介绍 |
| 政府、军事和商业组织在开展日常业务时越来越依赖互联网技术,这给网络防御带来了新的挑战。随着网络攻击的复杂性和多样性的不断提高,传统的IT防御手段,如反病毒软件或入侵防御系统,几乎已经被淘汰。针对数据、软件或硬件的蓄意行为可以破坏、降级、中断或拒绝访问网络计算机系统,这被称为网络攻击。如今,在入侵检测领域,数据挖掘技术已经得到了成功的应用。其中,包括特征选择在内的数据预处理阶段备受关注。特征选择是从原始数据集中选择相关子集,以尽量减少不相关和冗余特征的影响,而不会大大降低分类器的准确性。在保护文件和其他信息方面,使用计算机意味着需要自动化工具。在密码学中,我们必须了解一些术语,如纯文本、密文、加密、解密和密钥。纯文本:具有有效含义的数据称为纯文本。密文:不具有有效意义的数据称为密文。 Encryption: Converting plain text into cipher text is known as encryption. Decryption: Decryption is the reverse process of encryption. This means converting cipher text into plain text. |
| 键:键有两种 |
| 1.公钥 |
| 2.私钥 |
| 网络中的每个节点都知道公钥。私钥只有生成的节点知道。 |
文献调查 |
| 入侵:针对数据、软件或硬件的故意行为,可以破坏、降级、中断或拒绝对网络计算机系统的访问,这就是网络攻击。入侵只不过是攻击。攻击分为两种:1)被动攻击:攻击者可以读取数据2)主动攻击:攻击者可以读取、写入和修改数据。入侵检测:入侵检测系统(IDS)动态监控日志和网络流量,应用检测算法识别网络中潜在的入侵行为。 |
入侵检测功能包括: |
| 1.同时监控用户和系统活动;2 .系统配置及漏洞分析;3 .评估系统和文件的完整性。5. IDS具有识别典型攻击模式的能力。6.非均匀活动模式分析;入侵检测系统正在开发,以应对对主要站点和网络的攻击越来越多。通常,入侵检测系统有两种类型。第一个是基于主机的,被认为是被动组件。第二个是基于网络的,被认为是主动组件。 |
网络入侵检测: |
| 在计算机安全中,网络入侵检测系统是一种入侵检测系统,它试图通过分析网络上的流量来发现对计算机网络的未经授权的访问。要了解什么是网络入侵检测系统,首先要知道什么是入侵。蓄意对数据、软件或硬件进行破坏、降级、中断或拒绝对联网计算机系统的访问的行为是网络攻击,而网络入侵检测系统是检测此类入侵或攻击的系统。NIDS的主要目标是查明黑客是否正在侵入您的系统。它会分析网络上的流量,以监控不同恶意活动的迹象。 |
| 网络入侵检测的主要目标和功能检测入侵: |
| 网络入侵检测系统用于检测安全威胁和攻击。提供信息:如果网络入侵检测系统发现任何攻击,我将提供有关攻击的信息以及发生了什么样的攻击。采取纠正措施:系统发现攻击行为后,提供必要的应对措施。 |
| 存储:网络入侵检测系统用于存储入侵信息。 |
| 低成本:部署网络入侵检测系统的成本较低。 |
| 检测攻击:网络入侵检测系统可以通过扫描所有内容轻松检测任何类型的攻击。 |
问题陈述 |
| 网络安全措施保护数据不被非法传输。但是,网络中可能存在各种各样的攻击。攻击分为两类。它们是已知的攻击和未知的攻击。本文对利用基于异常的技术来发现未知攻击给出了明确的解释。 |
安全攻击 |
| 每个网络设计的基本组成部分是安全。如我们所知,蓄意对数据、软件或硬件进行破坏、降级、中断或拒绝访问联网计算机系统的行为就是网络攻击。 |
主动攻击: |
| 在这种攻击中,入侵者只能读取发送方的数据。但是他不能写入和修改数据的内容。 |
被动攻击: |
| 在这种攻击中,入侵者可以读取、写入和修改数据的内容。 |
| 入侵者可以读取、写入和修改由一方发送给另一方的数据内容。所以这些类型的攻击被认为是被动攻击。 |
安全策略 |
| 系统、组织或其他实体的安全被称为安全策略。 |
| 安全策略包括: |
| 1.保密 |
| 2.完整性 |
| 3.可用性 |
| 4.身份验证 |
| 5.访问控制 |
| 数据安全的三个主要原则是机密性、完整性和可用性。 |
| 4.1保密性:保密性是指在发送信息时保持保密。 |
| 4.2完整性:仅允许授权人员修改信息。我们必须将数据发送到目的地而不做任何修改。 |
| 4.3可用性:可用性确保用户在需要时能够获得数据。 |
现有的系统 |
| 信息安全的三个主要原则是机密性、完整性和可用性(CIA),它们有助于确保对系统内信息的授权访问。为了帮助保护系统,防火墙和防病毒软件等技术被用于防御层,以帮助检测入侵,这些入侵违反了CIA在网络或系统中的信息安全政策。根据采用的检测方法,ids可以分为两类,包括(i)误用检测和(ii)异常检测。误用检测可能是最古老、最常见的方法,它使用已知攻击模式的已知知识来扫描签名、监控状态转换或使用数据挖掘技术来识别潜在的攻击。尽管误用检测系统在检测有限的已知网络攻击集和低误报率方面非常有效,但其功能仅限于存储在数据库中的信息,因此在面临检测新分类的挑战时无法准确执行。然而,越来越明显的是,具有高目标特异性的敌人网络攻击可以穿透网络防御并避免来自Snort等应用程序的检测。因此,异常检测方法试图通过假设网络攻击是“异常的”并通过注意其与“正常”行为模型或配置文件的统计偏差来识别来克服这一问题。 |
优势 |
| 这种服务的优点是“全天候”,即使用户在睡觉或以其他方式远离任何计算机连接的网络时,系统也受到保护。基于网络的IDS可以部署在每个网段。IDS监视去往同一网段内所有系统的网络流量。基于网络的IDS更容易部署,因为它不会影响现有的系统或基础设施。系统独立。基于网络的IDS传感器将侦听网段上的所有攻击,而不管目标主机运行的操作系统类型与系统无关。基于网络的IDS传感器将侦听网段上的所有攻击,而不管目标主机正在运行哪种操作系统。基于主机的系统可以检测到基于网络的IDS传感器无法检测到的攻击。基于主机的传感器除了可以保护系统免受外部用户的攻击外,还可以在保护主机免受恶意内部用户的攻击方面非常有用。如果未经授权的用户从系统控制台更改系统文件,这种攻击不会被网络传感器注意到。 |
缺点 |
| 基于一段正常运营期间收集的审计数据。当训练数据中出现噪声(入侵)数据时,就会产生误分类。如何决定要使用的特性。特性通常由领域专家决定。也许并不完全如此。容易出现误报。潜在地检测以前未知类型的攻击。沉重的处理开销。容易受到攻击,同时创建耗时的具有统计意义的基线。 |
提出了系统 |
| 因此,入侵检测系统(IDS)动态监控日志和网络访问,应用检测算法在网络中识别这些潜在的入侵。许多异常检测IDS采用数据挖掘技术来帮助处理大量审计数据和日益复杂的入侵行为。 |
入侵检测中的数据挖掘: |
| 近年来,数据挖掘技术在入侵检测中的应用已经取得了很大的成功。数据挖掘是在大量数据中寻找有价值的信息。聚类通常用于异常检测,以发现对数据的分布或关系知之甚少的分组和总体。聚类分析技术根据对象所具有的特征将其分组为自然组。该集群包含相同类型的项。但与其他集群不同。 |
| 它在异常检测方面的优势包括能够检测以前未见过的攻击,可以将类似的攻击实例分组在一起。虽然经常应用基于分区的聚类,但有许多不同的聚类方法。基于分区的聚类方法通过在预定义数量的簇的初始分组中迭代地重新安排数据点,将数据点划分为许多簇。 |
数据生成和收集: |
| 获取适合实验的数据是入侵检测领域的一个挑战。网上可用的数据集非常少。DARPA是研究中使用最多的评估数据集。考虑到这项研究采用的高分辨率方法,选择拒绝服务(DOS)攻击作为基于特征识别的影响将识别的网络攻击。DOS攻击是一种故意阻止来自互联网的恶意服务。尽管一个包有许多不同的描述特征,但选择下面分析中使用的10个特征是因为它们组成了TCP/IP报头的主要部分。使用的特征包括:协议、数据包长度、序列号、时间、源IP、目的IP、源端口、目的端口、IP长度、校验和。 |
 |
| 数据分析部分包括三种新颖的异常检测技术,即未经授权的k-means聚类、特征选择和授权的c4.5决策树分类。在第一种技术中,未经授权的k-means聚类识别聚类特征。第二种技术特征选择可以将相关特征与特定攻击进行排序,然后对重要特征进行识别和排序。第三种授权的c4.5决策树分类技术可以评估显著相关的攻击特征子集。 |
结论 |
| 本工作的贡献如下。首先,本文使用的技术是,即k-means聚类,Naïve Bayes, Kruskal-Wallis和C4.5,允许入侵作为异常,在混乱和冲突的网络环境中以高度的精度被精确定位。此外,在该方法中包含Naïve贝叶斯特征选择和Kruskal-Wallis检验有助于统计显著性和相关特征集的分类,包括方法有效性的统计基准。与之前在该领域的研究不同,该研究不关注网络攻击的具体特征,这种方法表明,统计上相关的和减少的特征集过滤掉了与不相关特征相关的噪声数据。 |
|
|
数字一览 |
 |
 |
| 图2一个 |
图2 b |
|
|
参考文献 |
- 郭文杰,刘国强,基于人工智能的入侵检测方法研究,人工智能学报,34(4)(2010)369-387。
- T.Kellerman,网络威胁:当今真正无处不在的全球流行病,IEEE安全。隐私8(3)(2010)70-73。
- H.Kargupta,点对点网络上的近似分布式k-均值聚类,ieeetransl . knowl。数据工程21(10)(2009)1372-1388。
- P.Laskov, P.Dussel, C.Schafer, K.Rieck,学习入侵检测:有监督还是无监督?Anal.Process形象。50-57 -ICIAP20053617(2005)。
- J.B. Mac Queen,多变量观测数据分类和分析的一些方法,《第五届伯克利数理统计和概率研讨会论文集》,第1卷,1967年,第281 - 297页。
- H.Shah, J.Undercoffer, A.Joshi,入侵检测中的模糊聚类,模糊系统,2003。FUZZ ' 03,在:第12届IEEE国际会议上,vol.2, pp. 1274-1278vol。2、25 - 28 May2003。
|
菜单
