机器学习理论在入侵检测技术中的应用研究

入侵检测系统是主动保障网络信息安全的重要方法。本文针对大规模、高带宽网络环境下,入侵检测技术存在的不足,提出将机器学习理论应用到入侵检测系统中。文章简要介绍几种适合用于入侵检测系统中的机器学习算法,并建立基于机器学习理论的入侵检测系统框架。利用机器学习的算法不仅能检测到一些已知的攻击,还可以通过自我学习检测到未知的攻击。     

基于机器学习的入侵检测系统探究

随着计算机以及网络信息技术应用的不断深入,网络入侵事件频发,入侵方式与手段的复杂化与多样化,使得传统防火墙、数字认证等安全防护技术已无法满足当前复杂的网络安全形势。因此,为有效提升网络的稳定性与安全性,入侵检测技术得到了快速发展,然而由于自身的局限性,致使入侵检测系统的误报率与漏报率较高。但随着机器学习在入侵检测领域应用的不断增多,促使这一现象得到明显改善。对此,文章首先阐述了入侵检测系统的类别,然后细致探讨了基于机器学习的入侵检测系统,希望能够为创建安全和谐的网络环境提供些许帮助。     

基于机器学习的端口扫描入侵检测

在入侵检测系统发展的30年间,不断有新的检测方法被提出。在如今的第四次工业革命——人工智能的潮流中,机器学习算法为各种系统的方法解决提供了新的思路。基于2018年Daniel Fraunholz等人提出了的入侵检测模型,提出了一种基于机器学习的端口扫描检测系统,其中系统的特征提取参考了KDD Cup 99数据集中数据的特征提取,而其中的模型训练集是基于CICIDS2017数据集的。最后,模型测试结果优良。     

基于机器学习方法的入侵检测技术

随着信息技术的不断发展,人们生活发生了翻天覆地的变化,它给人们带来了很多便利,但与此同时,安全问题也日益突出。目前,传统的入侵检测系统已经不足以完成对越来越复杂的网络攻击的检测任务。入侵监测系统技术之中引入机器学习,可以有效地提高系统性能。文章主要介绍了几种机器学习方法在入侵检测中的应用。     

基于遗传神经网络的入侵检测模型

这篇文章提出了一种基于遗传神经网络的入侵检测模型-进化神经网络入侵检测系统(ENNIDS),模型的核心模块利用遗传算法优化神经网络来实现,结合了误用检测和异常检测技术,并从理论上分析了该模型各个模块的功能和实现技术.我们在UCI机器学习数据库的入侵检测数据集上进行了实验,实验结果表明:该模型在检测正确率、误警率等方面能获得校好的性能。     

人工智能和机器学习下的5G网络安全研究

提出了一种基于机器学习的网络入侵检测系统来防止恶意的在线攻击。该系统是一种多阶段优化框架，研究了过采样技术对模型训练样本数量的影响，比较了基于信息增益和基于相关性的两种特征选择技术，探讨其对检测性能和时间复杂度的影响；探索了不同的超参数优化技术来进一步提高网络入侵检测系统的性能。在CICIDS 2017和UNSW-NB 2015入侵检测数据集上的实验结果表明，该模型能显著降低所需的样本数量和特征集量，并在两个数据集上的检测准确率均超过99%。在保持检测性能的同时降低了计算复杂度。     

基于极端梯度提升法的漏缆周界入侵定位技术研究

基于泄漏电缆的周界入侵检测系统具有安全隐蔽、可随形敷设、全方位警戒、全天候工作等优势,并针对现如今市面上泄漏电缆入侵探测定位系统探测精度低,误报率高等问题,提出了一种基于机器学习的泄露电缆入侵检测定位技术,首先利用泄漏电缆对入侵数据进行采集并处理为多维输入特征量数据,采用极端梯度提升算法(XGBoost)模型对数据进行...     

面向智能手机的入侵检测系统研究

随着智能手机的普及和移动购物及手机银行的流行,智能手机的安全问题也变得非常突出.由于处理能力和电源的限制及移动网络的特性,智能手机入侵检测系统需要解决特有的技术难题.全面分析了Android系统和iOS系统的安全模型,基于机器学习和支持向量机技术提出了一个新的面向智能手机的入侵检测系统模型,可以有效检测和抵御各种恶意程序.     

基于机器学习算法的通信网络入侵行为检测方法

为解决网络入侵行为检测的难题,研究基于机器学习算法的通信网络入侵行为检测方法。获取通信网络入侵数据,分析通信网络异常行为;基于机器学习算法处理入侵行为数据,筛选出网络安全漏洞与网络攻击数量;构建网络入侵行为检测模型,减少网络入侵行为的检测漏洞,进而实现网络入侵的精准检测。实验结果表明:研究的检测方法检测到的入侵行为数据与实际入侵行为数据相差较少,检测结果较为精准,极具推广价值。     

基于机器学习的网络攻击检测综述

当前网络安全问题是一个瓶颈问题,在网络入侵检测中机器学习可以看作是为了通过学习和积累经验提高攻击检测系统的性能而建立的计算机程序。机器学习应用于网络攻击检测,对网络的大量数据进行分析并通过学习算法自动产生规则,从而使网络具有自动识别攻击的能力。本文在详细介绍网络攻击检测系统机器学习原理的基础上,对现有的各种方法进行了评述并结合网络攻击检测的应用需求,阐述了网络攻击检侧系统机器学习技术的发展方向。     

入侵检测系统的规则研究与基于机器学习的入侵检测系统模型

入侵检测系统（IDS）分为异常检测模型和误用检测模型。异常检测模型首先总结正常操作应该具有的特征，得出正常操作的模型，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。误用检测模型是收集入侵检测行为的特征，建立相关的规则库，在后续的检测过程中，将收集到的数据与规则库中的特征代码进行比较，得出是否是入侵的结论。本文主要研究了入侵检测系统中的规则的建立，并通过在基于误用检测的Snort入侵检测系统中增加一个规则学习模块——LERAD，提出了一个基于机器学习的入侵检测系统模型。     

Internet of things intrusion detection model and algorithm based on cloud computing and multi-feature extraction extreme learning machine

With the rapid development of the Internet of Things (IoT), there are several challenges pertaining to security in IoT applications. Compared with the characteristics of the traditional Internet, the IoT has many problems, such as large assets, complex and diverse structures, and lack of computing resources. Traditional network intrusion detection systems cannot meet the security needs of IoT applications. In view of this situation, this study applies cloud computing and machine learning to the intrusion detection system of IoT to improve detection performance. Usually, traditional intrusion detection algorithms require considerable time for training, and these intrusion detection algorithms are not suitable for cloud computing due to the limited computing power and storage capacity of cloud nodes; therefore, it is necessary to study intrusion detection algorithms with low weights, short training time, and high detection accuracy for deployment and application on cloud nodes. An appropriate classification algorithm is a primary factor for deploying cloud computing intrusion prevention systems and a prerequisite for the system to respond to intrusion and reduce intrusion threats. This paper discusses the problems related to IoT intrusion prevention in cloud computing environments. Based on the analysis of cloud computing security threats, this study extensively explores IoT intrusion detection, cloud node monitoring, and intrusion response in cloud computing environments by using cloud computing, an improved extreme learning machine, and other methods. We use the Multi-Feature Extraction Extreme Learning Machine (MFE-ELM) algorithm for cloud computing, which adds a multi-feature extraction process to cloud servers, and use the deployed MFE-ELM algorithm on cloud nodes to detect and discover network intrusions to cloud nodes. In our simulation experiments, a classical dataset for intrusion detection is selected as a test, and test steps such as data preprocessing, feature engineering, model training, and result analysis are performed. The experimental results show that the proposed algorithm can effectively detect and identify most network data packets with good model performance and achieve efficient intrusion detection for heterogeneous data of the IoT from cloud nodes. Furthermore, it can enable the cloud server to discover nodes with serious security threats in the cloud cluster in real time, so that further security protection measures can be taken to obtain the optimal intrusion response strategy for the cloud cluster.     

基于数据取值规则的入侵检测技术

目前的入侵检测系统往往利用系统调用序列来设计,而忽略了系统调用序列所运行的数据环境,因此无法应对那些不改变系统调用序列的新型攻击.提出了一种新的入侵检测模型,它结合系统调用序列及其运行的数据环境来进行检测,通过学习系统调用序列的数据取值规则,增强模型的检测能力.实验结果表明,与现有模型相比,该方法具有检测效率高、误警率低及训练阶段时空开销小的优点.     

Hybrid Fuzzy Adaptive Wiener Filtering with Optimization for Intrusion Detection

Intrusion detection plays a key role in detecting attacks over networks, and due to the increasing usage of Internet services, several security threats arise. Though an intrusion detection system (IDS) detects attacks efficiently, it also generates a large number of false alerts, which makes it difficult for a system administrator to identify attacks. This paper proposes automatic fuzzy rule generation combined with a Wiener filter to identify attacks. Further, to optimize the results, simplified swarm optimization is used. After training a large dataset, various fuzzy rules are generated automatically for testing, and a Wiener filter is used to filter out attacks that act as noisy data, which improves the accuracy of the detection. By combining automatic fuzzy rule generation with a Wiener filter, an IDS can handle intrusion detection more efficiently. Experimental results, which are based on collected live network data, are discussed and show that the proposed method provides a competitively high detection rate and a reduced false alarm rate in comparison with other existing machine learning techniques.     

基于布谷鸟算法的光纤激光网络异质信息入侵检测

采用以往入侵检测方法时,通过随机方式对参数进行初始化处理,检测精度低,为此,提出一种基于布谷鸟算法的光纤激光网络异质信息入侵检测方法。分析了布谷鸟算法寻优过程,针对常规布谷鸟算法受参数改变的影响相对较大,具有收敛速度慢、准确率低以及容易陷入局部最优的弊端,依据差分进化方法,通过在新鸟巢位置公式中结合别的鸟巢位置完成简易交叉变异,提升种群多样性,同时利用惯性权重减少迭代次数,保证整体寻优速度。对光纤激光网络异质信息入侵的历史数据进行采集,提取关键特征,通过布谷鸟算法对极限学习机进行改进,获取最优入侵检测分类器,通过分类器构建异质信息入侵检测模型,实现光纤激光网络异质信息入侵检测。实验结果表明,所提方法收敛速度快,误报率低且入侵检测精度高。     

基于快速语义修复的操作系统隐藏对象检测技术

与传统的入侵检测系统相比,基于虚拟机自省的入侵检测系统的抗干扰性更强.但由于存在语义鸿沟问题,即低层的硬件字节信息与操作系统级语义之间的差异,导致入侵检测系统的通用性和实时性下降.针对此问题,本文提出了Vlhd,一种基于语义鸿沟修复方法的rootkit隐藏对象检测技术.Vlhd将系统分离成离线和在线模块两部分.在线模块用于即时地在虚拟机外部重构虚拟机语义视图;离线模块用于离线地提取操作系统语义知识,并向在线模块提供语义服务.通过对各类Linux操作系统和多种rootkit进行入侵检测试验,发现Vlhd对rootkit的隐藏对象检测效果良好,通用性强.Vlhd的单次扫描时间为34ms,对系统引入了1.1%（扫描周期设置为8s时）的性能开销.     

杂草算法优化支持向量机的网络入侵检测

为了解决支持向量机(优化SVM)在网络入侵检测中的参数优化问题,以提高网络入侵检测性能,提出一种入侵杂草(IWO)算法SVM的网络入侵检测模型(IWO-SVM)。首先将SVM参数编码为入侵杂草,以检测率作为优化目标函数,然后通过模拟杂草入侵种子的生长过程找到最SVM的最优参数,从而最优网络入侵检测模型,后在采用KDD99数据集性能测试。结果表明IWO-SVM是一种检测检测率高、速度快的网络入侵检测模型。     

An incremental intrusion detection system using a new semi‐supervised stream classification method

In recent years, the utilization of machine learning and data mining techniques for intrusion detection has received great attention by both security research communities and intrusion detection system (IDS) developers. In intrusion detection, the most important constraints are the imbalanced class distribution, the scarcity of the labeled data, and the massive amounts of network flows. Moreover, because of the dynamic nature of the network flows, applying static learned models degrades the detection performance significantly over time. In this article, we propose a new semi‐supervised stream classification method for intrusion detection, which is capable of incremental updating using limited labeled data. The proposed method, called the incremental semi‐supervised flow network‐based IDS (ISF‐NIDS), relies on an incremental mixed‐data clustering, a new supervised cluster adjustment method, and an instance‐based learning. The ISF‐NIDS operates in real time and learns new intrusions quickly using limited storage and processing power. The experimental results on the KDD99, Moore, and Sperotto benchmark datasets indicate the superiority of the proposed method compared with the existing state‐of‐the‐art incremental IDSs.