基于机器学习的入侵检测系统研究
基于机器学习的网络入侵检测系统
基于机器学习的网络入侵检测系统网络入侵是指在计算机网络中,未经授权的个人或组织通过各种手段非法进入他人计算机系统,窃取、破坏或篡改信息的行为。
随着互联网的快速发展,网络入侵事件日益多发,给个人和组织的信息安全带来了巨大的威胁。
为了保护计算机系统的安全,不断提高网络安全防护能力,基于机器学习的网络入侵检测系统应运而生。
机器学习是一种人工智能的分支领域,它通过让计算机自动学习和适应数据,提高系统的性能和效果。
在网络入侵检测中,机器学习算法可以通过训练数据学习网络正常行为的模式,从而识别出异常或恶意的网络行为。
下面将介绍基于机器学习的网络入侵检测系统的原理和应用。
基于机器学习的网络入侵检测系统首先需要收集大量的网络数据作为训练样本。
这些数据包括网络流量数据、网络日志数据以及其他与网络行为相关的信息。
通过对这些数据的分析和特征提取,可以建立一种描述网络行为的模型。
在训练阶段,机器学习算法会根据这些模型对网络数据进行学习和训练,以识别网络正常行为的模式。
在模型训练完成后,基于机器学习的网络入侵检测系统可以应用于实际的网络环境中。
当有新的网络数据输入系统时,系统将会根据之前学习的模型,对网络数据进行分类。
如果某一网络数据与正常行为的差异较大,系统会将其判定为异常行为,可能是一次网络入侵尝试。
系统可以根据预设的规则和策略,对异常行为进行进一步分析和处理,以保护网络安全。
基于机器学习的网络入侵检测系统具有以下几个优势。
首先,相比传统的基于规则的入侵检测系统,它能够通过学习数据建立模型,自动识别新的入侵行为,具有更好的适应性和鲁棒性。
其次,由于机器学习算法能够处理大规模数据,并从中学习到潜在的模式,因此可以更好地发现隐藏在海量数据中的入侵行为。
此外,基于机器学习的网络入侵检测系统可以实时监测网络行为,快速响应入侵事件,提高网络安全的响应能力。
基于机器学习的网络入侵检测系统在实际应用中已经取得了显著的成果。
通过从海量数据中分析恶意行为的模式,这种系统能够准确地识别出传统入侵检测系统所难以捕捉到的网络入侵行为。
基于机器学习的网络入侵检测系统设计与实现
基于机器学习的网络入侵检测系统设计与实现网络入侵检测系统(Intrusion Detection System,简称IDS)可以帮助网络管理员及时发现和应对恶意的网络入侵行为,保障网络的安全性。
随着机器学习技术的不断发展,基于机器学习的网络入侵检测系统被广泛应用。
本文将介绍基于机器学习的网络入侵检测系统的设计与实现方法。
首先,基于机器学习的网络入侵检测系统需要建立一个强大的数据集。
该数据集应包含大量的正常网络流量和恶意攻击的样本。
可以通过网络流量捕获设备或网络协议分析工具采集网络数据,并手动标记恶意攻击的样本。
这样的数据集将为机器学习算法提供足够的训练样本,以便进行准确的网络入侵检测。
其次,针对网络入侵检测系统的设计,可以采用传统的分类算法或深度学习模型。
传统的分类算法包括决策树、朴素贝叶斯、支持向量机等,这些算法适用于特征维度较小的情况。
而深度学习模型如卷积神经网络(CNN)和循环神经网络(RNN)具有强大的特征提取和学习能力,适用于处理较复杂的网络数据。
根据实际情况选择合适的算法或模型进行网络入侵检测。
接着,对于模型的训练与测试,可以采用交叉验证的方法进行模型的评估与选择。
通过划分数据集为训练集和测试集,并在训练集上进行模型参数的优化训练,然后在测试集上对模型的性能进行评估。
通过比较不同模型的评估指标如准确率、召回率、F1值等,选择最优的模型进行进一步的部署。
同时,在训练模型时需要注意数据样本不平衡问题,采用合适的采样策略来平衡正负样本数量,以提高模型的性能。
为了进一步提高网络入侵检测系统的准确性和实时性,可以应用特征选择和特征提取技术。
特征选择是从海量的特征中选择对分类有用的特征,去除冗余和噪声特征,以减少特征空间的维度和计算复杂度。
常用的特征选择方法有方差选择法、相关系数选择法和互信息选择法等。
特征提取是将原始数据转换为更具有代表性和可区分性的特征。
常用的特征提取方法有主成分分析(PCA)、线性判别分析(LDA)和独立成分分析(ICA)等。
基于机器学习的网络入侵检测技术实现与评估分析
基于机器学习的网络入侵检测技术实现与评估分析随着互联网的快速发展,网络安全问题日益突出,其中网络入侵是企业和个人面临的重要挑战。
为了保护网络免受来自内部和外部的潜在威胁,网络入侵检测技术变得越来越重要。
传统的基于规则的入侵检测系统已经不能满足对日益复杂的网络攻击的准确检测需求。
基于机器学习的网络入侵检测技术应运而生,通过训练模型自动识别网络流量中的异常行为,以实现更高效准确的入侵检测。
一、机器学习在网络入侵检测中的作用机器学习通过从大量的网络数据中学习模式和特征,可以自动地识别网络中存在的入侵行为。
通过对已知的入侵行为进行建模和分析,机器学习可以根据新的网络流量数据来识别异常行为。
相比传统的基于规则的入侵检测系统,机器学习能够适应变化的网络攻击方式,同时减少误报率和漏报率,提高入侵检测的准确性和效率。
二、基于机器学习的网络入侵检测技术实现基于机器学习的网络入侵检测技术通常包括以下几个步骤:1. 数据收集和预处理:首先,需要收集大量的网络流量数据,并对数据进行预处理。
预处理过程包括数据清洗、特征提取和降维等操作。
2. 特征工程:特征工程是机器学习中至关重要的一环。
通过从原始数据中提取有用的特征,可以帮助机器学习算法更好地学习网络入侵行为。
常用的特征包括端口、协议、数据包大小、流量方向和连接持续时间等。
3. 模型选择和训练:选择合适的机器学习模型进行训练。
监督学习中常用的模型包括支持向量机(SVM)、决策树和随机森林等;无监督学习中常用的模型包括聚类和异常检测算法。
通过使用已标记的训练数据集来训练模型,使其能够识别出正常和异常的网络流量。
4. 模型评估和优化:使用测试数据集对训练好的模型进行评估,并通过性能指标(如准确率、召回率和F1得分)来评估模型的性能。
根据评估结果,可以对模型进行调整和优化,以提高其准确性和泛化能力。
5. 集成和部署:将训练好的模型部署到实际的网络环境中进行实时的入侵检测。
集成多个模型可以提高入侵检测的准确性和鲁棒性。
基于深度学习的网络入侵检测系统部署方案研究
基于深度学习的网络入侵检测系统部署方案研究一、引言随着互联网和网络技术的不断发展,网络安全问题越来越受到人们的关注。
网络入侵成为威胁网络安全的一个重要问题,给个人和组织带来了严重的损失。
因此,构建一套有效的网络入侵检测系统对于确保网络安全至关重要。
本文基于深度学习技术,对网络入侵检测系统的部署方案进行研究。
二、深度学习在网络入侵检测中的应用深度学习是一种基于人工神经网络的机器学习方法,具有强大的学习能力和模式识别能力。
在网络入侵检测中,深度学习可以通过学习大量的网络数据,自动提取特征并进行入侵检测,相比传统的规则或特征基于方法,具有更高的准确率和适应性。
三、网络入侵检测系统的架构设计网络入侵检测系统的架构包括数据采集、特征提取、模型训练和入侵检测四个环节。
其中,数据采集负责监控网络流量,获取原始数据;特征提取将原始数据转化为可供深度学习模型处理的特征向量;模型训练使用深度学习算法对提取的特征进行训练,并生成入侵检测模型;入侵检测将实时流量与模型进行匹配,判断是否存在入侵行为。
四、数据采集数据采集是网络入侵检测系统的基础,可使用流量转发、网络监听或代理等方式获取网络流量数据。
采集的数据应包括网络包的源IP地址、目的IP地址、协议类型、传输端口等信息,用于后续的特征提取和训练。
五、特征提取特征提取是网络入侵检测系统中的关键环节,决定了后续模型训练和入侵检测的准确性。
常用的特征提取方法包括基于统计、基于模式匹配和基于深度学习等。
基于深度学习的方法通过卷积神经网络或循环神经网络等结构,自动学习网络流量中的高级特征,提高了入侵检测的准确率。
六、模型训练模型训练基于深度学习算法,使用已经提取的特征向量作为输入,通过多层神经网络进行训练。
常用的深度学习算法包括卷积神经网络(CNN)、长短时记忆网络(LSTM)和深度信念网络(DBN)等。
模型训练过程中需要使用大量标记好的入侵和非入侵数据,通过反向传播算法不断调整网络参数,提高模型对入侵行为的识别能力。
基于机器学习的网络入侵检测技术综述
基于机器学习的网络入侵检测技术综述1. 总论网络安全已成为现代社会的一个重要问题。
随着网络技术的发展,网络入侵问题日益复杂。
作为一种被动的网络防御技术,网络入侵检测技术在网络安全中既起到保护网络资源和信息的作用,也是网络安全的重要组成部分。
而机器学习作为智能化的技术手段,提供了智能化的网络入侵检测方案。
本文将对基于机器学习的网络入侵检测技术进行综述,并进行归类分析和比较。
2. 基础知识2.1 网络入侵检测技术网络入侵检测技术是通过模拟网络攻击行为,对网络流量进行特征提取和分析,从而识别恶意流量和网络攻击行为的一种技术手段。
可分为基于特征匹配、基于自动规则生成和基于机器学习的三种类型。
基于学习的网络入侵检测系统是通过机器学习技术训练出网络入侵检测模型,然后对流量进行分类,从而更好地检测网络攻击。
2.2 机器学习机器学习是一种通过对专门设计的算法,使计算机能够自主学习的技术。
它的主要任务是从已知数据(历史数据)中学习特征,使其能够更准确地对未知数据(未知流量)进行分类预测。
主要分为有监督学习、无监督学习和半监督学习三种类型。
3. 基于机器学习的网络入侵检测技术3.1 基于分类算法3.1.1 支持向量机支持向量机(SVM)是一类二分类模型,它的基本思想是找到一个好的超平面对数据进行划分,使得分类误差最小。
与其他分类算法不同,支持向量机将数据空间转换为高维空间来发现更有效的超平面,以达到更好的分类效果。
在网络入侵检测中,SVM主要应用于对已知流量进行分类,进而识别未知流量是否是恶意流量。
同时,SVM还可以通过简化流量特征提取的复杂性,优化特征集。
3.1.2 决策树决策树是一种机器学习算法,可以进行分类和回归预测。
决策树使用树形结构来表示决策过程,树的每个节点代表一个特征或属性,每个分支代表一个该特征的取值或一个属性取值的集合。
在网络入侵检测中,决策树算法可识别不同类型的网络攻击,并为网络安全工程师提供必要的信息和分析结果,以支持决策制定。
入侵检测系统研究与实现的开题报告
入侵检测系统研究与实现的开题报告一、选题背景随着计算机网络的不断发展和普及,互联网的安全问题也受到了越来越多的重视。
在这个背景下,入侵检测系统被广泛应用于计算机网络的安全管理。
入侵检测系统通过监测网络流量、记录异常事件来检测恶意行为,以提高网络的安全性。
然而,随着黑客技术的不断发展和入侵技术的日益复杂,传统的入侵检测系统无法满足现代网络的全面安全需求。
因此,如何提高入侵检测系统的检测和响应能力,成为当前亟待解决的问题。
二、研究目的和意义本文旨在研究基于机器学习的入侵检测系统,建立机器学习模型,实现对网络流量的智能分析,从而提高入侵检测系统的检测准确率和响应能力。
研究的目的是:1.建立基于机器学习的入侵检测模型,提高入侵检测系统的检测准确率;2.探究不同机器学习算法在入侵检测中的应用效果,为入侵检测系统的优化提供参考;3.实现入侵检测系统,为网络安全管理提供可靠的保障。
研究的意义在于:1.提高入侵检测系统的检测准确率,减少恶意攻击对计算机网络的威胁;2.促进机器学习算法在网络安全领域的应用和发展;3.为网络管理者提供实用的入侵检测工具,帮助其更好地维护网络的安全。
三、研究内容和方法本研究的主要内容包括:1.收集入侵检测相关的数据集,并对数据进行分析和预处理,以便后续的建模工作;2.构建入侵检测模型,采用常用的机器学习算法,如逻辑回归、支持向量机、随机森林等,对网络流量进行分析和分类;3.在模型训练和调优过程中,采用交叉验证和网格搜索等技术,以提高模型的泛化能力和优化效果;4.实现入侵检测系统,将构建好的模型应用到实际场景中,实现对网络流量的实时监测和分析。
本研究的核心方法是机器学习模型建模,包括数据预处理、模型选择和参数调优等环节。
在模型选择和参数调优方面,本研究将采用交叉验证和网格搜索等技术,以提高模型的泛化能力和优化效果。
四、预期成果本研究完成后,预期能够达到以下成果:1.基于机器学习的入侵检测模型,能够实现对网络流量的智能分析和分类;2.针对不同机器学习算法的研究,探究其在入侵检测中的应用效果,为入侵检测系统的优化提供参考;3.实现入侵检测系统,帮助网络管理者更好地维护网络的安全。
计算机网络专业中基于深度学习的网络入侵检测系统研究
计算机网络专业中基于深度学习的网络入侵检测系统研究网络入侵是一种对计算机系统进行非法访问、损害和破坏的行为。
为了保护网络系统的安全,网络入侵检测系统(Intrusion Detection System, IDS)被广泛应用于计算机网络中。
而其中基于深度学习的网络入侵检测系统正逐渐成为研究的焦点,它具有高准确率、良好的泛化能力和抗攻击性等优势。
本文将从深度学习的基本原理、网络入侵检测的需求、深度学习在网络入侵检测上的应用等方面展开研究。
首先,深度学习是一种机器学习方法,其灵感来源于人脑神经网络的结构和学习机制。
深度学习通过构建多层次的神经网络,实现了从大量数据中自主学习特征表示的能力。
相比于传统机器学习方法,深度学习可以更好地处理复杂的非线性关系,从而提高模型的性能和泛化能力。
在计算机网络领域,网络入侵检测是确保网络安全的关键任务之一。
传统的入侵检测系统主要基于规则或特征的匹配来识别潜在的攻击行为。
然而,随着网络攻击手段的不断演化和变化,传统的入侵检测系统往往无法应对新型的攻击。
而基于深度学习的网络入侵检测系统则可以通过学习网络流量中的高层次表示来捕捉和识别攻击行为。
深度学习在网络入侵检测中的应用主要有以下几个方面:1. 特征提取和表示学习:传统的入侵检测系统通常使用人工设计的特征来描述网络流量。
而深度学习可以通过自动学习网络数据的特征表示,减轻了手动设计特征的负担。
例如,可以使用卷积神经网络(Convolutional Neural Network, CNN)对网络流量进行卷积操作,提取局部空间特征。
另外,循环神经网络(Recurrent Neural Network, RNN)和长短时记忆网络(Long Short-Term Memory, LSTM)等网络结构也可以用于学习时间序列数据的特征表示。
2. 异常检测和分类:深度学习可以通过学习正常网络行为的模型,进而检测出异常行为。
例如,可以使用自编码器(Autoencoder)对正常网络流量进行编码和解码,当输入的网络流量与重构的流量存在差异时,即可认定为异常行为。
基于机器学习的物联网入侵检测系统综述
目前,物联网设备越来越智能,并且广泛应用于各种领域,如家庭、教育、娱乐、能源分配、金融、医疗、智能城市、旅游以及交通运输,简化了人们的日常生活和工作方式。
然而,无论商届或者学界都在朝着商业化的潮流前进,却很少关注物联网设备的安全性,这样可能会危及到物联网用户,更严重甚至会导致生态系统失衡。
例如,制造业的员工将感染了病毒的U盘插入机器;医院被恶意软件破坏的核磁共振成像机器,或是黑客引导输液泵注射致命剂量的药物,都将造成严重后果。
根据文献[1]可知,至2020年,网络犯罪破坏预算将达到每年60亿美元,并且有500亿物联网设备需要保护。
物联网受到攻击[2]后,不仅会影响物联网本身,还会影响包括网络、应用、社交平台以及服务器在内的完整生态系统,即在物联网系统中,只要破坏单个组件或通信通道,就可能会使部分或者整个网络瘫痪。
因此,在关注物联网带来便利的同时,更需考虑物联网的脆弱性[3]。
传统的安全解决方案已经覆盖了服务器、网络和云存储,这些解决方案大多可部署于物联网系统。
其中,密码编码学[4]作为保障信息安全的基础,通过密钥中心与传感器网络或其他感知网络的汇聚点进行交互,实现对网络中节点的密钥管理;对数据安全保护常用的办法有同态加密、密文检索等;其他安全技术如认证与访问基于机器学习的物联网入侵检测系统综述王振东,张林,李大海江西理工大学,江西赣州341000摘要:物联网技术的广泛应用在给人们带来便利的同时也造成诸多安全问题,亟需建立完整且稳定的系统来确保物联网的安全,使得物联网对象间能够安全有效地通信,而入侵检测系统成为保护物联网安全的关键技术。
随着机器学习和深度学习技术的不断发展,研究人员设计了大量且有效的入侵检测系统,对此类研究进行了综述。
比较了现阶段物联网安全与传统的系统安全之间的不同;从检测技术、数据源、体系结构和工作方式等方面对入侵检测系统进行了详细分类;从数据集入手,对现阶段基于机器学习的物联网入侵检测系统进行了阐述;探讨了物联网安全的未来发展方向。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2006年7月July 2006—107—计 算 机 工 程Computer Engineering 第 第14期Vol 32卷.32 № 14 ·安全技术·文章编号:1000—3428(2006)14—0107—02文献标识码:A中图分类号:TP309基于机器学习的入侵检测系统研究王旭仁1,2,许榕生2(1. 首都师范大学信息工程学院,北京 100037;2. 中科院高能物理所计算中心,北京 100039)摘 要:入侵检测系统存在特征不能自动生成、特征库更新慢、无法适应大量数据等缺点。
该文该文提出了基于机器学习的入侵检测系统,将遗传算法和贝叶斯分类算法结合使用,使得检测规则可以自动生成,克服手工编码的不精确、更新慢的缺陷,同时能够处理和分析大数量数据。
最后给出了实验分析结果。
关键词:机器学习;入侵检测系统;遗传算法;贝叶斯分类法Intrusion Detection System Based on Machine LearningWANG Xuren 1,2, XU Rongsheng 2(1. Information Engineering College, Capital Normal University, Beijing 100037; 2. Computing Center, Institute of High Energy Physics, CAS, Beijing 100039)【Abstract 】Intrusion detection system has some defects, such as signatures being generated manually, updating difficulty and doing nothing in front of large data set. This paper discusses intrusion detection system with machine learning techniques. By making usage of Gene algorithm and Bayes classifiers, the defects mentioned above can be reduced to some extent and some tests have been done to show machine learning magic capability in intrusion detection system.【Key words 】Machine learning; Intrusion detection system; Gene algorithm; Bayes classifiers入侵检测(ID)是“识别出那些未经授权而使用计算机系统以及那些具有合法访问权限,但是滥用这种权限的人”[1]。
进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。
目前的入侵检测系统大多数是基于特征检测(误用检测),用特征来检查攻击是一个有用和可行的方法。
但也存在很多缺点,例如特征库精确性的缺乏、特征自动更新能力的缺乏、无法适应数据量增大的趋势等。
入侵检测中,收集到的数据越多,分析结果就越精确。
随着网络技术的突飞猛进,数据量日益增大,如何从其中自动提取出入侵行为和正常行为,单靠人工分析十分困难。
因此出现了把智能数据分析技术应用到IDS 中的趋势。
近年来随着机器学习技术研究领域的拓展,该领域朝着智能数据分析发展,T.Mitchell 定义机器学习为“利用经验改善系统自身的性能”。
把机器学习的技术应用到入侵检测系统中来,得到很多学者的研究[2,3],基于机器学习的入侵检测系统可以较好地解决上述问题:(1)检测新攻击能力。
机器学习的技术对网络入侵的检测既可以从已有的数据中抽取入侵特征,也可以对正常活动建立模型,从而可以检测新攻击。
例如,修改远程登录缓冲区溢出代码以便绕过IDS 特征库,使用机器学习的技术进行异常检测,这种活动将被标记。
(2)精确性。
机器学习的技术对网络入侵自动建立检测规则和模型,避免了手工建立模型的缺点。
(3)适应数据量增大的趋势。
机器学习的技术能处理大量的网络数据分析任务,在减少数据上发挥重要作用。
1机器学习技术机器学习技术发展迅速,常用技术有神经网络、决策树、支持向量机、k 近邻、序列分析、聚类等。
在选择用于入侵检测的机器学习技术时,更多的是来自经验和领域知识,在系统中采用的是遗传算法(Genetic Algorithm)和贝叶斯分类器(Bayes Classifier)。
1.1 遗传算法遗传算法(Genetic Algorithm ,GA)在本质上是一种不依赖具体问题的直接搜索方法,遗传算法的基本思想是基于Darwin 进化论和Mendel 的遗传学说的。
待解决的问题编码成位、字符、数字序列,被编码的单位称为基因,编码序列称为染色体,又叫串。
传统基因算法原理是:首先进行编码,把解空间的解数据表示成遗传空间的基因型串数据, 生成初始群体,决定群体大小(群体中个体个数);根据适应度函数计算每个个体的适应度,作为个体生存的能力度量,即解的优劣;进行循环选择(selection)、交叉(crossover)、变异(mutation),在迭带过程中,使用繁殖(reproduction)和变异来产生新的解决方案,并朝着选择适应度强的个体发展。
当最优个体的适应度达到给定的阈值,或者最优个体的适应度和群体适应度不再上升时,则算法的迭代过程收敛、算法结束。
否则,用经过选择、交叉、变异所得到的新一代群体取代上一代群体,并返回到选择操作处继续循环执行。
1.2 贝叶斯分类器贝叶斯分类是机器学习和数据挖掘中最有效的学习算法之一,是一种无监督学习。
试验表明,朴素贝叶斯分类算法预测能力和决策树C4.5一样好[3],并且具有更强的学习能力。
贝叶斯分类总是基于这样一种假设:对于给定的类,所有属基金项目:国家“973”计划基金资助项目(G1999035806)作者简介:王旭仁(1972—),女,博士,主研方向:网络安全,人工智能;许榕生,研究员、博导收稿日期:2005-08-07 E-mail :wangxr@性的分布是相互独立的。
用X 表示样本,S 表示所有样本的集合;A={,n 是非负整数}表示样本集合S 上定义的n 个特征值,样本可以写成X=(),其中分别是对应特征的值;C={,m 是正整数}是S 上事先定义好的有限分类集合。
n A A A ,...,,21n x x x ,...,,21n x x x ,...,,21n A A A ,...,,211|i c i ≤≤m 设X S ∈,则基于最小错误率的贝叶斯决策规则,X ∈c j 的条件是m j i x c p x c p i jji≤≤=∃,1 )),|((max )|(,其含义为:在观测得到的n 维特征向量X 发生的条件下,类别的所有条件概率中最大者为应归属的类,这样做可以实现最小错误率的识别决策。
j c 根据贝叶斯公式,有)()()|(max))|((max X p c p c X p X cp j j jjj= (1)由于p (c j )可以很容易从训练数据中估算得到;p (X)和决策分类无关;关键是p (X|c j )的计算,则首先需要计算联合概率p (|c n x x x ,...,,21j )的值,联合概率的分布是n 的指数级,这样计算量就会很大。
如果假设“在给定类下,所有的属性相互之间都是独立的”,即p (|c n x x x ,...,,21j )=p (x 1|c j )×p (x 2|c j )×...×p (x n |c j ) (2) 问题就可以得到简化,在训练数据集中计算p (x 1,x 2,...,x n | c j )的值,从而避免了大的计算量。
即使在上述假设不成立的情况下,贝叶斯分类器也能得出较好的分类结果[4]。
贝叶斯分类器具有很强的学习性,如果C 中只有两个可能的类,即0和1(例如可以分别表示攻击和正常网络连接)。
那么样例X=(x 1,x 2, ...,x n )属于类c=1的概率为(推导过程略)(3)其中:)1/(1)|1()(10∑+===+−nj j e X c p ωω)0|()1|(ln=====c x A p c x A p j j j j jω,)0()1(ln 0===c p c p ω。
如果p (c=1|X)≥1/2,X 属于类别c=1。
从式(3)可以看出贝叶斯分类器是逻辑回归(Logistic Regression)的一般化形式,后者是最为广泛使用的概率分类的统计方法。
2 基于机器学习的入侵检测系统工作模式基于机器学习的入侵检测系统首先生成检测规则,如图1所示:收集合适的数据集,对数据进行预处理,使用基因算法生成模式库。
图1 基于机器学习的入侵检测系统规则生成 入侵检测系统工作模式然后再利用贝叶斯分类器和模式对当前的数据进行分类,预测攻击或产生分析结果,如图2所示。
3 实验结果3.1 问题描述和数据源在实验中使用两种数据集:网络连接数据(选自KDD Cup98的部分数据,约10MB ,40 000多条记录)和在中科院高能所网络环境中收集的网络安全审计数据(约4MB ,30 000多条记录)。
这两种数据集均是预分好类的,分别用数据集2/3和1/3的数据作为训练和测试数据。
网络连接数据用于产生网络正常活动模式,数据记录包含的属性有:连接的基本属性和内容属性(共23个属性),基本属性有协议类型、连接持续时间、连接的客户端和服务器各自发出的数据长度等;内容属性根据登录失败的次数、使用root 命令的次数、访问根的次数、创建文件的次数在对网络连接数据进行模型提取之前,对数值属性的数据进行离散化处理,以降低数据量。
网络安全审计数据包含的属性有:RecordTime(警报记录时间)、SourceIP(源IP)、DestIP(目的IP)、SourcePort(源端口)、DestPort(目的端口)、SourceMac(源MAC 地址)、DestMac(目的MAC 地址)、LocalTime(本地时间) 、CheckId(攻击标号)。
这些数据是网络安全工具如防火墙、网络监控系统记录下来的网络入侵审计数据,用于对网络入侵产生特征模式。
3.2 试验方法和结果通过基因算法对上述数据进行学习,提取出来的规则或模式既可以用来对当前数据进行分类预测,也可以用来调整网络安全策略,例如修改服务器的账号管理方式等。
以网络连接数据为例,基因算法提取的例子规则如下:Duration([*, 1]) AND service(http) AND flag(SF) AND src_bytes([158, 1032]) AND dst_bytes([452, 2920]) AND wrong_fragment(0.0) AND hot(0.0) AND num_failed_logins([*, 1]) AND logged_in(1.0) AND num_compromised([*, 1]) AND root_shell(0.0) AND su_attempted(0.0) AND num_root([*, 1]) AND num_file_creations([*, 1]) AND num_shells(0) AND num_access_files([*, 1]) AND class(normal.)上述规则中括号外面的是属性,括号里面是属性对应的值,AND 表示属性之间的合取关系,最后一个属性是分类属性,对应值表示根据条件属性得到的分类(决策)是:该网络连接是正常连接。