面向入侵检测的机器学习方法综述

入侵检测方法是基于网络的入侵检测系统的核心,可以是基于特征的,也可以是基于异常的。基于特征的检测方法具有较高的检测率,但不能检测到未知新型攻击;基于异常的检测方法可以检测到新型攻击,但误报率较高。为了降低入侵检测的误报率并提高其检测率,许多机器学习技术被应用到入侵检测系统中。通过对大量带有入侵数据训练样本的学习,构建了一个用于区分正常状态和入侵状态的入侵检测模型。针对目前入侵检测系统存在的高误报率、低检测速度和低检测率等问题,对机器学习技术在入侵检测系统中的的优势、系统检测的通用数据集以及系统评估指标进行了详细阐述,并对未来研究趋势进行了展望。     

基于改进的动态克隆选择算法的入侵检测模型研究

针对目前入侵检测系统不能有效检测已知攻击的变种和未知攻击行为的缺陷,受免疫系统中动态克隆选择算法的启发,提出了一种基于改进的动态克隆选择算法的入侵检测模型.该模型可以适应连续改变的环境,动态地学习变化的“正常”模式以及预测新的“异常”模式.经实验证明,该模型在降低误报率的情况下,提高了检测率.     

基于多层前向神经网络入侵检测系统的研究

针对目前入侵检测系统不能有效检测未知入侵行为的问题,根据神经网络的自学习和自适应性强的特点,采取了将多层前向神经网络与入侵检测系统相结合的方法,提出了一种入侵检测模型,给出了此模型中神经网络模块的改进训练算法,实验证明,此算法入侵检测率可达86％,最大误报率为3％,加大训练样本可进一步提高检测率,从而更有效地检测出未知的入侵行为;此算法实时性强,可有效提高神经网络的学习效率。     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

人工免疫中匹配算法研究

针对现有基于人工免疫理论入侵检测系统中的亲和力匹配算法研究的不足,导致检测结果误报率和漏报率较高的问题,提出了一种新的进化匹配机制.定义了自体非自体,给出了成熟细胞动态方程,亲和力累积方程和进化匹配算法,建立了模型的形式化描述.采用动态匹配算法加快了进化速度,保存了具有优势特征的物种,提高了检测效率和准确性,使得对抗原的识别率更为有效.实验结果表明,该模型具有定量、高效率和较好的准确性,能积极主动的保护系统不受实质性攻击.为构建新一代高效合理的网络安全系统提供了一种有效方案.     

基于免疫遗传聚类的异常检测系统

免疫算法是在保留遗传算法优良特性的基础上有目的、有选择的利用待求问题中的特征信息来抑制进化过程中出现的种群退化现象,算法核心是免疫算子(接种疫苗和免疫选择)的构造。基于免疫遗传算法的聚类不仅能够有效克服传统聚类方法对初始化敏感、依赖聚类原型、进化后期容易早熟等缺点,而且聚类结果能够快速收敛到全局最优。本文将这种聚类方法用于网络异常检测中,构造基于免疫遗传聚类的异常检测系统,该系统可实现对海量异构多维原始数据的异常检测,并且能够检测到网络未知攻击。本文在KDD CUP99数据集中进行了对比仿真实验,实验结果表明该算法能够得到较高的已知攻击和未知攻击检测率以及较低的误警率,检测系统性能优良。     

基于CSA无监督模糊聚类算法的异常检测方法

为解决模糊k 均值算法对初始化敏感及易陷入局部极值的不足,提出了基于克隆选择算法(CSA)的无监督模糊聚类异常入侵检测方法. 应用结合了具有进化搜索、全局搜索、随 机搜索和局部搜索特点的克隆算子快速得到了全局最优聚类,并应用模糊检测算法检测网络中的异常行为模式. 该方法的优点是不需要人工对训练集分类,并且可以检测出未知的攻击. 仿真试验表明,该方法不但能检测出未知的攻击,而且具有较低的误报率和较高的检测率.     

入侵检测与聚类分析

传统的入侵检测方法在面对网络结构升级和未知攻击时 ,缺乏必要的扩展性和自适应能力 ,而基于机器学习的检测算法首先需要训练数据集进行训练 ,然后建立检测模型并通过测试数据集中入侵行为的检测结果来验证 ,此类方法由于获取类标识数据的困难性及其信息表达的局限性 ,降低了对未知攻击的检则能力。本文提出利用遗传聚类进行入侵检测算法IDUGC(IntrusionDetectionUsingGeneticClustering)。实验结果表明 ,此算法在未知入侵检测方面是可行的、有效的 ,并具有良好的可扩展性     

基于信息增益和随机森林分类器的入侵检测系统研究

目前,许多误用检测系统无法检测未知攻击,而异常检测系统虽然能够精确检测未知攻击,但由于入侵检测固有的特性,入侵事件与正常事件类间存在极大的不平衡性,这导致很难利用机器学习的方法高效地进行入侵行为检测.为此,提出了一种基于信息增益和随机森林分类器的入侵检测系统.为了解决类之间的不平衡性,对训练数据集应用了合成少数过采样算法.提出了一种基于信息增益的特征选择方法,并用于构建一个数据集的特征约减子集.首先,利用随机森林算法从训练集中建立入侵模型,构建误用检测模型,通过网络连接的特征来匹配检测已知攻击.然后,利用信息增益的特征选择方法,根据特征约减获得的特征,将不确定性攻击的网络连接数据通过随机森林进行聚类,进而实现未知攻击的检测.实验采用的NSL-KDD入侵检测数据集是KDDCUP99数据集的增强版本.由于入侵检测固有的特性,NSL-KDD数据集设计时类间存在极大的不平衡性.实验结果表明,结合合成少数过采样算法以及基于特征选择的信息增益的随机森林分类器对少数类别异常检测率可达到0.962.     

关于克隆选择算法优化检测器的研究

否定选择算法能降低入侵检测系统的误报率,但必须和其他免疫算法结合起来使用.本文提出了一种含有否定选择算子和遗传算子的克隆选择算法,通过克隆选择算法产生多样子代检测器,并且从中选择比其父代更优的检测器去取代父代检测器,这样一代一代循环,使检测系统具有更好的覆盖空间.实验表明,该算法在提高检测率,降低误报率方面是有效的.     

DWT和AKD自动编码器的DDoS攻击检测方法研究

针对DDoS网络流量攻击检测效率低及误报率高的问题,本文提出一种基于离散小波变换(Discrete Wavelet Transform, DWT)和自适应知识蒸馏(Adaptive Knowledge Distillation, AKD)自动编码器神经网络的DDoS攻击检测方法.该方法利用离散小波变换提取频率特征,由自动编码器神经网络进行特征编码并实现分类,通过自适应知识蒸馏压缩模型,以实现高效检测DDoS攻击流量.研究结果表明,该方法对代理服务器攻击、数据库漏洞和TCP洪水攻击、UDP洪水攻击具有较高的检测效率,并且具有较低的误报率.     

一种基于遗传算法的误用检测模型自适应建立算法

传统入侵检测系统的攻击模型库需要专家手工建立,不利于系统的推广和应用.为了实现入侵检测系统中入侵特征提取和攻击规则生成的自动化,提出将遗传算法应用于入侵检测规则学习问题中.采用遗传进化操作启发式搜索网络特征数据空间,通过操作算子进行遗传运算,产生出具有高适应度的个体,从而自动归纳出某种入侵的共同属性.采用DARPA入侵检测评价计划数据库进行了仿真实验,该方法归纳总结出的攻击特征符合客观事实,与专家建立的攻击规则一致,并且较好地处理了噪音数据,具有鲁棒性.误用检测模型自适应建立算法能够在无专家参与的情况下自动建立攻击类型库,增强了入侵检测系统的可移植性.     

基于Android防火墙日志系统的研究与实现

针对Android防火墙中的日志系统以及基于日志的入侵检测技术进行了深入研究,提出了误用检测和异常检测相结合的方法对手机防火墙日志进行入侵检测,同时将数据挖掘相关领域的理论和技术应用于入侵检测技术中,通过自主学习和分析各种隐私日志,建立和更新正常特征库和误用特征库,从而实现用户隐私保护,并能对一些木马进行查杀与修复。实验结果证明,该方法对入侵行为具有较高的检测率和较低的误报率,具有较大的实际应用意义。     

基函数神经网络入侵检测系统的实现

提出一种新型的基函数神经网络用于入侵检测技术中,其中每个神经元的活跃函数各不相同,彼此正交,在更高层次上完成对生物神经系统的模拟,它即可以用于异常检测以检测出新的攻击,也可以用于误用检测以检测出已恬的攻击及其变种。根据所用基函数神经网络的基本结构和训练方法,在Windows环境下进行了基于网络的入侵检测实验,结果表明,运用基函数神经网络检测入侵,可提高入侵检测系统的准确检测率。     

基于免疫算法的入侵检测系统

文章提出并实现了一种基于异常检测的入侵检测系统，利用生物免疫系统的特点来提高检测入侵行为的能力，使入侵检测系统具有一定的智能性和分布性，同时能发现新的未知入侵方式，与基于特征入侵的系统结合可以达到更高的检测的能力。文章最后给出了在局域网中的性能测试实例。     

基于PCC时间序列的DDoS检测算法

现有的DDoS检测方法大多局限于数据包检测这一层面,不能完整描述DDoS攻击过程,从而影响检测效果。针对这一问题,本文提出一种基于PCC(Packet and Conversation considering with Context)时间序列检测算法,从数据包级和会话流级进行分析,能更加全面地描述DDoS攻击过程;同时考虑前后数据的关联性,融合上下文信息,采用支持向量机（SVM）分类器建立DDoS攻击检测模型;最后提出一种可信报警策略进一步消除噪声和误分类带来的影响。实验结果显示,该方法能够有效检测DDoS攻击,减小网络流量噪声对检测结果的影响。     

基于机器学习的入侵检测系统

针对现有入侵检测系统仔在的不足，研究了基于网络和误用的入侵检测系统Snort，提出了基于机器学习的Snort系统方案．使Snort不仅能通过模式匹配的方式检测到一些已知的攻击，还能通过自我学习检测到未知的攻击.