机器学习在入侵检测中的应用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1介绍入侵检测就是对企图入侵,正在进行的入侵或者已经发生的入侵进行识别的过程。所有能够执行入侵检测任务的系统,都可称为入侵检测系统。入侵检测方法的分类有多种。从数据来源看,入侵检测可以分为基于主机的入侵检测和基于网络的入侵检测。从数据分析手段来看,入侵检测通常可分为误用入侵检测和异常入侵检测。误用检测对比已知的攻击所构成的数据库中的数据和当前数据来发现入侵。而异常检测是通过观察当前活动与历史正常活动之间的差异来发现入侵。
2基于机器学习的入侵检测技术机器学习综合了人工智能、概率统计、神经生物学、认知科学、信息论、控制论等学科的优点,现在被广泛应用于异常入侵检测中,其基本方法是,用检测对象的正常行为实例样本进行学习机训练,一旦训练完成,就建立了该检测对象的正常行为特征轮廓;在检测中,将检测对象当前行为的特征度量输入学习机,学习机经过运算输出一个异常判别值,从而实现对检测对象的异常检测。机器学习的主要技术有:贝叶斯网络、马尔可夫模型、人工神经网络、模糊逻辑技术、遗传算法、数据挖掘等。
2.1贝叶斯网络贝叶斯网络是根据各个变量之间的概率关系建立的图论模型,实际应用中,网络中每个节点代表一种测度及其概率分布,对于根节点,概率分布是不依赖其他测度的(客观概率);对于子节点,它是以根节点为条件的条件概率,输入各测度的当前值后,该网络就能输出一个综合异常评价结果.利用贝叶斯网络进行入侵检测是非常高效得,但其主要问题是先验知识的重要性.但问题是我们不可能对所有的 上海论文网/organ/25706.html人侵形式进行计算,必须在现有知识下尽可能精确地确定先验概率,这样计算量会很大,这些都是我们今后需要解决的问题。
2.2马尔可夫模型马尔可夫模型应用到入侵检测中主要有两种不同的方法:马尔可夫链模型和隐马尔可夫模型。一个马尔可夫链就是由状态转移概率相关联的一系列状态变换,由此构成了该模型的拓扑结构。在初始的训练数据阶段,通过正常的系统行为得到概率。在随后的异常检测阶段,通过对检测行为序列评估得到一个数值(主要与概率相关)与我们事先设定的门限值比较判断是否发生入侵。而隐马尔可夫模型将状态及其转换隐藏,仅仅能看到其观察值。与贝叶斯网络相比,马尔可夫模型不依赖于先验概率,因此检测效果较好。
2.3神经网络神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,他是由大量简单的处理单元(神经
元)进行高度互连而形成的复杂网络系统。人工神经网络实现的是一种从输入到输出的映射关系。利用神经网络检测入侵的基本思想是用一系列信息单元训练神经元,通过训练和学习过程来修改网络互连权值,这样在给定一组输入后,就可能预测输出。神经网络应用到异常检测中,主要是由于他的灵活性和适应性。这种方法已被应用到创建用户配置文件,从先前的命令序列来预测下一个命令,以及确定入侵行为的流量模式等。神经网络不依赖于任何有关数据种类的假设,能处理噪声数据,实现简单,但神经网络拓扑结构的形成不稳定,且易陷于局部极小,学习时间长,而且对判断为异常的事件不能提供解释或说明信息。