为异常活动从大量的正常活动中检测出来,达到对攻击行为检测的目的,其显著的优点是对未知攻击的检测。
数据挖掘是指从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、人们不知道的但又是潜在有用的信息和知识的过程。
这一点与异常检测所要求的对未知入侵和威胁的检测是相一致的。
随着数据挖掘算法的发展,其在入侵检测领域中的应用愈加深入,受到人们研究的关注。
当前流行的数据挖掘技术是异常检测算法研究的主要领域,如图1所示,其中以关联规则、聚类和支持向量机等算法尤其具有代表性。
下面就各种有代表性的算法进行介绍。
关联规则 关联规则算法的目的是发现隐藏在大型数据集的各不同属性之间的有意义联系,发现的联系用关联规则或者频繁相集来表示。
关联规则的基本形式X →Y,这里X∩Y=?。
支持度(Support)和置信度(Confidence)是最重要的两个概念,它们的定义: Support(X→Y)=P(X∪Y)(1); Confidence(X→Y)=P(Y│X)(2)。
支持度可以确定规则中出现在给定数据集的频繁程度,置信度可以确定Y出现在包含X的事务中的频繁程度。
因此,关联规则算法就是从某事物数据集中发现满足最小支持度和最小置信度的关联规则的过程。
采用关联规则算法对数据进行挖掘主要包括产生频繁项集和产生规则两个步骤。
产生频繁项集:从数据集中发现满足最小支持度阈值的项集,即频繁项集。
产生规则:从频繁项集中提取出所有满足最小置信度的规则。
关联规则算法通常是先产生频繁项集后再产生规则,Apriori及其衍生的相关算法是这种典型的关联规则算法。
一般情况频繁项集产生所需要的计算开销要远大于规则产生所需要的计算开销,为了降低运算成本,也可以不生成频繁项集的算法,如FP-Growth算法。
聚类算法 聚类就是按照一定的要求和规律对事物进行区分和分类。
由于在聚类的过程中没有任何关于分类的先验知识,仅靠事物间的相似性作为类属划分的准则,因此这是一种无监督的分类方式。
K-means是经典的聚类算法,它使用简单的迭代将数据集聚成K个类,该算法具有简单、易懂、良好的可伸缩性等显著优点。
成为当前入侵检测系统中聚类算法研究方面的重要算法。
例如:薛京花【3】等人对K-means算法进行了改进并应用到入侵检测系统中,并取得了明显的效果。
除了K-means算法之外,聚类方法还包括模糊聚类和蚁群聚类算法。
传统的聚类分析是一种具有非此即彼的性质的硬划分。
但现实中大部分数据对象并没有严格的属性,在形态和类属方面存在着中介性,更适合进行软划分。
因此人们开始用模糊的方法来处理聚类问题。
模糊C-均值算法是典型的模糊聚类算法。
蚁群算法是一种基于生物种群的模拟进化算法,模拟蚁群在寻找食物的过程中总能找到蚁巢和食物源之间的最短路径的方法。
该算法具有分布式并行计算、自适应和易于其他算法相结合的优点。
但存在过早限于局部最优解和收敛速度慢的缺陷。
支持向量机 支持向量机(Support Vector Machine,SVM)算法是建立在统计学习理论的基础上,能从大量训练数据中选出很少的一部分用于构建模型,通常对维数不敏感。
在当前高速网络环境条件中很难获得完备的训练样本集,同时为了降低部署模型的资源开销,应尽可能地减少在数据挖掘的过程中使用的训练样本数据量。
而SVM更适合小样本数据学习,更符合实际高速网络中的现实情况。
另一方面,SVM能在很大程度上克服了传统机器学习(神经网络、决策树等)的维数灾难和局部极小等问题,获得比较好的泛化能力。
具有良好泛化性能的入侵检测系统对应其实际应用有着重要的意义,是人们研究所期望获得的。
综上所述,SVM成为研究构建入侵检测系统的重要算法。
例如:李汉彪,刘渊【4】采用多SVM融合的方法,有效地弥补单个SVM检测的局限性,能有效地提高入侵检测率的同时降低误报率。
采用SVM算法构建入侵检测系统,通常需要其他算法对数据样本进行属性约减,降低维数,来提高运行效率。
另外也有利用蚁群、鱼群等生物种群算法对SVM进行改进。
例如:杨聪明【5】采用将自组织蚁群聚类算法作为SVM算法中查询策略的方案,把蚁群聚类算法与SVM有效的融合,并应用到入侵检测系统中,获得了较高的检测率和较低的误报率、漏报率,并能提高算法的执行效率。
决策树 决策树是一种树状结构,用于揭示数据中的结构化信息。
利用该结构可以将大型记录集分割为相互连接的小记录集,通过每一次连续分割,结果集中的成员彼此变得越来越相似。
使用决策树算法可以将数据规则可视化,构造决策树的过程所需的时间也比较短,且输出的结果容易理解。
决策树具有分类精度高,操作简单以及对噪声数据有很好健壮性的优点,C4.5、ID3是常见的决策树算法方法。
史珊姗【6】在利用决策树C4.5算法构建入侵检测系统方面做了相关研究。
但是C4.5决策树算法在生成树的过程中,需要对样本集进行多次的扫描和排序,导致算法的效率比较低;另外C4.5算法只适用于可以驻留于内存的数据集,当训练集超过内存的容纳能力时,程序就无法运行,使该算法对硬件要求比较高。
综上所述,异常检测算法主要采用关联规则、聚类、SVM等数据挖掘算法,如图1所示。
除上述常用数据挖掘方法之外,还有k-最近临(kNN)、朴素贝叶斯(Nave Bayes)等数据挖掘算法也是被人们应用于入侵检测系统的研究中。
根据这些算法的介绍可以得出,提高运行效率,提高准确率,降低误报率是人们对算法研究的目标,然而各种算法本身有着各自的缺陷,限制了传统算法的应用。
人工智能算法 通过前面对传统数据挖掘算法的研究发现,各种算法自身存在着缺陷,研究具有高效率、低误报率和良好泛化特性的算法仍旧是工作的中心。
另外,具有分布式架构的入侵检测系统更能适应当前网络实际使用环境的需求,已成为当前入侵检测系统研究的主流构架。
因此传统的算法已经不能满足当前入侵检测系统发展需求。
随着人工智能的发展,将智能算法运用到入侵检测系统中,将成为入侵检测系统新的研究热点发展方向。
免疫方法和神经网络是当前入侵检测系统主流的人工智能算法。
免疫方法 生物免疫系统的核心思想是识别并处理“自己”和“非己”,这与入侵检测系统的工作目标是一致的。
生物免疫系统具有识别能力、学习认知能力、多样性、自适应性、自组织性、分布性的特点。
其中分布性的特点是指免疫系统可以被视为一个分布式系统,因为免疫分子、免疫器官和免疫细胞不是集中分布在生物体的同一位置,而是分散开的,它们之间是相互独立的处理单元,通过免疫网络相互连接,共通完成比较复杂的免疫功能。
这一点与当前构建分布式入侵检测系统的现实需求是一致的。
因此利用免疫系统运算原理构建的入侵检测系统具有天然的优势。
姚云志【7】等人根据生物免疫系统与入侵检测系统工作目的的统一性,在结合了否定选择、克隆选择和检测子基因库进化三种免疫机制基础上,提出了一个改进的基于人工免疫的入侵检测新模型。
周志凯【8】等人对免疫算法构建的入侵检测系统中关于具有信息增益的检测器做了较深入的研究。
神经网络 人工神经网络(ANN,Artificial Neural Network)是由人工神经元互连而成的网络,它从微观结构和功能上实现对人脑的抽象和简化。
人工神经网络具有非线性逼近性,很好的鲁棒性以及容错性,快速的运算能力,较好的实时特性,良好的并行特性,良好的学习能力和自适应性等诸多优点。
将人工神经网络技术应用于入侵检测系统,能够较好地解决目前一些不宜解决的问题,提高系统检测率,减少误报率。
神经网络技术是最近几年研究的热点问题,如:多层前馈BP神经网络、蜜罐等等。
宋麟【9】等人研究了基于BP人工神经网络技术的入侵检测系统。
对失真或不完全数据的处理能力,是基于BP神经网络的实时入侵检测系统的独特优点。