介绍 |
依赖的增加政府、军事和商业组织在互联网技术进行日常业务为网络防御提出了新的挑战。前进的复杂性和各种网络攻击几乎呈现传统的防御,如杀毒软件或入侵预防系统。一个深思熟虑的行动数据,软件或硬件可以摧毁,降解,破坏或拒绝访问网络的计算机系统称为网络攻击。现在,每天在入侵检测领域,数据挖掘技术已经成功。特别是,数据预处理阶段,包括特征选择,吸引了大量关注。从原始数据集特征选择选择相关的子集以最小化的影响无关和冗余功能没有大大降低分类器的准确性。在保护文件和其他信息的计算机使用意味着需要自动化工具。在密码学基本上我们必须了解一些术语像纯文本,密文,加密、解密和钥匙。纯文本:数据是有有效的意义称为纯文本。密文:数据不具有有效的意义称为密文。 Encryption: Converting plain text into cipher text is known as encryption. Decryption: Decryption is the reverse process of encryption. This means converting cipher text into plain text. |
键:键两种类型 |
1。公钥 |
2。私钥 |
公钥是网络中的每个节点。和只知道私钥生成的节点。 |
文献调查 |
入侵:一个深思熟虑的行动数据,软件或硬件可以摧毁,降解,破坏或拒绝访问网络计算机系统的网络攻击。入侵是攻击。攻击是两种类型1)被动攻击:攻击者可以读取data.2)主动攻击:攻击者可以读、写和修改数据。入侵检测:一个入侵检测系统(IDS),因此,动态监控日志和网络流量,应用检测算法年代与网络中识别这些潜在的入侵。 |
入侵检测功能包括: |
1。监测用户和系统活动,2。系统配置和漏洞分析,3。评估系统和文件完整性、4。IDS有能力识别模式的典型攻击,5。分析非均匀活动模式,6。跟踪用户策略违规入侵检测系统正在开发,以应对越来越多的攻击主要网站和网络。通常情况下,入侵检测系统两种类型。第一个是基于主机的和被认为是被动组件。第二个是基于网络的,被认为是活性成分。 |
网络入侵检测: |
在计算机安全学中,一个网络入侵检测系统是一种入侵检测系统,试图发现未经授权的访问计算机网络通过分析交通网络上的恶意活动的迹象。理解是一个网络入侵检测系统应该首先知道什么是入侵。一个深思熟虑的行动数据,软件或硬件可以摧毁,降解,破坏或拒绝访问网络计算机系统的网络攻击,和网络入侵检测系统是一个系统,检测到入侵或攻击等。NIDS的主要目标是找出是否黑客攻击你的系统。分析了你的网络流量监控不同的恶意活动的迹象。 |
网络入侵检测检测入侵的主要目标和功能: |
网络入侵检测系统检测到安全威胁和攻击。提供信息:如果网络入侵检测系统发现任何攻击,那么我将提供的信息攻击和什么样的攻击发生。采取纠正措施:在发现攻击的系统,它提供了必要的措施面对攻击。 |
存储:网络入侵检测系统存储的信息入侵。 |
需要更少的成本:减少部署的网络入侵检测系统。 |
探测攻击:网络入侵检测系统可以很容易地检测到任何类型的攻击通过扫描所有的内容。 |
问题陈述 |
网络安全措施来保护数据免受duheir传播。但是,可能有不同的攻击是在网络。分为两种类型的攻击。他们是已知攻击和未知攻击。在本文中,我们将给出明确的解释,发现未知的攻击使用基于异常的技术。 |
安全攻击 |
每一个网络设计是安全的基本组成部分。我们知道一个深思熟虑的行动数据,软件或硬件可以摧毁,降解,破坏或拒绝访问网络计算机系统是一个网络攻击。 |
主动攻击: |
在这种攻击入侵者只能读取数据在这种攻击入侵者只能读取数据的发送者。但他不能写和修改数据的内容。 |
被动攻击: |
在这种攻击中,入侵者可以读、写和修改数据的内容。 |
入侵者可以读、写和修改数据的内容由一个人发送到另一个。这些类型的攻击被认为是被动攻击。 |
安全策略 |
被安全系统、组织或其他实体被称为安全政策。 |
安全策略是: |
1。保密 |
2。完整性 |
3所示。可用性 |
4所示。身份验证 |
5。访问控制 |
数据安全的三个主要原则是机密性、完整性和可用性。 |
4.1保密:保密手段维护保密而发送信息。 |
4.2诚信:只允许授权人员修改信息。我们必须将数据发送到目的地没有任何修改。 |
4.3可用性:确保可用性的数据应在需要时提供给用户。 |
现有的系统 |
信息安全的三个主要原则是机密性、完整性和可用性(CIA),这有助于确保授权系统中获取信息。为了帮助保护系统,技术,如防火墙和杀毒软件用于防御层来检测入侵,这是违反美国中央情报局的信息安全政策在一个网络或系统。ids可以分成两类根据检测.methods他们使用,包括(i)误用检测和异常检测(ii)。误用检测可能是最古老的,最常见的方法,并使用已知的攻击模式扫描建立知识签名,监控状态转换或使用数据挖掘技术来识别潜在的攻击。尽管滥用检测系统非常有效地检测一组有限的已知的网络攻击假警报率较低,他们的能力是有限的,信息存储在数据库中,因此无法准确执行当面对的挑战新分类检测。然而,它正变得越来越明显,网络攻击敌人目标高特异性可以穿透网络防御,避免检测等应用Snort。因此,异常检测方法试图解决这个问题通过假设网络攻击被注意的“异常”和可识别的统计偏差从“正常”的行为模式或概要。 |
优势 |
这个服务的优点是“24小时”方面,在系统保护即使用户睡着了或者远离任何计算机连接网络。基于网络的IDS可以部署为每个网段。一个id监控网络流量注定要在一个网段的所有系统。基于网络的IDS更容易部署,因为它不影响现有系统或基础设施。系统独立。基于网络的IDS传感器将监听网段的所有攻击不管目标主机的操作系统类型是独立运行系统。基于网络的IDS传感器将监听网段的所有攻击不管目标主机的操作系统类型正在运行。基于主机的系统可以检测攻击,基于网络的IDS传感器无法检测。基于主机的传感器可以是非常有用的在保护宿主免受恶意内部用户除了保护系统免受外部用户。如果未授权用户修改系统文件从系统控制台,这种攻击是网络传感器的注意。 |
缺点 |
根据审计数据收集在一段时间内的正常操作。当训练数据中的噪声(干扰)的数据,这将使一个错误分类。如何决定要使用的功能。通常是由领域专家决定的特性。它可能不完全。容易产生假阳性。可能发现未知的攻击类型。沉重的处理开销。容易受到攻击在创建耗时统计上显著的基线。 |
提出了系统 |
一个入侵检测系统(IDS),因此,动态监控日志和网络访问,应用检测算法来识别这些潜在入侵网络内。许多异常检测id的使用数据挖掘技术在处理大量的审计数据和越来越复杂的入侵行为。 |
数据挖掘的入侵检测: |
近年来,有许多成功的应用程序的数据挖掘技术应用于入侵检测。数据挖掘是在大量寻找有价值的信息。集群通常用于异常检测发现分组和人群,对传播或数据中的关系。聚类分析技术组对象自然分组基于他们拥有的特征。集群包含相同类型的项目。但不同的其他集群。 |
异常检测的优点包括检测前所未有的攻击的能力,通过分组一起类似的攻击实例。有许多不同的聚类方法,而基于分区的尽管集群通常是应用。基于划分的聚类方法的数据点分割成许多集群通过迭代重新排列数据点的初始分组一个预定义的集群的数量。 |
数据生成和收集: |
获取数据,适用于实验在入侵检测领域是一个挑战。网上很少有数据集。DARPA是评价数据集主要用于这项研究。考虑到高分辨率的方法这一块的研究,拒绝服务(DOS)攻击的网络攻击被选作为特征识别为基础的影响,识别。DOS攻击是一个深思熟虑的意图阻止rvices互联网。虽然有许多不同的描述性特性包,以下分析中使用的10特性选择因为他们组成的主要部分TCP / IP报头。使用的功能包括:协议、数据包长度、序列号码,时间,源IP,目的地IP,源端口,目的端口,IP长度,校验和。 |
|
数据分析部分包括三个异常检测技术即未经授权的k - means聚类为基础的小说中,特征选择和授权c4.5决策树分类。在第一种技术未经授权的k - means聚类识别集群功能。第二个技术特征选择可以排名相关特性的特定攻击然后标识和排名的重要特性。第三种技术授权c4.5决策树分类可以评估显著相关子集的攻击特性。 |
结论 |
这项工作的贡献如下。首先,本文中使用的技术,即k - means聚类、朴素贝叶斯,克鲁斯卡尔-沃利斯和C4.5允许入侵,异常,发现具有高精确度在混乱和矛盾网络网络环境。进一步,将朴素贝叶斯特征选择和克鲁斯卡尔-沃利斯检验方法促进两个具有统计学意义的分类和相关特性集,包括统计指标的有效性的方法。与先前的研究在这一领域,不关注性格是网络攻击的具体特性,这种方法表明,统计相关和减少特性集过滤掉的数据与非相关特性有关。 |
|
|
数据乍一看 |
|
|
图2一个 |
图2 b |
|
|
引用 |
- K。Kumar M。Sachdeva,使用基于人工智能的入侵检测技术:复习,Artif.Intell.Rev.34 (4) (2010) 369 - 387。
- T。Kellerman,网络威胁pro liferation:今天的真正普及全球流行,IEEE Secur.Privacy8 (3) (2010) 70 - 73。
- H。Kargupta,近似分布式对等网络k - means聚类,IEEETrans.Knowl。数据Eng.21 (10) (2009) 1372 - 1388。
- P。Laskov, P。杜塞尔,C。谢弗,K。Rieck,学习入侵检测:监督或无监督?Anal.Process形象。-ICIAP20053617 50-57 (2005)。
- J.B. Mac女王,一些分类方法和多元的观察,分析:《第五伯克研讨会上数理统计和概率,第1卷,1967年,pp.281 - 297。
- H。沙,J。Undercoffer,。乔希,模糊聚类的入侵检测、模糊系统,2003年。模糊的03:第12届IEEE国际会议上,编》,页1274 - 1278卷。2、25 - 28 May2003。
|