关键字 |
| 攻击,入侵检测数据集分类器,工具。 |
介绍 |
| 由于互联网技术的发展,越来越多的网络攻击,入侵检测已成为一个重要的研究问题。入侵检测是动态的研究领域。由于显著进步和大量的工作,仍然有许多机会来促进高级的检测和阻挠网络攻击的影响[1]。据安德森[2],入侵企图或威胁是一个未经授权的访问信息,操纵信息,或使系统不可靠或无法使用。例如,拒绝服务(DoS)攻击试图否认一个主机的资源,对正常工作都是至关重要的,在处理;蠕虫和病毒通过互联网利用其它主机和妥协获得特权访问主机通过已知的漏洞的优点。anomaly-based入侵检测是指网络数据库中发现异常模式的问题,不符合预期的正常行为。入侵检测已广泛应用在信用卡欺诈检测,入侵检测对敌人活动,网络安全,军事侦察。 |
| 我们的文学不同于现有的事情用下列方法。 |
| 吗?我们讨论起源,入侵的原因和方面,还包括包的简要信息来源。 |
| 吗?我们试图提供一个分类的各种入侵检测方法,系统和工具。 |
| 吗?我们的调查不仅包括IP流量分类和分析,而且大量的最新的方法、系统和工具和分析。 |
相关工作 |
| 入侵是一组动作试图妥协的安全系统。这是妥协的机密性、完整性和可用性[8]。获得授权的进入和控制安全机制,这可以通过一个内部或外部代理。入侵检测功能包括监测和分析用户,系统和网络活动。它配置系统可能的漏洞,生成报告的评估系统和文件的完整性。它识别模式典型的攻击。分析异常活动和其追踪用户策略违规。入侵检测系统(IDS)是一个设备或软件应用程序。它监视网络或系统活动的恶意活动或违反政策。它产生报告管理。 IDS come in a variety of form and approach. the goal is detecting suspicious traffic in different ways. There are two types of IDS system, network based (NIDS) and host based (HIDS) intrusion detection systems. Some systems may attempt to stop an intrusion attempt. Intrusion detection and prevention systems (IDPS) give focus on identifying possible incidents, logging information about them, and reporting attempts. In addition, organizations use IDPSes for other purposes, such as identifying problems with security policies. It documents existing threats and determines individuals from violating security policies. IDPSes have become an important in addition to the security infrastructure of nearly every organization. |
| 答:不同类型的攻击 |
有不同类型的类的攻击,他们之后 |
| 1)病毒- |
| 这是一个自我复制的程序。它感染系统没有任何知识或许可用户。如果系统是通过另一台计算机上访问它增加了网络文件系统的感染率。 |
| 2)特洛伊- |
| 这是一个恶意程序。它不能复制本身,而是在计算机系统会导致严重的安全问题。它看起来是一个有用的程序,但实际上有一个密码,系统可以创建一个后门,让它轻易做任何系统上,并且可以称为黑客得到控制系统未经用户许可。 |
| 3)虫- |
| 这是一个自我复制的程序。它通过网络传播服务计算机系统无需用户干预。这是非常有害的网络消耗网络带宽。 |
| 4)拒绝服务(DoS) |
| 这是一个试图阻止对系统或网络资源的访问。的服务是一个特定的网络服务的能力,如电子邮件功能。它是通过强制目标实现的计算机(s)重置。这也是实现消费资源。面向的用户不再能充分沟通由于某服务或阻碍交流的媒体。 |
| 5)用户Root - |
| 它能够利用漏洞获得超级用户的权限系统,同时开始作为一个普通用户的系统。有各种类型的漏洞,如嗅密码、字典攻击,或社会工程。 |
| 6)远程到本地 |
| 它是一个能力通过网络将数据包发送到远程系统,系统上没有任何账户。执行攻击公共服务如HTTP和FTP或在保护服务的连接(如POP和IMAP)。 |
| 7)探针, |
| 它扫描网络识别有效的IP地址,也对主机扫描网络收集信息。它提供的列表信息,攻击者潜在的漏洞,以后可以用来发射攻击选定的系统和服务。 |
| b .入侵检测和入侵检测系统的分类 |
| 1)基于主机的IDS (HIDS): |
| hid灯的内部监控和分析计算系统[9]。它可能检测内部活动,如程序访问哪些资源,并尝试非法访问。hid灯的例子是一个文字处理器,突然莫名其妙地开始修改系统密码数据库。 |
| 2)基于网络的IDS (NIDS): |
| 它在网络数据处理检测入侵。入侵通常发生在异常模式虽然某些技术模型数据顺序的方式。它检测到异常子序列[9]。NIDS监控所有传入的数据包或流动,试图找到可疑的模式。 |
| c .文献调查 |
| 网络异常检测是一个广泛的研究领域,已经拥有大量的调查、评论文章、书籍。[3]本文提供了一个有效的入侵检测技术,利用k - means聚类的模糊神经网络和径向支持向量机。系统使用不同的入侵检测技术。[4]本文使用贝叶斯概率入侵检测系统的开发。系统开发是一个朴素贝叶斯分类器,用来识别可能的入侵。[5]在本文中,我们提出一个新的、quantitative-based入侵检测和预防的方法。概率传递我们的模型可以预测攻击在他们完成通过使用定量的马尔可夫模型建立从语料库的网络流量采集蜜罐。[6]论文集中精力提高无线局域网入侵系统通过使用支持向量机(SVM)。支持向量机基于公认的攻击模式进行入侵检测。[7]在本文中,我们提出的方法基于功能活力降低方法,识别重要的减少输入功能。我们应用的一个有效的朴素贝叶斯分类器在降低了入侵检测数据集。 |
入侵检测的概述 |
| 答:入侵检测的各个方面 |
| 1输入数据类型: |
| 任何入侵检测技术的一个主要方面是自然输入数据用于分析。输入通常是一个收集的数据实例也称为对象,记录,点,向量,模式,事件,情况下,样本,观察,实体[10]。 |
| 2)适当距离的措施: |
| 接近(相似或不同)解决许多模式识别分类和聚类的问题。距离函数,参数为对象对措施。接近措施返回数值,成为更高的对象变得更加相似。 |
| 3)数据标签: |
| 标签与一个数据实例表示如果该实例是正常或异常。 |
| 4)分类的方法基于使用带安全标签的数据: |
| 基于标签的可用性、异常检测技术可以在三种模式:监督,semi-supervised监督和管理。在监管模式下,假设训练数据集已标注实例的可用性对正常和异常类。Semi-supervised技术假设训练数据标记为只正常的类实例。最后,无人监督的技术不需要训练数据,因此可能最广泛适用的。 |
| 5)相关特性标识: |
| 在检测网络异常特征选择中起着重要的作用。特征选择方法是适用于入侵检测领域来消除不重要的或无关的特性。 |
入侵检测的方法和系统 |
| 答:统计方法和系统 |
| 通常,正常行为的统计方法使用统计模型给定的数据,然后运用统计推断测试来确定一个看不见的实例属于这个模型.low概率实例生成的学习模型的基础上,应用检验统计量声明异常。设计参数和非参数技术已经应用于异常检测的统计模型。统计id的一个例子是隐藏[11]。隐藏是一个anomaly-based网络入侵检测系统。它使用统计模型和神经网络分类器来检测入侵。 |
| 基于分类的方法和系统 |
| 分类技术是基于建立显式或隐式模型。它使网络流量分类模式分为几类。基于分类id的一个例子是自动化的数据分析和挖掘(亚当)[12]。它提供了一个实验来检测异常实例。 |
| c .集群和Outlier-based方法和系统 |
| 聚类的任务分配一组对象分组称为集群。对象在同一集群彼此更相似的在某种意义上比其他集群。聚类是用于数据挖掘。异常值点在一个数据集是极不可能发生的数据模型,例如,思想(明尼苏达州入侵检测系统)[13]是一种数据具有系统检测网络入侵。 |
| d .软计算方法和系统 |
| 软计算技术需要网络异常检测。软计算一般被认为是包括方法,如遗传算法、人工神经网络、模糊集、粗糙集、蚁群算法和人工免疫系统。 |
| 1。遗传算法的方法: |
| 遗传算法是基于自适应启发式搜索技术。它是基于进化思想。 |
| 2。人工神经网络的方法: |
| 人工神经网络(ANN)是出于认识到人类的大脑计算在一个完全不同的方式从传统的数字计算机。的一个例子是RT-UNNID ANN-based id。该系统能够实时智能入侵检测使用无监督神经网络(UNN)。 |
| 3所示。模糊集理论的方法: |
| 模糊网络入侵检测系统利用模糊规则。它确定特定的或一般的网络攻击的可能性。模糊输入设置可以定义特定的交通网络。NFIDS是neuron-fuzzy anomalybased网络入侵检测系统。 |
| 4所示。粗糙集方法: |
| 粗糙集是一种近似的一组脆即。,a regular set. It is in terms of a pair of sets that are in its lower and upper approximations. Rough sets have useful features such as enabling learning with small size training datasets and overall simplicity. |
| 5。蚁群和人工免疫系统方法: |
| 蚁群优化概率技术和相关算法。用于解决计算问题,可以通过图新配方找到最优路径。人工免疫系统(AIS)代表了一种计算方法。这是灵感来自人类的免疫系统的原则。 |
| e .以知识为基础的方法和系统 |
| 在以知识为基础的方法,网络或主机事件与预定义的规则。它还检查的攻击模式。以知识为基础的系统的一个例子是STAT(状态转换分析工具) |
| 1。基于规则的专家系统方法: |
| 专家系统是一个基于规则的系统,有或没有一个相关的知识库。专家系统的规则引擎。规则引擎匹配规则对系统的当前状态。 |
| 2。本体和基于逻辑的方法: |
| 可以实时模型攻击签名使用表达逻辑结构中加入约束和统计特性。 |
| f .结合学习者的方法和系统 |
| 在本节中,我们提出了一些方法和系统使用多种技术的组合,通常分类器。 |
| 1。Ensemble-based方法和系统: |
| 整体方法背后的理念是衡量几个个体分类器。它结合了他们获得一个整体优于每一个分类器。IDS Octopus-IIDS是整体的一个例子。 |
| 2。Fusion-based方法和系统: |
| 的发展需要自动化决策,重要的是要提高分类精度。合适的组合是融合方法的重点。dLEARNIN是一个整体的分类器组合来自多个来源的信息。 |
| 3所示。混合方法和系统: |
| 最新的网络入侵检测系统采用误用检测。他们也使用异常检测。误用检测无法检测未知入侵。异常检测通常具有较高的假阳性率。克服技术的局限性,混合方法是开发利用特征从几个网络异常检测方法.Hybridization IDSs的几种方法提高性能。例如,RTMOVICAB - id,介绍了一种混合智能id。 |
评估标准 |
| 评估性能,有必要系统识别攻击。系统识别正常数据正确。有几个数据集和评价措施。这些可用于评估网络异常检测方法和系统。最常用的数据集和评估措施下面。 |
| g .数据集 |
| 获取和预处理高速网络流量的网络异常检测之前是非常重要的。不同的工具用于捕获和分析网络流量数据。 |
| 1。合成数据集: |
| 合成数据集生成满足特定的需要。它是用来满足条件或真实数据满足的测试。这可能是有用的在设计任何类型的系统,用于理论分析。设计可以精炼。合成数据用于测试。它是用于创建许多不同类型的测试场景。 |
| 2。基准数据集: |
| 我们现在的一些公开的基准数据集。他们是使用模拟生成环境。它包括一系列的网络。执行不同的攻击场景。 |
| KDDcup99数据集: |
| 自1999年以来,KDDcup99数据集的数据集用于评估网络异常检测方法和系统。 |
| b。NSL-KDD数据集: |
| 数据库知识发现(KDD)数据集的分析显示,有两个重要的问题在数据集。他们高度影响评估系统的性能,导致可怜的异常检测方法的评价。为了解决这些问题,一个新的数据集称为NSL-KDD[14],包括选定的记录完整的介绍了知识发现(KDD)数据集。这个数据集是研究人员公开。它有优势等原始数据集KDD并不包括在训练集冗余记录。没有重复的记录在测试集。从每个难度选择记录的数量,这是成反比的百分比记录原始数据集KDD。在训练集和测试集的记录数量是合理的。 |
| c。2000年DARPA数据集: |
| [15]DARPA6评估项目目标复杂攻击的检测。它包含多个步骤。 |
| d。防御数据集: |
| DEFCON7数据集是另一种常用的数据集评估IDSs [16]。它包含网络流量捕获当黑客竞争称为夺旗(CTF)。 |
| 3所示。真实数据集: |
| 在本节,我们将展示现实生活三个数据集由收集几天的网络流量。它包括正常以及攻击实例在适当的比例。 |
| UNIBS数据集: |
| 这个数据集包括流量捕获或收集通过许多工作站。它存储交通通过20工作站运行GT端守护进程。 |
| b。ISCX-UNB数据集: |
| 真正的包痕迹[17]进行了分析。它为代理创建概要文件生成真正的交通HTTP、SMTP、SSH、IMAP、POP3和FTP协议。 |
| c。进程数据集: |
| 这个数据集已经准备在网络安全实验室Tezpur大学印度基于几个攻击场景。 |
| b .评价措施 |
| 1)准确性: |
| 精度是一个指标。它正确地衡量一个id。它测量的百分比检测和失败的数量以及假警报系统产生[18]。如果一个系统有80%的准确率,这意味着它正确分类80 100实际类对象。 |
| 2。性能: |
| IDS的性能的评估是一项重大的任务。它涉及到许多问题,超越IDS本身。这些包括硬件平台、操作系统甚至IDS的部署。 |
| 3所示。完整性: |
| 完整性标准代表了空间的漏洞。它显示了一个攻击,可以由一个ID。 |
| 4所示。及时性: |
| 一个id尽快执行分析工作。它使人类的分析师或响应引擎之前及时反应破坏是在特定时期完成的。 |
| 5。数据质量: |
| 评估数据的质量是另一个重要的任务在NIDS评估。数据质量受到多种因素的影响,例如源的数据应该是可靠的和适当的来源,选择的样品应该是公正的,无论是过去还是在抽样样本量,时间的数据应该经常更新实时数据和复杂的数据 |
| 使用c工具在不同的网络流量异常检测的步骤 |
| 1)Wireshark: |
| 它是免费和开源包分析器。它可以用于网络故障排除。它用于分析。它是适用于软件和通信协议开发。它也被运用于教育。使用跨平台的GTK +小部件工具箱来实现它的用户界面。它使用pcap捕获数据包。它有一个图形化的前端。它也有一些综合排序和过滤选项。它的功能在镜像端口来捕获网络流量分析任何篡改。 |
| 2)杯: |
| 它允许更高的数据包捕获率。它滴更少的数据包。它能够读取磁盘。如果数据率增加,吞咽甚至重组旗下写入块边界。它优化写作效率。当它收到一个中断时,它停止灌装循环缓冲区。它不存在,直到写完剩下的循环缓冲区。 |
| 3)tcptrace: |
| 需要几个流行的数据包捕获程序产生的输入文件。它包括tcpdump、探听,etherpeek惠普网络矩阵,WinDump Wireshark。它产生几种类型的输出包含信息在每个连接上看到的,如时间、发送和接收的字节和部分,重发,往返时间,窗口广告,和吞吐量。它也可以产生大量的图表和数据包统计数据进行进一步分析。 |
| 4)nfdump: |
| 它收集和处理净流数据在命令行上。只是有限的磁盘空间对所有网络流量数据可用。它可以优化速度高效过滤。过滤规则看起来像tcpdump的语法。 |
| 5)nmap: |
| 它也被称为网络映射器。这是一个自由和开放源码工具。用于网络的探索以及安全审计。在小说方面它使用原始IP数据包。它决定哪些主机可用网络。它决定哪些服务(应用程序名称和版本)这些主机提供。它决定什么是操作系统运行。它决定类型的防火墙或使用包过滤,和许多其他特征。它很简单,灵活,功能强大,良好的文档记录发现主机在大型网络的工具。 |
结论 |
| 在本文中,我们最先进的监测在现代网络入侵检测。两个著名的标准可用于分类和评估nids:检测策略和评价数据集。我们还展示了许多检测方法、系统和工具。此外,我们看到几个评估标准测试检测方法或系统的性能。不同的现有数据集和其分类的讨论。 |
引用 |
- 答:《“介绍入侵检测,”十字路口,卷2,不。1996年4月4页3 - 7。
- j·P·安德森,“监测和监督计算机安全威胁,”詹姆斯P安德森公司,宾夕法尼亚州华盛顿堡技术。代表,1980年4月。
- 点钱德拉塞卡,入侵检测技术通过使用k - means,模糊神经和Svm分类器”,2013年国际会议onComputer沟通和信息(ICCCI - 2013), Jan 04-06 2013哥印拜陀印度。
- HeshamAltwaijry,“基于贝叶斯的入侵检测系统”,沙特国王大学-计算机和信息科学杂志》(2012)24日,1 - 6。
- Ammar Boulaiche”定量方法预防入侵检测和基于统计语法模型”,ProcediaComputer科学10 (2012)450 - 457。
- MuamerN。穆罕默德,“Wlan的基于支持向量机的入侵检测系统”,Procedia技术1 (2012)313 - 317。
- Saurabh穆克吉”,减少入侵检测使用朴素贝叶斯分类器的特性”,Procedia技术4 (2012)119 - 128。
- r·的·g·鲁格尔手枪,a . Maccabe和m . Servilla”网络级别的入侵检测系统的体系结构,“电脑ScienceDepartment,新墨西哥大学,科技,众议员tr - 90, 1990。
- f .维基媒体“入侵检测系统”,http://en.wikipedia.org/wiki/Intrusion-detection系统,2009年2月。
- 施泰因巴赫m p . n . Tan,诉Kumar,数据挖掘导论。addison - wesley, 2005年。
- z, j . Li c . n . Manikopoulos j·乔根森和j .剑桥大学考试委员会、“隐藏:使用StatisticalPreprocessing层次网络入侵检测系统和神经网络分类”Proc, IEEE人系统和控制论信息保障车间,2001年。
- b .丹尼尔,c·茱莉亚,j . Sushil w .政法,”亚当:一个实验探索数据挖掘在入侵检测的使用,“ACM SIGMODRecord,30卷,不。4、15 - 24,2001页。
- l . Ertoz e . Eilertson a . Lazarevic p . Tan诉Kumar和j·斯利瓦斯塔瓦,数据挖掘——下一代的挑战和未来的发展方向.MIT出版社,2004年,ch。思想——明尼苏达州入侵检测系统。
- NSL-KDD”NSL-KDD数据集对于基于网络的入侵检测系统,”http://iscx.cs.unb。ca / NSL-KDD /, 2009年3月。
- g i s t .麻省理工学院林肯实验室,“DARPA入侵检测数据集”,http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/2000data.html, 2000年3月。
- 防御,“什穆组”,http://cctf.shmoo.com/, 2011年。
- a . Shiravi h . Shiravi m . Tavallaee, a . a . Ghorbani”对开发一个系统的方法来生成基准数据集forintrusion检测”电脑与安全没有,卷。31日。3、357 - 374年,2012页。
- 美国Axelsson”,基础概率谬误和入侵检测的困难,”ACM反式。正系统安全。,3卷,不。3,第205 - 186页,2000年8月。
- 点钱德拉塞卡,入侵检测技术通过使用k - means,模糊神经和Svm分类器”,2013年国际Conferenceon计算机通信和信息(ICCCI - 2013), Jan 04-06 2013哥印拜陀印度。
- HeshamAltwaijry,“基于贝叶斯的入侵检测系统”,沙特国王大学-计算机和信息科学杂志》(2012)24日,1 - 6。
- Ammar Boulaiche”定量方法预防入侵检测和基于统计语法模型”,ProcediaComputer科学10 (2012)450 - 457。
- MuamerN。穆罕默德,“Wlan的基于支持向量机的入侵检测系统”,Procedia技术1 (2012)313 - 317。
|
菜单