网络入侵检测研究进展综述
计算机网络入侵检测技术研究进展
2 入 侵 检 测 分 类及 技 术 分析
根据检测的方法可将入侵检测分为两大类型 : 误用入侵检测和异常入侵检测。误用入侵检测又称为
特征检测或滥用检测 , 其是根据已知攻击的知识建立攻击特征库 , 通过用户或系统行为与特征库中各种攻
击模式的比较确定是否有入侵发生。该检测系统的优点是误报少 , 准确率高 ; 局限是它对未知的攻击无能
点, 并通过循环反馈及时做出有效的响应 。近年来 , 入侵检测逐渐成为工业界和学术界 的研究热点 , 出现
了许多入侵检测相关的新技术 , 本文旨在对各种技术的进展做以详细的介绍和进行必要的探讨 。
1 入 侵检 测 的基 本 概 念 及 模 型
在 18 年 A dr n 90 ne o 首次给出了入侵的定义: s 入侵是指在非授权 的情况下 , 图存取信息 、 试 处理信息或 破坏系统以使系统不可靠、 不可用的故意行为。入侵检测是指“ 通过对行为 、 安全 日 审计数据等其它网 志、 络上可以获得的信息进行操作 , 检测到对系统的闯入 或闯入的企图” 。入侵检测作 为一项重要的安全监控 技术 , 目的是识别系统中入侵者 的非授权使用及系 其 统合法用户的滥用行为。 目 前得到了广 泛认 同的通用模型是公共 入侵检
中图分 类号 :P9 .8 T 3 30 文献标识码 : A 文章编号 :6 1 69 (O7O 一O 4 0 17 — 5O2 O)6 O0— 4
目前 国际 上较 实 际并 可 指导 信 息系统 安 全建 设 和 安全 运 营 的是 动态 安全 模 型 PD (oc retn 2 R PlyPo co i t i
基金项 目: 广东省 自然科学基金项 目(5195 ; OO 1 ) 广东省 科技计划项 目( 0 B 2009 O 2 61 1 ) 0 4 0 作者简介 : 付玉珍 (9 1趼一 )女 , , 山西吕梁人 , 在读硕士生 , 研究领域为智能优 化算法 、 网络安全。
基于深度学习的网络入侵检测系统研究
基于深度学习的网络入侵检测系统研究摘要:网络入侵日益成为网络安全领域的重要问题,传统的入侵检测系统往往无法有效应对复杂多变的网络攻击。
本文通过引入深度学习技术,研究了一种基于深度学习的网络入侵检测系统。
该系统利用深度神经网络对网络流量数据进行分析和判断,能够实现实时、准确地检测网络入侵行为。
实验结果表明,该系统在检测精度和处理速度上显著优于传统的入侵检测系统。
1. 引言网络入侵行为对网络安全造成了严重威胁,传统的入侵检测系统往往采用基于规则的方法,但这种方法存在规则维护困难、无法应对未知攻击等问题。
深度学习作为一种基于数据驱动的方法,可以自动从大量数据中学习特征,并能够适应各种复杂多变的攻击手段。
因此,基于深度学习的网络入侵检测系统成为了当前研究的热点之一。
2. 深度学习在网络入侵检测中的应用深度学习通过构建深层次的神经网络模型,不仅可以自动学习到网络流量中的复杂非线性特征,还可以通过端到端的方式对输入数据进行分类和判断。
在网络入侵检测中,我们可以借助深度学习对网络流量中的异常行为进行建模和识别。
2.1 数据预处理在进行深度学习之前,我们需要对原始的网络流量数据进行预处理。
首先,我们需要对数据进行清洗和去噪,去除无用的特征和异常数据。
其次,我们需要对数据进行归一化处理,将数据映射到合适的范围内,以加快网络模型的训练速度和提高模型的鲁棒性。
2.2 深度神经网络模型设计在网络入侵检测中,我们可以构建各种不同的深度神经网络模型。
常用的模型包括卷积神经网络(CNN)、循环神经网络(RNN)和长短期记忆网络(LSTM)。
这些模型可以自动从数据中提取特征,并将特征映射到合适的维度上,以便进行后续的分类和判断。
2.3 深度学习模型的训练与优化深度学习模型的训练需要大量的标注数据和计算资源。
在网络入侵检测中,我们可以利用已知的入侵样本进行有监督的训练,同时也可以利用未知的正常样本进行无监督的训练。
为了提高模型的泛化能力和鲁棒性,我们可以采取一系列的优化策略,如正则化、批量归一化、随机失活等。
入侵检测系统研究综述
Ke wo d : Ituin d tc o C nrlSrtg S n ho i t n. fr ain S u cs y r s nrso ee t n, o t t e y.y c rnz i I o t i o a ao n m o o re
1 引 言
国际 上 早 在 2 O世 纪 7 0年 代 就 开 贻 了对 计 算 机 和 网 络 遭 受 攻 击 防 范 的 研 究 .市 计 跟 踪 为 当 时 主 要 的方 法 18 ‘ 9 0甸 . A d r nI nes I o 首先 提 出 了 ^ 侵 检 测 的概 念 . 他将 ^ 侵 尝 试 或 威 胁 定 义 为 : 在 的 预 谋 的 . 经 授 权 的 访 问信 息 、 作 信 息 , 潜 有 束 操 致 使 系统 不 可靠 或无 法 使 用 的企 圈 。 提 出 审计 追 踪 可 应用 于监 他 视 入 侵 威 胁 。 但过 一 设 想 的重 要性 当时 并 未 被 理 解 , 他 的过 但
Da i F n P n z i i Yt n 8 i g h
(o C mmu iain & Newok S c r y Ree rh a d Ap l ain C ne ,o twet nc t o t r e u i sac n pi t e trS uh s t c o
I S a d a a y i— a e DS ae gv n F n l h u u e t n f te 1 S a e d s u s d D n n lss b d I r ie i al t e ft r e d o D r i s e . s y r h c
维普资讯
入侵检测 系统研 究综述
戴 云 范 平 志 ( 南 交通 大学通 信 网络 安全 与应 用研 究 中心 , 西 成都 6 0 3 ) 10 1
综述网络安全中入侵检测技术
综述网络安全中的入侵检测技术摘要:随着时代的发展,计算机越来越普及,网络走进了我们生活的每一个领域,为我们带来了诸多的便利。
与此同时,如何维护网络安全也成为计算机专业以及其他人士面临的重要课题。
本文拟从入侵检测技术的概念、分类、入侵检测的新技术以及入侵检测技术的发展趋势三个角度着眼,对此进行简要的论述。
关键词:网络安全;入侵检测技术;应用中图分类号:tp393.08文献标识码:a文章编号:1007-9599 (2013) 07-0000-02近年来,随着网络的普及,网络安全问题的日益突出,如何维护网络安全已经成为计算机行业面临的重要问题。
入侵检测技术,作为一种新型网络安全技术,可有效的对网络黑客、间谍等的入侵行为进行检测,对来自内部、外部的攻击甚至错误操作实行实时的安全防护,并且可以在网络系统遭受危害之前对不明入侵进行拦截,从而保护用户的网络安全。
1入侵检测技术的概念和分类入侵检测技术,新型的网络安全技术,是网络安全审核环节中的技术之一,利用它可以对网络安全进行实时的防护。
具体来说它主要是通过收集进而分析网络信息,包括用户的网络行为、审计数据、网络系统所涉及的诸多关键信息等的方式,来检测计算机用户网络中是否存在着被攻击痕迹以及触犯网络安全的行为的技术。
另外,它是一种主动的、积极的而非被动的为电脑提供安全护航的技术。
它主要通过以下手段来完成检测:为用户与系统的活动提供实时的监视与分析;审计网络系统中存在的弱点及其结构;对已经确定的入侵行为进行识别,向用户或者相关机构自动报警;对网络出现的异常行为进行分析;为网络所应用的关键系统、网络中数据及文件的完整性进行实时评估;对网络用户的操作系统进行审查、跟踪,并提供一定的管理;对用户网络中出现的触犯安全策略的行为,比如入侵和滥用,进行识别。
应用入侵检测技术可以有效的减少网络攻击,降低攻击造成的危害。
入侵检测技术按照不同的分类方式,可以分为不同的类别。
这里主要就数据源采集来源的不同进行讲述。
基于深度学习的网络入侵检测与防护方法研究
基于深度学习的网络入侵检测与防护方法研究随着互联网和网络技术的不断发展,网络安全问题变得日益重要。
网络入侵成为威胁企业和个人信息安全的常见手段。
在这种情况下, 研究网络入侵检测与防护方法变得至关重要。
深度学习作为一种强大的人工智能技术, 在网络安全领域也展现出了巨大的潜力。
本文将探讨基于深度学习的网络入侵检测与防护方法的研究现状和发展趋势。
首先,我们需要了解什么是网络入侵。
网络入侵是指未经授权或非法方式访问计算机系统、网络或数据的活动。
黑客可以利用各种手段,如恶意软件、网络钓鱼、DDoS攻击等来入侵目标系统,造成数据泄露、服务中断甚至财产损失。
传统的网络入侵检测系统主要基于规则和特征匹配,存在着无法适应复杂变化的网络环境、高误报率和漏报率等问题。
基于深度学习的网络入侵检测与防护方法通过学习网络流量的复杂非线性特征,能够更好地识别网络中的异常行为,并及时做出响应。
深度学习技术中的深度神经网络模型能够从大量的数据中学习到复杂的特征表示,有望解决传统方法中的一些问题。
研究人员正在将深度学习技术应用于网络入侵检测领域,取得了许多重要的成果。
在构建基于深度学习的网络入侵检测系统时,需要考虑以下几个关键问题。
首先是数据集的准备和标记。
大规模、高质量的标记数据是训练深度学习模型的关键。
其次是选择适合网络入侵检测的深度学习模型。
常用的模型包括卷积神经网络(CNN)、循环神经网络(RNN)、长短时记忆网络(LSTM)等。
此外,还需要考虑如何处理不平衡的数据分布、选择合适的损失函数和优化算法等技术细节。
除了网络入侵检测,深度学习技术还可以应用于网络安全防护领域。
基于深度学习的入侵防护系统能够主动识别并阻断恶意流量,提高系统的安全性和稳定性。
研究人员可以通过构建对抗网络、强化学习等方法来提高入侵防护系统的智能化水平,使其能够适应不断变化的网络环境。
未来,基于深度学习的网络入侵检测与防护方法还面临着许多挑战。
例如,如何处理大规模数据、提高模型的泛化能力、减少误报率等问题。
基于人工智能的网络入侵检测与防御研究
基于人工智能的网络入侵检测与防御研究简介随着互联网的不断发展和普及,网络安全问题也日益凸显,网络入侵成为现代社会中常见的威胁之一。
传统的网络安全防御手段已经无法满足对于不断进化和变化的网络攻击的需求。
因此,基于人工智能的网络入侵检测与防御技术应运而生。
本文旨在探讨并研究基于人工智能的网络入侵检测与防御技术的原理、方法以及其在网络安全领域中的应用。
一、网络入侵检测与防御技术概述网络入侵检测与防御技术是指通过对网络流量和系统行为进行实时监测与分析,识别潜在的网络入侵行为并及时采取相应的防御措施。
传统的网络入侵检测与防御技术主要基于规则匹配和特征库的方式,但由于网络攻击手段的日益复杂和多样化,传统方法已经不足以应对这些威胁。
基于人工智能的网络入侵检测与防御技术通过机器学习、深度学习和自然语言处理等技术手段,具备更强大的智能化和自适应性,能够实现对网络攻击的实时检测和防御。
二、基于人工智能的网络入侵检测技术1. 机器学习方法基于机器学习的网络入侵检测技术通过构建合适的特征向量和选择适当的算法模型,实现对网络数据流量的分类和识别。
其中,监督学习和无监督学习是常用的机器学习方法。
监督学习根据已标记的样本数据训练模型,再对未知样本进行分类,而无监督学习则通过分析样本数据的相似性和异常性,实现对网络入侵的检测。
2. 深度学习方法深度学习技术是人工智能领域的热点研究方向,也被广泛应用于网络入侵检测。
深度学习通过构建深层神经网络结构,实现对网络数据的高层次抽象和特征学习。
卷积神经网络(CNN)和递归神经网络(RNN)是常用的深度学习模型,在网络入侵检测领域取得了一定的成果。
三、基于人工智能的网络入侵防御技术1. 强化学习方法强化学习是一种通过试错和奖励机制来训练智能体的机器学习方法。
在网络入侵防御中,强化学习可以用于构建网络入侵防御策略和动态调整系统参数。
智能体通过与环境的交互和学习,逐渐提高对网络攻击的应对能力,并实现自适应的网络入侵防御。
《2024年加密恶意流量检测及对抗综述》范文
《加密恶意流量检测及对抗综述》篇一一、引言随着互联网技术的快速发展,网络安全问题日益凸显。
其中,加密恶意流量的检测与对抗成为网络安全领域的重要研究课题。
加密恶意流量是指通过网络传输的加密数据流中,包含恶意软件、病毒、木马等威胁的流量。
由于加密技术的应用,传统的流量检测方法往往难以有效识别和拦截这些恶意流量,因此,加强加密恶意流量的检测与对抗研究显得尤为重要。
本文旨在综述加密恶意流量的检测技术和对抗方法,分析其优缺点,为网络安全研究提供参考。
二、加密恶意流量检测技术1. 基于深度学习的检测技术深度学习在加密恶意流量检测方面具有显著优势。
通过训练大量的网络流量数据,深度学习模型可以自动提取流量特征,实现高精度的恶意流量检测。
目前,卷积神经网络(CNN)、循环神经网络(RNN)等在恶意流量检测中得到了广泛应用。
然而,深度学习也存在数据依赖性强、模型泛化能力弱等问题,需结合其他技术进行优化。
2. 基于行为分析的检测技术行为分析通过对网络流量的行为模式进行分析,识别出潜在的恶意流量。
该方法不受加密技术的影响,能够检测出未知的恶意流量。
常见的行为分析技术包括流量统计分析、协议解析等。
然而,行为分析需要大量的计算资源和时间,且容易受到误报和漏报的影响。
3. 分布式蜜罐系统分布式蜜罐系统通过在网络中部署大量蜜罐节点,收集并分析恶意流量的行为特征,从而实现恶意流量的检测和防御。
该系统可以有效地发现和防御新型未知的恶意攻击。
然而,分布式蜜罐系统需要较高的维护成本和计算资源,且可能对网络性能产生一定影响。
三、加密恶意流量对抗方法1. 入侵检测与防御系统入侵检测与防御系统是防范恶意流量的主要手段之一。
通过实时监测网络流量,系统可以识别并拦截恶意流量。
常见的入侵检测与防御技术包括基于签名的检测、基于行为的检测等。
然而,由于加密技术的应用,传统的基于签名的检测方法在面对新型未知威胁时往往难以发挥作用。
2. 防火墙与网络隔离技术防火墙是网络安全的重要保障措施之一,能够根据预设的安全策略对进出网络的流量进行过滤和监控。
基于深度学习的网络入侵检测方法研究
基于深度学习的网络入侵检测方法研究网络入侵是指攻击者利用网络空间漏洞,从而获取敏感信息、破坏系统或者窃取资源。
随着网络技术的不断发展,网络入侵已经成为一种常见的安全威胁。
传统的入侵检测方法主要基于规则匹配、特征识别等技术,具有一定的局限性。
而基于深度学习的网络入侵检测方法则可以通过学习网络流量数据的特征,实现更加精确和高效的入侵检测,本文将介绍基于深度学习的网络入侵检测方法的原理、关键技术、应用现状以及未来发展前景。
一、基于深度学习的网络入侵检测方法的原理基于深度学习的网络入侵检测方法基于神经网络进行建模,通过学习网络流量数据的特征,实现了对异常流量的检测。
具体来说,该方法分为两个阶段:模型训练和入侵检测。
首先是模型训练阶段。
在这个阶段中,首先需要构建深度神经网络的模型架构,然后使用标记的数据集对模型进行训练。
其中标记的数据集是指标注了正常流量和异常流量的网络数据集。
模型通过学习这些标记的数据集,提取并学习数据的特征,建立了一个能够准确反映数据特征的模型。
这个模型训练好以后,就可以用于后续的入侵检测。
其次是入侵检测阶段。
在这个阶段中,该方法将网络流量数据送入已经训练好的深度神经网络模型中,从而得到一个预测结果。
如果模型预测结果表明当前的网络流量数据是异常流量,则会触发警报或者防御措施,从而保护网络安全。
二、基于深度学习的网络入侵检测方法的关键技术基于深度学习的网络入侵检测方法的关键技术主要包括数据预处理,模型的选择和训练,以及模型的评估和调整。
1. 数据预处理在进行深度学习网络入侵检测之前,需要进行数据预处理。
数据预处理可以通过一系列技术来清洗数据、去除噪声和预处理特征。
这可以减少模型的复杂度,提高训练效果。
数据预处理方法主要包括数据标准化、数据降维以及特征工程。
2. 模型的选择和训练选择合适的深度神经网络模型是关键的。
目前,常用的网络模型包括卷积神经网络、循环神经网络和深度信念网络等。
在选择模型之后,需要使用数据集对模型进行训练,并优化模型参数。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络入侵检测研究进展综述 王怀峰 (1.河南大学远程与继续教育学院,河南开封 ,高广耀
475001;2.河南电视广播大学,河南郑州450008)
圈
摘要:网络入侵检测技术是网络安全研究的热点,对近年来误用入侵检测和异常入侵检测方法的研究成果进行了回顾,介绍 了其模型和算法,对未来的研究方向进行了展望。 关键词:网络入侵、/, ̄fl检测、异常检测
A summarization of development in the study of Network Intrusion Detection WANG Huai-feng ,GAO Guag-yao {| Schm/of Estance and Continuing Ed#ca#on,Henan Um ̄'em#y,t(a#eng,#enan 475001: 2 China;#enan ∞&Te绝Vfs University,Zhengzhou,№滟n 4#coo&China)
Abatract:Network Intrusion detection technique is a ho%point in the study of network safety,this paper first reviewed the research findings of Misuse Detection and Anomaly De%ec%ion in recent years,then prospected the future research directions. Key words:Network Intrusion,Misuse Detection,Anomaly Detection
随着网络技术和网络规模的发展,网络入侵El 益严重,其造成的系统破坏、信息泄露、数据损毁、 非法控制等安全问题对网络的发展造成了巨大的威 胁。为了保证网络安全,各种网络安全技术应运而 生,如防火墙、网络入侵检测技术、安全扫描技术 等,其中网络入侵检测技术因其主动防御的特性而 成为研究的热点。 1网络入侵检测技术简述 网络入侵检测技术就是通过收集和分析各种网 络行为、安全日志、审计数据及其他网络上的相关 信息,检查网络或系统中是否违反安全策略的行 为,从而予以响应,阻止可能的入侵行为,降低甚 至避免入侵的危害。入侵检测方法分为两类:异 常入侵检测(Anomaly Detection)和误用入侵检 测(Misuse Detection)“ 。误用入侵检测是通过提 取已知的入侵行为的特征,构造入侵行为的规则库。 如果某个行为与规则库中的规则匹配,则判断该行 为属于入侵行为,作出响应。常用的误用入侵检测 方法有:基于条件概率的误用检测方法、基于状态 迁移分析的误用检测方法、基于键盘监控的误用检 测方法、基于规则的误用检测方法、基于专家系统 的误用检测方法、基于模型推理的误用检测方法、 基于Petri网状态转换的误用检测方法等 。误用 检测能够准确检测到已知的攻击事例,但对未知的 攻击行为无能为力。异常检测依赖于异常模型的建 立,模型不同检测方法也不同。常用的异常入侵检 测方法有:基于特征选择的异常检测方法、基于数 据挖掘的异常检测方法、基于模式预测的异常检测 方法、基于贝叶斯网络的异常检测方法、基于贝叶 斯推理的异常检测方法、基于贝叶斯聚类的异常检 测方法、基于机器学习的异常检测方法、基于数据 挖掘的异常检测方法、基于神经网络的异常检测方 法、基于统计的入侵检测方法等。异常检测可以检 测到新型的攻击,具有较低的漏警率,因而近年来 研究成果较多,其缺点是误警率高。
2 0 1 1.1 2国田园园圜 58 舻N w F;C Ol9t 2误用入侵检测研究进展 近年来,误用入侵检测的研究相对较少,但也 出现了一些新的成果。张宗飞 针对基于网络误用 入侵检测模型的入侵特征库构建困难、自适应差的 缺点,提出了一种基于量子遗传算法的入侵特征库 优化算法,通过选取协议中容易被攻击和修改的特 征值,经组合和编码后构成算法的初始种群,然后 以检测率和误警率为评价指标设计适应度函数,利 用量子旋转门更新染色体,随着算法的运行逐代优 化种群。算法提高了寻优能力和收敛速度;算法优 化后的种群提高了检测能力和自适应性。危胜军 等 提出了基于模糊Petri网的误用入侵检测方法, 将类似于神经网络的学习引入模糊Petri网,以调 整攻击知识模型参数。该模型具有更高的推理效率, 能从环境中动态学习调整知识模型的相关参数,提高 了误用入侵检测系统的检测率。郭庆北等 提出了基 于用户可信度的误用入侵检测模型,该模型针对通 用检测框架CIDF(Common Intrusion Detection Framework)结构中缺少入侵等级划分的机制,提 出了基于用户可信度量化的等级划分方法,提高 了系统的合理性。在用户可信度IDS(Intrusi0n Detection System)中使用了局部性原理,进而改 善了签名匹配策略,提高了签名的匹配效率和准确 率。
3异常入侵检测方法及研究进展 令狐红英 针对传统贝叶斯入侵检测算法没有 考虑不同属性和属性权值对入侵检测结果的影响导 致的分类准确度不高问题,提出了基于互信息可信 度的贝叶斯入侵检测算法。相对可信度定义为: R—MA-3t7: 1 :
其中
Ⅻ=.Itl(I C{= ‰( 1\。q 2 塑 。 p(a )mc 1
式中:n——属性A的取值个数,m——类别
59 溺囹圈固图2 0{{{2 WWvv nSC 0ra C 17
数(I-<j ),MI ——属性A与各个类问互信息的 最大值,MI,——属性A与各个类问互信息的次大 值。(MI,MI,)的值越大,说明属性A对分类的作用 最大,相对可信度越高。把MI,作为分母是为了把 相对可信度定义为一个无量纲的相对值。将相对可 信度R作为属性权值引入贝叶斯算法中,得到优化 的贝叶斯网络入侵检测算法(MI-NB):
( ) rgma*:P 。’l_l 。 MI—NB算法能大大降低分类数据的维数,比
传统贝叶斯检测算法及改进算法有更高的分类准确 率。 王海艳等” 等针对普通BP神经网络算法学习 收敛速度慢、易造成局部极小的问题,提出一种改 进的BP神经网络入侵检测方法,其采用拟牛顿的 方法进行学习,即对目标矩阵求二阶导数,公式 为: 一+
… i
1 1}
其中 为参数,可取任何实数,而
=(vH。 丢一 J
其中H 为线性可导矩阵,y 为H 的一阶导数 矩阵,、j为y 的转置,s 为S 的转置。公式通过 迭代的方法根据已有矩阵求出修改后的矩阵,达到 学习的效果,从而逐步探测到最优点。该算法通过 求二阶导数大大提高了收敛速度,快于BP神经网 络学习速度,且通过二阶导数的求取消除了局部极 小问题。 单冬红等 针对网络入侵数据的高维、非线性 和冗余等特点,提出了一种基于主成分分析的遗传 神经网络入侵检测方法。其首先对网络入侵的数据 维数利用主成分分析进行降维处理,消除数据之间 的冗余信息,简化神经网络的输入,然后采用遗传 算法对神经网络的权值进行优化,加快神经网络的 学习速度,最后采用优化的神经网络模型对主成分 分析后的数据进行检测,捕捉网络入侵神经的非线 性规律。该方法实现了学习速度快,检测正确率高、 漏报率与误报率低。卢辉斌等 提出了一种基于样 条权函数神经网络的入侵检测系统模型,其具有训练 权个数少、速度快、拓扑结构简 等性能。王慧“ 针 对传统的预测方法难以预测大规模网络的负责攻击 行为,利用基于灰色理论的BP神经网络算法,对 网络传输中的数据包建模、分析和检测识别,提高 了预测精确度和效率。 贾世国等“ 等将数据挖掘用于网络入侵检测系 统的设计,其模型在Snort入侵检测系统的基础上, 利用数据挖掘技术增加了聚类分析模块、异常检测 引擎和关联分析器,系统能够有效地检测到新的入 侵行为,提高了检测的速度。刘晓亮 提出了一 种基于数据挖掘的无指导自适应入侵检测系统。系 统能够通过有效结合聚类、关联规则数据挖掘方法, 自动进行检测规则的提取。其流程如图1所示。 图1基于数据挖掘的无指导自适应入侵检测系统流程图 其中无指导的异常检测方法基于两个假设:(1) 入侵数据与正常数据之间的差异很大;(2)入侵数 据在数量上只占整个数据流比例的少数。通过改进 的k—means类聚算法,以两个假设为依据,选取 恰当的各参数阀值,可以将正常与异常数据较好地 分开。通过数据的划分,形成若干数据集。规则提 取引擎通过对这些数据集进行规则挖掘,生成表征 不同的数据集规则。这些数据经聚类划分后,正常、 异常数据被划分入不同的数据集进行规则提取。对 于产生的无用规则使用Apriori算法进行规则挖掘, 在挖掘过程中采取了一些措施进一步甄选规则。系 统具有较好的检测性能和白适应能力。 将人工免疫技术用于计算机网络的异常入侵检 测产生了一些新的研究成果。黄建忠“ 等将人工 免疫技术(Artificial Immune System)运用于存 储异常检测,提出了一种基于AIS的新的异常检测 方案即存储异常检测访问系统(Storage Anomaly Detection System,SADS),与网络入侵检测系统 协同构筑两层检测体系,提高了检测率。符海东“ 将 Rough理论和人工免疫结合构造一种新的入侵检测 方法。其通过R0ugh集理论对网络数据约简得到 规则检测器,使用规则检测器设计了基于Rough 集的反向选择算法,得到免疫检测器。利用免疫检 测器和规则检测器,构造了基于Rough集人工免 疫的入侵检测算法。刘帅 等提出的基于人工免疫 的新型入侵检测模型改进了目前基于免疫的入侵检 测系统中抗原、抗体的静态描述方式,给出了抗原、 抗体的动态描述方式和变化机制;针对传统固定r 连续位匹配方法的不足,提出了一种r可变匹配机 制,降低了误报、漏报率。鱼静 建立了一种新的 基于免疫原理的分布式入侵检测系统模型,给出了 一种可行的将具有部分重复检测空间的检测子尽量 分配到不同检测节点的方法,与单纯的顺序分配相 比,该策略能在部分检测节点失效时系统依然维持 较高的检测率,提高了入侵检测系统的鲁棒性。
4结束语 网络入侵检测技术是近年来网络安全研究方面 的热点,数据挖掘、粗糙集理论、人工免疫理论、 贝叶斯算法、神经网络等理论技术应用于网络入侵 检测,产生了一些新的方法、模型,本文对这些研 究成果进行了回顾。蚁群算法、移动Agent、图论 等技术也正在运用到网络入侵检测中,这些研究值 得关注。
参考文献: …蒋建春,马恒太,任党恩,卿斯汉.网络安全入侵检测 研究综述.软件学报,2000,