返回
针对无监督下的异常入侵检测的数据规范新方法

针对无监督下的异常入侵检测的数据规范新方法

ID:42061045

大小:218.83 KB

页数:12页

时间:2019-09-07

针对无监督下的异常入侵检测的数据规范新方法_第1页
针对无监督下的异常入侵检测的数据规范新方法_第2页
针对无监督下的异常入侵检测的数据规范新方法_第3页
针对无监督下的异常入侵检测的数据规范新方法_第4页
针对无监督下的异常入侵检测的数据规范新方法_第5页
资源描述:

《针对无监督下的异常入侵检测的数据规范新方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、《网络与信息安全》论文翻译入侵检测/入侵防御针对无监督下的异常入侵检测的数据规范新方法中文版组号:33ja课题负责人名:索楠0943111152同组成员名单:姚金柱0943111128朱晓龙0943111216赵智闻0943111136提交报告时间:2011年12月7日针对无监督下的异常入侵检测的数据规范新方法[摘要]无监督下的异常入侵检测可以在没有简洁和规范数据的情况下检测入侵攻击。本论文研究了针对无监督下的异常入侵(ACUAD)的应用的集群讨论。数据记录是特征空间的反映。通过检测信息系数地区的

2、数据特征可以得知是否发牛了异常入侵。此方法是否有效的一个至关重要的因素是数据记录间的距离函数。我们通过数据和数据符号的混合特征提出了一个记录距离框架的统一方法。一个启发式的计算特征数据间距离的方法现在被提出了:利用标志功能的重要特征一一它们的可能分布,然后这个强大的方法可以用于衡量并计算特征数据间的距离,这使得我们可以容许大规模和多样化数据间的差额可以存在。KDD1999的实验证明数据集显示,相对其他方法而言,ACUAD检测入侵的错误率相对较低。[关键词]无监督下的异常入侵检测,数据挖掘,入侵检测

3、,网络安全1简介目前存在两种入侵检测系统(IDS):滥用入侵检测系统(MIDS)和异常入侵检测系统(AIDS)。MIDS模式适用于已知的入侵攻击,这是和本文要论证的情况是相反的。只要竞争存在,入侵就存在。MIDS模式最大的缺陷在于他只可以检测已知的入侵行为。针对那些潜在的未知入侵行为,AIDS模式是MIDS模式的最好补充。传统钓AIDS,也被称为有监督下的AIDS,只能对木文中相对常见的情况下起作用。这种方法存在可用性和可靠性方面的缺陷:用人工分类的方法产生纯净数据或有类数据非常昂贵,耗时,而且不

4、能保证数据完全纯净或分类完全正确。为此,研究不需要纯净规范数据的异常入侵检测方法,即无监督异常入侵检测。所采用的方法统计分析法和聚类法。本文研究的是非纯净异常数据检测方法ACUADO这种方法建立的检测模型是以数据包头部字段为属性的统计模型。其特征为(1)由于训练数据集中正常数据包和攻击数据包的概率分布不同,因而他们所引入的属性值也具有不同的分布。(2)ACUAD根据展性值的概率分布从非纯净训练数据建立网络的正常行为模型,并用该模型作为检测段的检测模型。(3)在用聚类法进行无监督界常入侵检测时,数据

5、记录首先被映射为属性空间的点,然后用聚类法算法找出属性空间稀疏区域的点,这些点所对应的数据记录就是入侵记录。就目前系统安全状况而言,系统存在被攻击的可能性。入侵检测作为安全技术起作用在于:识别入侵行为,检测和监视已成功的安全突破,为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。2最近的成果Leung和Lcckic(2005)对异常入侵检测进行了研究。加密技术主要是信息传输过程中和储存时的保密性和完整性(2008)Eskin(2000)提岀了可以统计混合数据无监督异常入侵的模型(2002)同

6、时也提岀了两个可以反映网络数据特征的数据距离算法(k-NN),和支持向量机(SVM),用于在Cansado和Soto(2008)作为数据净化的检测参数。Kwit和Hofmann(2007)应用PCA检测数据异常工作流量的参数。3固定宽度的聚类算法现有的无监督异常入侵检测方法主要有两个方而,基于统计分析的非纯净训练数据异常入侵检测方法和基于聚类分析的无监督异常入侵检测方法。重点研究聚类算法的聚类依据是记录距离间计算方法和距离间函数的定义,属性空间的选取,屈性映射方法。为由数据属性和符号属性组成的混合

7、数据记录提岀了统一距离计算框架,使得两种属性包含的信息都能得到充分利用。该方法以含有攻击的网络连接记录为数据源,建立检测模型所使用的属性既有网络数据包的头部字段,也包括应用层的数据。该方法的另一个特点是为不同服务类型的网络连接分别建立检测模型。固定宽度的聚类算法采用欧几里得距离计算数值属性的相似度,分类屈性的距离测定定义为属性不匹配的个数,总的相似度的度量为加权的分类属性举例和数值属性距离之和。4距离函数的定义为了检测网络或者体统屮的入侵事件,我们必须掌握数据间距离准确的计算方法。分析引擎实现检测

8、算法,检测算法多种多样,各种检测数据也放在检测策略中。分析引擎将判断结果直接发给相应模块。数据记录集群的数据间的距离是距离函数定义数据距离的关键。d(d,d)二假设数集D有n个对象,每个人对象有m个屈性,m=mc+mn.(1)划分聚类算法在聚类过程中,可能会有一小部分止常数据分布不均,在当标记正常和入侵数据的时候,因为按照无监督入侵检测的方法的假设,止常数据应该远大于入侵数据,所以这部分数据会被当做入侵数据标记为界常。这样,在进行检测时,与这类数据相似的正常数据会被标记为异常。这样

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。