基于机器学习的安全检测 网络入侵检测概述

1.概述

入侵检测是网络安全中的经典问题,入侵是指攻击者违反系统安全策略,试图破坏计 算资源的完整性、机密性或可用性的任何行为。由定义可见,入侵并非一种特定的入侵行 为,而是一类入侵行为的统称。常见的网络攻击方式包括拒绝服务攻击、伪装身份入侵等。

**入侵检测系统(IntrusionDetectionSystem,IDS)**是一种网络安全设备,可以对入侵 行为进行实时监测,并在必要时发出告警或采取防御措施,切断入侵者的网络访问。最早 IDS系统的相关介绍由 Denning于1980年发表于IEEE软件工程汇刊上。

IDS有多种不同的划分方法,可以根据信息来源、检测方法、体系结构进行分类。根 据信息来源可分为基于主机的IDS、基于网络的IDS和混合型IDS;根据检测方法可分为 异常检测和误用检测;根据体系结构的不同,可以分为集中式IDS和分布式IDS。以下 对这些主要IDS模型进行介绍。

(1)异常检测(anomaly detection) :这种方法要求先建立正常行为的特征轮廓和模 式表示,然后在检测时将具体行为与正常行为进行比较,如果偏差超过一定值,则认为是入侵行为,否则为正常行为。这种检测模型不需要对每种入侵行为进行定义,能有效检测 未知的入侵,因此漏报率低,但误报率高

(2)误用检测(misuse detection):事先构建异常操作的行为特征,建立相应的模式 特征库。当监测到的用户或系统行为与特征库中的记录相匹配时,则认为发现入侵。与 异常检测方法相反,这种方法误报率低、漏报率高。

(3)基于主机的IDS:其数据来源于计算机操作系统的事件日志、应用程序的事件日 志、系统调用、端口调用和安全审计记录。因此,这种IDS是对主机入侵行为的检测。

(4)基于网络的IDS:这种IDS用于检测整个网段的入侵信息。其数据来源于网络 通信数据包,由部署于网络的数据包采集器嗅探网络上的数据包。这种数据包涵盖了各 种类型网络的请求和响应记录,通常由IP地址、端口号、数据包长度等信息组成。

(5)混合型IDS:前述各种IDS都存在一定不足,各有其优势和缺点,因此混合型 IDS能够较好地整合各自的优势。混合的方式有基于网络和基于主机的混合或者异常检 测和误用检测的混合。

不管是哪种类型的IDS,其工作过程大体是相同的,可以分为三个主要的环节,即信 息收集、分类检测和决策,其中分类检测和决策环节是IDS的关键,都需要一定的人工智 能技术来支持。

(1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用 户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括 系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。

(2)分类检测:收集到的有关系统、网络、数据及用户活动的状态和行为等信息被送 到检测引擎。检测引擎根据不同的检测机制进行检测,典型的方法有模式匹配、监督学习 模型、半监督学习模型和离群点检测等。当然,在执行分类之前,需要在系统后台先进行 模型训练,其可以离线完成。

(3)决策:当检测到某种入侵行为时,控制台按照告警产生预先定义的响应措施,可 以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性等,也可以是简单地发 送告警。决策最主要的问题在于,检测器的召回率和准确率并不会达到100%的效果,导 致决策时可能产生不合适的措施。

内容来自:标题 (tsinghua.edu.cn),不知道是哪本书

相关推荐
亚信安全官方账号5 分钟前
亚信安全发布《2024年第三季度网络安全威胁报告》
网络安全
GL_Rain6 分钟前
【OpenCV】Could NOT find TIFF (missing: TIFF_LIBRARY TIFF_INCLUDE_DIR)
人工智能·opencv·计算机视觉
shansjqun10 分钟前
教学内容全覆盖:航拍杂草检测与分类
人工智能·分类·数据挖掘
狸克先生12 分钟前
如何用AI写小说(二):Gradio 超简单的网页前端交互
前端·人工智能·chatgpt·交互
肖永威25 分钟前
CentOS环境上离线安装python3及相关包
linux·运维·机器学习·centos
baiduopenmap27 分钟前
百度世界2024精选公开课:基于地图智能体的导航出行AI应用创新实践
前端·人工智能·百度地图
小任同学Alex30 分钟前
浦语提示词工程实践(LangGPT版,服务器上部署internlm2-chat-1_8b,踩坑很多才完成的详细教程,)
人工智能·自然语言处理·大模型
新加坡内哥谈技术36 分钟前
微软 Ignite 2024 大会
人工智能
江瀚视野1 小时前
Q3净利增长超预期,文心大模型调用量大增,百度未来如何分析?
人工智能
陪学1 小时前
百度遭初创企业指控抄袭,维权还是碰瓷?
人工智能·百度·面试·职场和发展·产品运营