基于机器学习的安全检测 网络入侵检测概述

1.概述

入侵检测是网络安全中的经典问题,入侵是指攻击者违反系统安全策略,试图破坏计 算资源的完整性、机密性或可用性的任何行为。由定义可见,入侵并非一种特定的入侵行 为,而是一类入侵行为的统称。常见的网络攻击方式包括拒绝服务攻击、伪装身份入侵等。

**入侵检测系统(IntrusionDetectionSystem,IDS)**是一种网络安全设备,可以对入侵 行为进行实时监测,并在必要时发出告警或采取防御措施,切断入侵者的网络访问。最早 IDS系统的相关介绍由 Denning于1980年发表于IEEE软件工程汇刊上。

IDS有多种不同的划分方法,可以根据信息来源、检测方法、体系结构进行分类。根 据信息来源可分为基于主机的IDS、基于网络的IDS和混合型IDS;根据检测方法可分为 异常检测和误用检测;根据体系结构的不同,可以分为集中式IDS和分布式IDS。以下 对这些主要IDS模型进行介绍。

(1)异常检测(anomaly detection) :这种方法要求先建立正常行为的特征轮廓和模 式表示,然后在检测时将具体行为与正常行为进行比较,如果偏差超过一定值,则认为是入侵行为,否则为正常行为。这种检测模型不需要对每种入侵行为进行定义,能有效检测 未知的入侵,因此漏报率低,但误报率高

(2)误用检测(misuse detection):事先构建异常操作的行为特征,建立相应的模式 特征库。当监测到的用户或系统行为与特征库中的记录相匹配时,则认为发现入侵。与 异常检测方法相反,这种方法误报率低、漏报率高。

(3)基于主机的IDS:其数据来源于计算机操作系统的事件日志、应用程序的事件日 志、系统调用、端口调用和安全审计记录。因此,这种IDS是对主机入侵行为的检测。

(4)基于网络的IDS:这种IDS用于检测整个网段的入侵信息。其数据来源于网络 通信数据包,由部署于网络的数据包采集器嗅探网络上的数据包。这种数据包涵盖了各 种类型网络的请求和响应记录,通常由IP地址、端口号、数据包长度等信息组成。

(5)混合型IDS:前述各种IDS都存在一定不足,各有其优势和缺点,因此混合型 IDS能够较好地整合各自的优势。混合的方式有基于网络和基于主机的混合或者异常检 测和误用检测的混合。

不管是哪种类型的IDS,其工作过程大体是相同的,可以分为三个主要的环节,即信 息收集、分类检测和决策,其中分类检测和决策环节是IDS的关键,都需要一定的人工智 能技术来支持。

(1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用 户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括 系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。

(2)分类检测:收集到的有关系统、网络、数据及用户活动的状态和行为等信息被送 到检测引擎。检测引擎根据不同的检测机制进行检测,典型的方法有模式匹配、监督学习 模型、半监督学习模型和离群点检测等。当然,在执行分类之前,需要在系统后台先进行 模型训练,其可以离线完成。

(3)决策:当检测到某种入侵行为时,控制台按照告警产生预先定义的响应措施,可 以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性等,也可以是简单地发 送告警。决策最主要的问题在于,检测器的召回率和准确率并不会达到100%的效果,导 致决策时可能产生不合适的措施。

内容来自:标题 (tsinghua.edu.cn),不知道是哪本书

相关推荐
終不似少年遊*25 分钟前
美国加州房价数据分析01
人工智能·python·机器学习·数据挖掘·数据分析·回归算法
嘿嘻哈呀31 分钟前
使用ID3算法根据信息增益构建决策树
决策树·机器学习·信息增益·id3算法
区块链小八歌43 分钟前
链原生 Web3 AI 网络 Chainbase 推出 AVS 主网, 拓展 EigenLayer AVS 场景
人工智能
禾高网络1 小时前
租赁小程序成品|租赁系统搭建核心功能
java·人工智能·小程序
湫ccc2 小时前
《Opencv》基础操作详解(3)
人工智能·opencv·计算机视觉
Jack_pirate2 小时前
深度学习中的特征到底是什么?
人工智能·深度学习
H轨迹H2 小时前
SolidState靶机通关教程及提权
网络安全·渗透测试·靶机·oscp
微凉的衣柜2 小时前
微软在AI时代的战略布局和挑战
人工智能·深度学习·microsoft
GocNeverGiveUp3 小时前
机器学习1-简单神经网络
人工智能·机器学习