返回
先进入侵检测技术

先进入侵检测技术

ID:4131186

大小:214.79 KB

页数:28页

时间:2017-11-29

先进入侵检测技术_第1页
先进入侵检测技术_第2页
先进入侵检测技术_第3页
先进入侵检测技术_第4页
先进入侵检测技术_第5页
资源描述:

《先进入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第7章先进入侵检测技术V采用先进技检测算法的必要性V神经网络与入侵检测技术V数据挖掘与入侵检测技术V数据融合与入侵检测技术V计算机免疫学与入侵检测技术V进化计算机与入侵检测技术7.1采用先进技检测算法的必要性回顾:按照数据来源划分:基于主机、基于网络以及混合型的入侵检测技术。根据数据来源划分:异常检测方法和滥用入侵检测方法。自20世纪90年代以来,研究人员提出了新的检测算法。主要涉及包括神经网络、数据挖掘、数据融合、计算机免疫学和遗传算法在内的多个技术领域的知识在入侵检测领域内的应用工作。7.2神经网络与入侵检测技术人工神经网络实现的是一种从输入到输出的映射关系,输出值由输入样本、神经元

2、间的互联权值以及传递函数所决定。通过训练和学习过程来修改网络互联权值,完成所需的输入-输出映射。神经网络技术应用于入侵检测领域具有以下优势:¾神经网络具有概括和抽象能力,对不完整输入信息具有一定程度的容错处理能力。¾神经网络具备高度的学习和自适应能力。¾神经网络所独有的内在并行计算和存储特性。7.2神经网络与入侵检测技术以Lippmann的检测算法为例说明神经网络技术在入侵检测中的应用情况。7.2神经网络与入侵检测技术在预处理工作完成后,输入根据选定的关键词表,在会话数据内特征矢量被送到神经网络模容中搜索匹配各个关键字,并形成各型中进行训练。训练完毕后自的统计计数值。然后,将各个关键的神

3、经网络即可用于入侵检字计数值并行排列起来形成输入特征矢量。此时,在输入到神经网络进行测目的。训练之前,还必须进行预处理工作.从所收集的网络数据包中构建网络会话数据矢量,即单个网络会话中双方实体之间所传输的所有数据负载内容。Lippmann基本算法流程7.2神经网络与入侵检测技术Lippmann指出:通过选取适当类型的关键词,加上简单的神经网络训练能力,能够较大地提高入侵检测的性能。该种检测方法对于训练样本集合中未出现过的新攻击类型,同样获得了较高的检测性能,体现出某种程度的攻击概括归纳能力。神经网络技术在入侵检测中的应用还存在以下缺陷和不足:∑大容量入侵行为类型的学习能力问题。∑解释能力

4、不足的问题。∑执行速度问题。7.3数据挖掘与入侵检测技术¢提出的背景是解决日益增长的数据量与快速分析数据要求之间的矛盾问题,目标是采用各种特定的算法在海量数据中发现有用的可理解的数据模式。7.3数据挖掘与入侵检测技术¢KDD技术通常包括以下步骤:¢①理解应用背景。¢②数据准备。¢③数据挖掘。¢④结果解析。¢⑤使用所发现的知识。¢数据挖掘是所谓“数据库知识发现”(KDD)技术中的一个关键步骤.7.3数据挖掘与入侵检测技术数据挖掘与入侵检测相关的算法类别主要包括下列3种类型:分类算法将特定的数据项归入预先定义好的某个类别。常用的分类算法:RIPPER、C4.5、NearestNeighbor

5、等。∑关联分析算法用于确定数据记录中各个字段之间的联系。常用的算法:Apriori算法、AprioriTid算法等。∑序列分析算法发掘数据集中存在的序列模式,即不同数据记录间的相关性。常用的算法:ArpioriAll算法、DynamicSome算法和AprioriSome算法等。7.3数据挖掘与入侵检测技术下面将主要参照WenkeLee等人的工作内容来说明数据挖掘在入侵检测中的基本应用情况入侵检测中的数据挖掘流程7.3数据挖掘与入侵检测技术¢数据挖掘中的关联分析和序列分析算法主要用在模式发现和特征构造的步骤上,而分类算法主要用在最后的检测模型中。以分类算法RIPPER为例:目标是通过对输

6、入数据集合的训练学习,生成一组if-then的规则集合作为分类模型,用于对输入的数据项进行分类识别。每个RIPPER规则都包含一组条件和一个结论。RIPPER规则的学习过程可以分为“成长阶段”和“修剪阶段”。最后生成的RIPPER规则同时兼具简洁性和分类准确性的特点。7.3数据挖掘与入侵检测技术RIPPER规则集作为入侵检测模型的优点:¾具备if-then格式的RIPPER规则集合,比较直观易于理解,容易结合到现有的基于规则的检测系统中;同时,有利于进行检测规则的人工验证工作。¾RIPPER规则具备良好的概括归纳能力,对于处理已知攻击手段的变种类型或者新的攻击类型,具备较好的分类性能。¾

7、RIPPER规则具备简洁的条件集合,有利于实时入侵检测工作。7.3数据挖掘与入侵检测技术应用RIPPER算法,如何识别异常的网络攻击行为和正常的网络流量首先,要进行数据的预处理步骤。然后,按照每个网络连接对应的源/目的端口信息,生成面向网络连接的连接记录。对于每个UDP数据包对应于一次连接。每个连接记录里包含一组网络连接特征包含以下属性:①开始时间。②持续时间。③参与的主机名称。④端口号。⑤关于连接的统计信息。⑥连接的状态信息。⑦协

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。