基于机器学习方法的入侵检测技术_许戈静
基于机器学习的网络入侵检测技术研究
基于机器学习的网络入侵检测技术研究一、引言网络入侵是当前网络环境中的一个普遍问题,研究如何检测网络入侵成为了一个重要的课题。
随着机器学习技术的发展,基于机器学习的网络入侵检测技术也受到了广泛关注。
本文将从机器学习技术的角度出发,探讨网络入侵检测技术的研究现状及未来发展方向。
二、网络入侵检测技术概述网络入侵检测技术主要包括基于特征的检测技术和基于机器学习的检测技术。
其中,基于特征的检测技术主要是依靠预先定义好的特定规律,通过对网络流量数据的深入分析,来检测是否存在网络入侵。
这种技术的优点是实现简单,不需要大量的数据支持,但是其缺点也很明显,就是对攻击者提前了解规则后可以轻松绕过的问题。
基于机器学习的检测技术则不受这一问题的制约,因为其依赖于数据的学习和分类判断。
该技术主要分为无监督学习和有监督学习两种方式。
其中无监督学习可以自主学习出网络的基础规律,进而对新数据进行异常检测,而有监督学习则需要大量的已分类数据来进行训练,以便对新的数据进行分类判断。
三、基于机器学习的网络入侵检测技术的研究现状1.传统机器学习方法在传统机器学习方法中,主要是使用分类算法对网络数据进行分类,判别其是否具有风险。
研究者常常使用支持向量机(SVM)或者决策树(Decision Tree)算法来建立分类模型,用于检测网络中的异常行为。
例如,在文献(Alazab和Vines,2010)中,研究者使用SVM算法对网络交通数据进行分析,以检测网络流量中是否存在异常数据包。
在文献(Liu和Zhang,2018)中,研究者则采用了Decision Tree算法来建立分类模型,用于判别网络流量中的异常流量。
2.深度学习方法近年来,深度学习技术的发展,为基于机器学习的网络入侵检测技术提供了更加精准的分类模型。
研究者常常使用深度卷积神经网络(DCNN)或者循环神经网络(RNN)来建立分类模型。
例如,在文献(Belhumeur et al.,2015)中,研究者使用深度卷积神经网络对网络交通数据进行学习和分析,以识别网络流量中的异常流量。
基于机器学习的入侵检测技术研究
基于机器学习的入侵检测技术研究入侵检测技术在现代网络安全中起着至关重要的作用。
如今,随着科技的迅速发展,网络攻击的数量和复杂性正在不断增加,传统的入侵检测方法面临着巨大的挑战。
基于机器学习的入侵检测技术通过分析网络数据流、识别异常模式和学习异常行为等手段,可以在网络中实时地检测和预防入侵事件的发生。
首先,基于机器学习的入侵检测技术需要采集和处理大量的网络数据流。
网络数据包含了许多关键信息,如源地址、目标地址、传输协议、端口号等。
机器学习算法可以通过分析这些信息,发现隐藏在数据背后的规律和模式,并将其用于异常检测。
在数据收集和处理过程中,还需要注意数据的实时性和准确性,以确保入侵检测系统的及时性和可靠性。
其次,基于机器学习的入侵检测技术通常使用监督学习或无监督学习算法进行模型训练。
监督学习需要使用已标记的数据集,其中包含了正常和异常的网络流量样本。
通过对这些数据进行特征提取和模型训练,算法可以学习到正常网络流量的模式,并能够识别出与正常行为不符的异常模式。
无监督学习则不需要已标记的数据集,它可以自动学习网络流量的特征和分布,进而检测和识别异常行为。
此外,基于机器学习的入侵检测技术还需要考虑特征选择和模型优化。
特征选择是指从庞大的网络数据中提取出最具代表性的特征,以提高算法的效能。
常用的特征选择方法包括信息增益、主成分分析和相关系数等。
模型优化则是指通过调整模型参数和使用合适的算法,提高入侵检测系统的准确率和鲁棒性。
常用的模型优化方法包括交叉验证、参数调整和集成学习等。
基于机器学习的入侵检测技术也存在一些挑战和限制。
首先,由于网络攻击手段的不断演进,入侵检测系统需要不断更新和适应新的攻击类型。
其次,机器学习算法在处理大规模复杂数据时存在计算复杂度高、模型解释性差等问题。
此外,攻击者可能会采用对抗性样本,通过修改网络流量数据,干扰入侵检测系统的工作。
对抗性样本是一个仍需解决的挑战,需要进一步研究和发展对策。
基于机器学习的网络入侵检测技术
基于机器学习的网络入侵检测技术近年来,随着互联网的不断发展,网络入侵的问题备受关注。
从小型企业到大型组织,各种各样的入侵事件层出不穷,给网络安全带来了极大的危害。
为了保护网络安全,人们采用了各种方法来防范和检测网络入侵,其中机器学习技术成为最为流行和有效的一种工具。
机器学习是一种人工智能技术,它通过对数据进行学习和分析,从而实现对未知数据的预测和识别。
基于机器学习的网络入侵检测技术,是利用机器学习的算法来识别网络中存在的入侵行为。
它通过对已知入侵数据的学习,将这些知识应用到新的未知数据上,从而实现网络入侵的检测和预防。
机器学习技术的使用,完全是基于数据的,因此在使用机器学习技术进行网络入侵检测时,大量的数据集是必不可少的。
这些数据集不仅包含入侵数据,还包含正常的网络数据,以此为基础,机器学习模型可以进行更准确的学习和推理。
随着网络入侵日益复杂和隐蔽,网络入侵检测所需的数据集也变得越来越大。
基于机器学习的网络入侵检测技术,其主要的工作流程包括:数据收集、数据预处理、特征提取、模型训练和测试以及模型优化等过程。
在数据预处理过程中,通常采用归一化,降噪,PCA 等技术来对原始数据进行预处理和转换,以更好地提取特征。
在特征提取阶段,需要选取一些能够反映数据集本质特征的指标,并判断这些指标是否与入侵行为相关联。
在模型训练过程中,为了提高模型的性能和预测能力,通常采用交叉验证等技术,来避免过拟合和欠拟合的问题。
针对当前网络入侵的复杂性和多样性,基于机器学习的入侵检测技术,也在不断地发展和完善。
例如,利用卷积神经网络和递归神经网络等深度学习算法,可以更加深入地挖掘网络数据的特征;而采用迁移学习的手段,则可以更好地解决数据集不足和模型训练时间长的问题等。
当然,机器学习技术虽然可以有效地检测网络入侵行为,但同时也存在一定的局限。
例如,当网络入侵者采用新的攻击方式,从而导致以前入侵行为的样本不再具有代表性和可预测性时,机器学习算法的效果也将大打折扣。
基于机器学习的网络入侵检测技术
基于机器学习的网络入侵检测技术网络入侵已经成为在当今互联网时代中普遍存在的威胁之一。
随着黑客技术的不断进步和演化,传统的网络安全防护手段已经远远无法满足对抗网络入侵的需求。
为了提高网络安全性,基于机器学习的网络入侵检测技术应运而生。
一、机器学习在网络入侵检测中的应用机器学习是一种能够让计算机从数据中学习和自动化改进的方法。
在网络入侵检测中,机器学习可以通过对网络流量数据的训练和分析,识别出异常和恶意行为,从而实现对网络入侵的检测和预防。
1. 数据预处理在使用机器学习进行网络入侵检测之前,需要对原始数据进行预处理。
这包括数据清洗、特征提取和特征选择等步骤。
通过这些步骤,可以消除无用信息并提取出与入侵行为相关的特征,为后续的机器学习算法提供准确有效的输入。
2. 特征选择网络入侵检测中的特征选择是一个关键的环节。
由于网络流量数据通常具有高维度和冗余性的特点,选择适当的特征可以提高机器学习算法的性能和效率。
特征选择可以通过统计方法、信息熵和相关性等技术来实现,以确保所选择的特征具有较高的信息量和较低的冗余度。
3. 机器学习算法在网络入侵检测中,常用的机器学习算法包括支持向量机、朴素贝叶斯、决策树和神经网络等。
这些算法可以通过对训练数据的学习和建模,识别和分类网络流量数据中的正常和异常行为。
随着深度学习的发展,深度神经网络模型如卷积神经网络和循环神经网络也被广泛应用于网络入侵检测领域。
4. 检测与预防通过机器学习算法的训练和学习,网络入侵检测系统可以实时监控网络流量,识别并及时响应可能的入侵行为。
一旦发现异常或恶意行为,系统将触发警报并采取相应的防御措施,保护网络安全。
二、基于机器学习的网络入侵检测技术的优势和挑战基于机器学习的网络入侵检测技术相对于传统的手工规则和特征方法具有以下优势:1. 自适应性:机器学习算法可以根据实际情况自动学习和适应新的入侵模式。
相比于传统的手工规则方法,机器学习可以更好地应对网络入侵行为的多样性和变异性。
基于机器学习的网络安全入侵检测技术研究
基于机器学习的网络安全入侵检测技术研究随着网络的快速发展,网络安全成为了一个备受关注的话题。
入侵者不断寻找并利用网络中的漏洞来进行非法活动,网络安全威胁也日益增加。
为了保护网络和数据的安全,网络安全入侵检测技术的研究和应用变得尤为重要。
本文将重点探讨基于机器学习的网络安全入侵检测技术的研究。
一、机器学习在网络安全入侵检测中的作用机器学习是一种可以让机器通过经验和数据来学习和提高性能的方法。
在网络安全领域,机器学习技术可以通过分析网络流量数据和日志信息来识别潜在的入侵行为。
相比传统的基于规则的检测方法,机器学习能够更加准确地检测到新型、未知的入侵行为。
二、基于机器学习的入侵检测技术的研究方法基于机器学习的入侵检测技术通常包括数据采集、特征选择、模型训练和入侵检测四个主要步骤。
首先,数据采集是入侵检测的基础。
通过收集网络流量数据和日志信息,可以建立一个全面的数据集来用于训练和测试。
数据采集还可以使用一些传感器和监控工具来实时收集网络数据,以实现实时入侵检测。
其次,特征选择是非常重要的一步。
在数据集中,我们需要选择适合入侵检测的特征。
常用的特征有源IP地址、目的IP地址、端口号、数据包长度等。
特征选择的目标是找到最能区分入侵和正常行为的特征。
然后,模型训练是通过机器学习算法来训练模型以识别入侵行为。
常用的机器学习算法有决策树、支持向量机、神经网络等。
在模型训练中,需要将数据集划分为训练集和测试集,通过训练集来训练模型,然后通过测试集来评估模型的性能和准确率。
最后,入侵检测是将模型应用于实际的网络流量中,通过对新的数据进行预测,识别是否存在入侵行为。
入侵检测可以实时进行,及时发现并阻止入侵行为,从而保护网络和数据的安全。
三、面临的挑战和未来发展方向虽然基于机器学习的网络安全入侵检测技术在提高准确率和效率方面取得了显著的进展,但仍然面临一些挑战。
首先,模型的训练和优化需要大量的数据和计算资源。
大规模的数据集和复杂的算法训练需要庞大的数据存储和计算能力,这对于普通用户和中小企业来说可能是一个挑战。
网络安全中基于机器学习的入侵检测技术研究
网络安全中基于机器学习的入侵检测技术研究随着互联网的快速普及,人们的生活越来越离不开网络。
与此同时,网络安全问题也日益严重,其中最突出的问题之一就是入侵攻击。
入侵攻击是指黑客使用各种手段侵入受攻击者的计算机系统中,获取或破坏机密信息的行为。
针对这种安全问题,基于机器学习的入侵检测技术成为了近年来的热门研究方向。
一、机器学习入侵检测技术的基本原理机器学习入侵检测技术是通过学习网络流量的特点,建立模型,能够自适应地识别出网络中异常行为的技术。
其基本原理包括三个方面:特征提取、分类器建立和分类器优化。
特征提取是指从网络流量中提取出易于描述和区分的特征,如流量大小、传输协议、源IP、目的IP等。
分类器建立是指根据已有的特征数据,训练出具有识别异常行为的能力的分类器模型。
分类器优化是指对已有的分类器进行改进,以提高准确率和性能。
二、机器学习入侵检测技术的应用场景机器学习入侵检测技术在实际应用中非常广泛,可以用于保障企业信息安全、防范黑客攻击等。
首先,机器学习入侵检测技术可以应用于企业内部网络安全维护。
企业内部网络通常分为多层次,包括外网、DMZ区域、内网等多个层次。
网络安全管理员可以通过机器学习入侵检测技术监控企业网络流量,及时发现并阻止入侵攻击。
其次,机器学习入侵检测技术也可以应用于云计算环境中。
在云计算环境中,多个用户共用一台服务器,这就带来了较大的安全风险。
通过机器学习入侵检测技术,可以对云计算环境进行实时监控,及时发现入侵攻击,并通过云计算环境的资源加以处理。
三、机器学习入侵检测技术存在的挑战及解决方案机器学习入侵检测技术虽然应用范围广泛,但是其本身也存在一些挑战。
其中最为突出的问题就是数据量大、数据复杂、特征提取难度大等。
面对这些挑战,研究者们提出了多种解决方案。
例如,可以采用半监督学习方法,降低对数据标记的依赖性。
还可以针对网络流量中的特定特征进行深度学习研究,提高特征提取准确率。
四、结论机器学习入侵检测技术是当前网络安全领域的研究热点,具有广泛的应用前景。
基于机器学习的网络入侵检测技术综述
基于机器学习的网络入侵检测技术综述随着互联网的迅速发展和普及,网络安全问题也日益突出。
网络入侵成为一个严重的威胁,给个人、企业乃至国家带来了巨大的损失。
为了提高网络安全水平,研究人员提出了各种网络入侵检测技术。
其中,基于机器学习的方法因其高效且准确的特点而备受关注。
本文将对基于机器学习的网络入侵检测技术进行综述。
首先,我们需要了解什么是网络入侵。
网络入侵指的是未经授权的个人或组织通过网络对目标系统进行非法活动,例如窃取数据、破坏系统等。
传统的网络入侵检测方法主要是通过特征匹配,即事先定义好的规则匹配入侵行为所具有的特征。
但是,这种方法往往难以适应日益复杂多变的入侵手段。
基于机器学习的网络入侵检测技术通过训练算法从大量的网络数据中学习入侵模式,进而对新的网络流量进行分类。
其中,最常用的机器学习算法包括支持向量机(SVM)、决策树、朴素贝叶斯等。
支持向量机是一种常用的分类算法,它通过找到一个超平面将不同类别的数据分开。
在网络入侵检测中,支持向量机可以学习到入侵和正常流量的不同特征,从而能够对新的数据进行准确分类。
然而,支持向量机的训练过程比较耗时,且对于大规模数据的处理存在困难。
决策树是一种以树形结构表示的分类模型,它能够根据特征的重要性依次进行划分。
在网络入侵检测中,决策树可以根据网络流量的各种特征进行分类。
与支持向量机相比,决策树的训练速度更快,但在处理高维数据和特征选择上存在一定的困难。
朴素贝叶斯是一种基于贝叶斯定理的分类算法,它假设各个特征之间是相互独立的。
在网络入侵检测中,朴素贝叶斯可以学习到入侵和正常流量之间的概率分布,从而能够对新的数据进行分类。
然而,朴素贝叶斯算法对于特征之间的依赖关系的处理存在一定的局限性。
除了上述几种常用的机器学习算法,还有一些其他的技术被应用于网络入侵检测中。
例如,深度学习算法,如卷积神经网络(CNN)和循环神经网络(RNN),能够提取更复杂的特征,从而提高网络入侵检测的准确性。
基于机器学习的入侵检测技术研究与实现
基于机器学习的入侵检测技术研究与实现随着互联网的快速发展,网络安全问题日益突出,网络入侵成为了一种常见的威胁。
入侵检测系统(IDS)作为网络安全的关键组成部分,旨在识别和阻止恶意入侵行为,保护网络系统的安全。
传统的入侵检测系统主要基于特征匹配或规则匹配,存在着灵活性差、准确率低等问题。
而基于机器学习的入侵检测技术以其自动化、高效性和智能化等特点逐渐受到关注,并在实际应用中取得了一定的成果。
本文将探讨基于机器学习的入侵检测技术的研究与实现,其中将包括入侵检测系统的基本原理、机器学习在入侵检测中的应用、常见的机器学习算法以及如何进行基于机器学习的入侵检测系统的实现。
一、入侵检测系统的基本原理入侵检测系统是一种用于监控网络流量和识别恶意攻击的系统。
其基本原理是通过对网络流量数据进行分析,检测其中是否存在恶意入侵行为。
传统的入侵检测系统通常包括两种类型:基于网络流量的入侵检测系统和基于主机的入侵检测系统。
前者是通过监控网络流量,检测是否存在恶意攻击行为;后者是通过监控主机操作系统和应用程序,检测是否存在异常行为。
二、机器学习在入侵检测中的应用机器学习是一种通过数据构建模型并使用模型进行预测和决策的方法。
在入侵检测领域,机器学习可以通过对网络流量数据和系统日志数据的分析,构建出良好的模型来识别恶意入侵行为。
机器学习在入侵检测中的主要应用包括以下几个方面:1. 特征选择:通过对网络流量数据和系统日志数据进行特征提取和选择,确定哪些特征对于识别恶意入侵行为是最为有效的。
2. 模式识别:通过机器学习算法,识别恶意入侵行为的模式,建立模型进行分类和预测。
3. 异常检测:利用机器学习算法,检测网络流量数据和系统日志数据中的异常行为,识别出可能存在的恶意入侵行为。
三、常见的机器学习算法在入侵检测领域,常见的机器学习算法包括:支持向量机(SVM)、决策树(Decision Tree)、随机森林(Random Forest)、神经网络(Neural Network)等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于机器学习方法的入侵检测技术许戈静(泉州信息工程学院,福建泉州362000)摘要:随着信息技术的不断发展,人们生活发生了翻天覆地的变化,它给人们带来了很多便利,但与此同时,安全问题也日益突出。
目前,传统的入侵检测系统已经不足以完成对越来越复杂的网络攻击的检测任务。
入侵监测系统技术之中引入机器学习,可以有效地提高系统性能。
文章主要介绍了几种机器学习方法在入侵检测中的应用。
关键词:机器学习方法;入侵检测技术;贝叶斯分类神经网络;遗传算法;支持向量机中图分类号:TP393.08;TP18文献标识码:A文章编号:1673-1131(2015)12-0127-020引言虽然入侵检测系统可以检测出网络系统中存在的入侵隐患和行为,可是鉴于入侵检测技术和网络技术的局限性,以及网络系统的复杂性等多种原因,传统的入侵检测系统还是很难满足完整性的同时,也满足并行性的要求,它主要的检测手段仅仅是利用简单的模式匹配来发现是不是原有的攻击,但是这种方法却不可以预测出新的攻击,同时也不可以通过自我学习的方式来产生新的检测规则,所以入侵检测系统仍存在很多缺陷和隐患。
针对上述的不足,如果将例如数据挖掘技术、专家系统、机器学习等知识融入到现有的入侵检测系统中,就能够既保留原有系统的高性能,还能够使它更加智能化,还可以在现代网络环境中,提高入侵检测的效率、降低漏报率和误报率。
本文主要是对于几种基于机器学习方法入侵检测技术做简单的概述。
1基于机器学习方法的入侵检测系统的设计基于机器学习的入侵检测系统,是采用机器学习的方法来检测那些通过网络捕获到的数据包,以此完成入侵检测。
此系统由四个模块构成:机器学习、网络数据包捕获、误用规则处理和数据预处理,其中系统的核心是机器学习模块。
(1)机器学习模块:此模块是本系统的核心,通过此模块的训练,使学习机可以检测入侵。
(2)网络数据包捕获模块:一般情况下,监视和验证网络实时的流量和工作状态常常用到它。
网络入侵检测系统的设计,以及其他网络管理软件、网络安全软件实现的基础,就是要实现在网络上截获和分析各个协议层次上的数据包。
而Sniffer(数据包嗅探器)就是实现这部分功能的程序,也是本系统有效并高效工作的基础。
所以,整个系统中最基础的程序就是网络Sniffer。
(3)数据预处理模块:对于网络数据包捕获模块送来的大量的原始数据包该模块要先进行预先处理,从而方便随后的检测分析。
(4)误用规则处理模块:该模块是实现以规则为参照的误用检测的,它用系统己存在的模式数据库和已知的网络入侵与收集到的信息进行对比,从而找出不符合安全策略的行为,确保了目前的误用规则的检测准确率和效率都较高的优势。
2侵检测系统中使用的机器学习方法侵检测系统中机器学习模块中可以采用的机器学习的方法很多,这里对其中几种做介绍。
2.1基于贝叶斯分类的方法贝叶斯分类模型其实是一种典型的运用统计学的方法来实现的分类模型。
它能够用数学公式的精确方法来表示出来,和JDBC的连接性,同时应用SQL语言完成添加、修改以及查询等各项工作。
另外,可以在对数据进行处理后,将结果输送给相关视图。
2.2.2设计手持RFID终端服务子系统的方法子系统中的手持RFID终端系统,主要包括上位机(And-roid)及RFID读写设备两个组成部分。
其中,RFID读写设备的具体设计中,又包含了软件设计和硬件设计两个方面,其作用主要是:读写电子标签。
上位机(Android)具有的功能是:有效控制读写器。
该设计环节的主要设计内容及步骤包括以下几个方面:第一步,硬件的选型工作:设计人员应该以满足数据中心工作需求为基本的设计理念,结合数据中心的系统的功能性以及应用环境要求,考虑设计结果的可靠性以及成本多少等多重因素,对射频模块、电子标签等相关元器件进行合理选型;第二步,设计电路:将单片机AT89S51作为一项具有主控性的单元,进行供电、USB连接、射频读写等电路的设计,进而完成与上位机(Android)的有效连,并可以对相应射频模块中的读写功能进行控制;第三步,设计读写器应用软件的方法:读写器具有与上位机进行通信和进行电子标签读写的功能,因此,可选择运用外部中断法实现和射频模块的数据通信,并设计好读写电子标签的具体操作方法。
另外,在和上位机进行数据传输的过程中,可以选择使用串口转换USB的方式进行通信式的传输;第四步,设计上位机(Android):该设计环节主要包括以下两个部分:一是和读写器进行通信,完成电子标签读写。
二是访问Web服务器。
3结语综上所述,在为数据中心设计管理设备系统时应用RFID 技术,对提升数据中心的管理质量具有重要意义。
数据中心,对环境具有很高的要求。
当前,除了需要对设备线缆构建出结构化、科学化的数据设计模型,另外,噪声、温湿度等相关境参数、能源消耗以及其他设备的信息均是相关单位比较关注的数据问题。
本次设计主要基于RFID的技术理念,并结合数据中心设备管理信息服务系统的实际需求,对系统中的管理数据子系统以及手持RFID终端子系统进行设计分析。
但是,为全面提升数据中心的管理质量,数据中心还应该结合实际发展需要,对管理数据的服务系统进行持续性的研究,进而促使数据中心实现信息化、自动化、与时俱进的管理。
参考文献:[1]天津市小蜜蜂计算机技术有限公司.基于RFID技术的物流仓库管理解决方案[J].物联网技术,2014,1(6):11-12 [2]郭岩,赵嘉,张鹏,等.基于RFID技术的中国疾控中心固定资产管理系统应用效果[J].中国数字医学,2015,10(1):99-101127128是一种具有最小错误率的概率分类法,而且它能够用多种概率理论来解决,因此许多源于贝叶斯理论的分类方法均被成功地应用了。
而贝叶斯理论中最重要的内容,无疑就是贝叶斯定理,它同时也是贝叶斯理论的基础,把事件的先验概率与后验概率联系起来,通过先验信息和样本数据的信息,来推测出事件的后验概率。
判断观察到的事件是正常行为还是入侵就是入侵检测的基本任务,那么可以将其看作是一个分类的过程。
所以,可以使用贝叶斯算法把检测对象的行为进行分类,每一个矢量都是一个对象所对应的一个行为,将这些矢量进行划分,可以分为四类:正常行为、标准行为、异常行为和入侵行为。
针对随机变量,一定要明白此变量对每一个分类的概率的分布,然后将该变量归入概率最高的类。
贝叶斯分类的方法中有不同的叶斯分类模型。
而这些贝叶斯分类模型的区别就是,它们是通过不同的方法来获得事件的后验概率的。
在朴素贝叶斯分类器中,假设全部的属性变量均是相互类条件独立的,此算法的最大优势就是不用搜索,只用简单地计算训练例中的每个属性值所发生的频率数,就能够估算出每个属性的概率估计值,而这一假设也在很大程度上降低了系统的复杂性,目前在一些领域上也获得了十分理想的效果。
例如:斯坦福研究院的Valdes 和Skinner 等,就是通过朴素贝叶斯分类器分析了网络流量,从而设计了称为eBayes 的入侵检测系统。
2.2基于神经网络的方法人工神经网络通过模拟人脑处理、存储和加工信息机制,实现的一种智能化信息处理技术。
它所包含的抽象概括能力、自适应和学习能力,以及内在的并行计算特性,让它在入侵检测方面拥有独特的优势:(1)神经网络能够通过大量的实例,进行训练,然后学会知识,并从中得到正常的用户或系统活动的特征模式,拥有预测的能力,从而不需要获取描述用户行为特征的特征集以及用户行为特征测度的统计分布。
(2)能够把新发现的入侵攻击实例展示给神经网络,经过第二次的训练让神经网络可以对新的攻击模式做出反应,由此让入侵检测系统获得自适应的能力。
(3)当入侵检测系统正常的工作模式被神经网络掌握了之后,它就可以对偏离系统正常工作的事件产生反应,还能够发现一些新的攻击模式。
(4)神经网络经过训练,能够把对模式的判断和匹配转换成数值的计算,这样有利于加快系统的处理速度,使其更适合于实时处理。
所以,想让IDS 变得更加高效,就可以使用神经网络来构建IDS ,特别是使它拥有自适应能力,来适应入侵行为,并跟踪其变化,这样才可以检测出新型的入侵行为和模式。
2.3基于基因箅法的方法基因算法(Genetic Algorithm )也叫做遗传算法,是一种模仿生物界的自然选择和进化机制而发展起来的随机、高度并行、自适应搜索的算法。
由于基因算法主要是依靠生物进化和遗传的思想,所以把它应用于入侵检测的规则,发现了它与传统方法具有很多不同的特征:第一,它的处理对象不是参数本身,而是问题参数的编码集;第二,基因算法在搜索空间中,可以同时对很多点进行求解,这样就可以减小收敛于局部的最小可能,以此同时还可以增加处理的并行性。
在网络攻击检测系统当中,通过基因算法产生简单的规则,从而对网络通信量进行监控。
这些规则是通过把正常连接和异常连接进行比较,所产生的模式形成的。
它们是简单的单连接模式,可以从网络连接中区分非正常连接和正常连接,例如,只与异常连接相匹配的规则表示为:if (模式匹i~d )then (产生警告)。
这些规则能够用于对新的连接和历史记录进行过滤,让管理员可以注意到可疑行为。
基因算法的问题在于变异、交叉和选择算子的设计上,现在主要依靠的经验和实验的方法,如果选择不合理,可能会产生过早收敛的问题。
2.4基于支持向量机的方法支持向量机(SVM )是利用结构风险最小化(SRM )原理。
支持向量机的基本思想是对于一个给定的拥有有限数量训练样本的学习任务.如何机器容量(机器可无错误地学习任意训练集的能力)和在准确性(对于给定训练集)这两个方面进行折衷来获得最好的推广性能。
入侵检测系统存在着在先验知识较少的情况下推广能力差的问题。
将支持向量机方法应用到入侵检测系统中。
能够确保在先验知识不足的情况下,支持向量机分类器仍有较好的分类正确率,才能使得整个入侵检测系统获得不错的检测性能。
在入侵检测系统中,目前的SVM 方法较多是用来区分正常数据和各种攻击的,通过检测攻击并发出攻击报警,来取得较好的结果。
例如:在DARPA 设计的KDD 竞赛数据库上,Mukkamala 等利用SVM 的实验,取得了很好的效果。
还有的研究人员将其他算法和SVM 相结合,发现了更好的入侵检测算法。
例如:Wu 等人将SVM 和向量量化技术融合在一起,首先运用向量量化技术使网络审计的数据库变小,产成一个训练编码本,然后在这个训练编码本上再运用SVM ,建立一个入侵检测的模型;Kim 等人将SVM 和基因算法结合了起来,以此来寻找一个“最佳的检测模型”,此方法不但可以找到SVM 的“最佳参数”,还可以找到整个属性集中“最优的属性子集”。
3结语除了上面介绍的几种方法以外,入侵的特征进行辨识的还有粗糙集、免疫原理、专家系统、数据挖掘、Agent 等智能化方法。