基于机器学习的安全检测 网络入侵检测概述
1.概述入侵检测是网络安全中的经典题目,入侵是指攻击者违背系统安全策略,试图破坏计 算资源的完整性、机密性或可用性的任何举动。由定义可见,入侵并非一种特定的入侵行 为,而是一类入侵举动的统称。常见的网络攻击方式包罗拒绝服务攻击、伪装身份入侵等。
入侵检测系统(IntrusionDetectionSystem,IDS)是一种网络安全设备,可以对入侵 举动举行实时监测,并在必要时发出告警或接纳防御措施,堵截入侵者的网络访问。最早 IDS系统的相干先容由 Denning于1980年发表于IEEE软件工程汇刊上。
IDS有多种不同的分别方法,可以根据信息来源、检测方法、体系布局举行分类。根 据信息来源可分为基于主机的IDS、基于网络的IDS和混合型IDS;根据检测方法可分为 异常检测和误用检测;根据体系布局的不同,可以分为集中式IDS和分布式IDS。以下 对这些重要IDS模子举行先容。
(1)异常检测(anomaly detection):这种方法要求先建立正常举动的特征轮廓和模 式表示,然后在检测时将具体举动与正常举动举行比较,如果偏差超过肯定值,则以为是入侵举动,否则为正常举动。这种检测模子不必要对每种入侵举动举行定义,能有用检测 未知的入侵,因此漏报率低,但误报率高。
(2)误用检测(misuse detection):事先构建异常操作的举动特征,建立相应的模式 特征库。当监测到的用户或系统举动与特征库中的记载相匹配时,则以为发现入侵。与 异常检测方法相反,这种方法误报率低、漏报率高。
(3)基于主机的IDS:其数据来源于计算机操作系统的事件日志、应用程序的事件日 志、系统调用、端口调用和安全审计记载。因此,这种IDS是对主机入侵举动的检测。
(4)基于网络的IDS:这种IDS用于检测整个网段的入侵信息。其数据来源于网络 通信数据包,由摆设于网络的数据包收罗器嗅探网络上的数据包。这种数据包容盖了各 种类型网络的请求和相应记载,通常由IP地址、端口号、数据包长度等信息组成。
(5)混合型IDS:前述各种IDS都存在肯定不敷,各有其上风和缺点,因此混合型 IDS可以大概较好地整合各自的上风。混合的方式有基于网络和基于主机的混合或者异常检 测和误用检测的混合。
不管是哪种类型的IDS,其工作过程大要是相同的,可以分为三个重要的环节,即信 息收集、分类检测和决策,其中分类检测和决策环节是IDS的关键,都必要肯定的人工智 能技能来支持。
(1)信息收集:入侵检测的第一步是信息收集,收集内容包罗系统、网络、数据及用 户运动的状态和举动。由放置在不同网段的传感器或不同主机的署理来收集信息,包罗 系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
(2)分类检测:收集到的有关系统、网络、数据及用户运动的状态和举动等信息被送 到检测引擎。检测引擎根据不同的检测机制举行检测,典范的方法有模式匹配、监督学习 模子、半监督学习模子和离群点检测等。固然,在执行分类之前,必要在系统后台先举行 模子训练,其可以离线完成。
(3)决策:当检测到某种入侵举动时,控制台按照告警产生预先定义的相应措施,可 以是重新设置路由器或防火墙、终止进程、堵截连接、改变文件属性等,也可以是简单地发 送告警。决策最重要的题目在于,检测器的召回率和准确率并不会到达100%的效果,导 致决策时大概产生不符合的措施。
内容来自:标题 (tsinghua.edu.cn),不知道是哪本书
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]