国际计算机与通信工程创新研究杂志
菜单在线刊号(2320-9801)印刷刊号(2320-9798)
在线刊号(2320-9801)印刷刊号(2320-9798)
Priya U. Kadam1, manjusha Deshmukh教授2.
|
| 有关文章载于Pubmed,谷歌学者 |
更多相关文章请访问国际计算机与通信工程创新研究杂志
如今,维护高水平的安全性以确保各种组织之间的信息公告的安全和可信是非常重要的。但是,在互联网和任何其他网络上的安全数据通信总是受到入侵和滥用的威胁。因此,入侵检测系统已成为计算机和网络安全的重要组成部分。在入侵检测中使用了各种方法,但不幸的是,到目前为止,任何系统都不是完全完美的。所以,对更好的追求仍在继续。在此过程中,我们提出了一个入侵检测系统(IDS)的各种方法来有效地检测各种类型的网络入侵。详细讨论了入侵检测系统的参数和演化过程,并进行了实现。该方法将进化理论应用到信息进化中,对交通数据进行过滤,降低复杂度。为了实现和测量系统的性能,我们使用了实时基准数据集,并获得了合理的检测率。
介绍 |
| 1987年,Dorothy E. Denning提出了入侵检测作为一种对抗计算机和网络攻击和滥用的方法。入侵检测是由入侵检测系统实现的,目前有许多商业入侵检测系统可用。 |
| 入侵者通常被定义为试图并可能成功侵入信息系统或执行法律不允许的行为的系统、程序或个人。我们将入侵指的是试图破坏计算机资源的完整性、机密性或可用性的任何一组操作。检测试图破坏计算机资源的完整性、机密性或可用性的行为可以称为入侵检测。入侵检测系统是一种设备或软件应用程序,用于监控网络和/或系统活动,以发现恶意活动或违反策略,并向管理站生成报告。入侵检测是监控计算机系统或网络中发生的事件并分析它们以寻找可能发生事件的迹象的过程,这些事件是违反或即将违反计算机安全策略、可接受的使用策略或标准安全实践的威胁。 |
| IDS的基本概念: |
| 下面几节简要介绍了网络攻击、分类和入侵检测系统的各个组成部分。 |
| 网络攻击:本节概述了四种主要的网络攻击类型。网络上的每一次攻击都可以轻松地归入这些组之一。 |
| 拒绝服务(DoS): DoS攻击是一种攻击类型,黑客使计算或内存资源太忙或太满,无法服务合法的网络请求,从而拒绝用户访问机器,例如apache, smurf, neptune, ping of death, back,邮件炸弹,UDP风暴等都是DoS攻击。 |
| 远程到用户攻击(R2L):远程到用户攻击是一种攻击,用户通过互联网向一台机器发送数据包,而他/她没有访问权限,以暴露机器的漏洞并利用本地用户在计算机上拥有的特权,例如xlock, guest, xnsnoop, phf, sendmail字典等。 |
| 用户到根攻击(U2R):在这些攻击中,黑客使用普通用户帐户启动系统,并试图滥用系统中的漏洞以获得超级用户权限,例如perl, xterm。 |
| 探测:探测是一种攻击,黑客扫描机器或网络设备,以确定稍后可能被利用的弱点或漏洞,从而危及系统。该技术通常用于数据挖掘,如saint, portsweep, mscan, nmap等。 |
| 入侵检测分类: |
| 入侵检测可以分为两大类。具体如下: |
| 基于主机的入侵检测:hids评估单个或多个主机系统上的信息,包括操作系统、系统和应用程序文件的内容。 |
| 基于网络的入侵检测 |
| nids评估从网络通信中捕获的信息,分析流经网络的信息流。 |
| 入侵检测系统组成: |
| 入侵检测系统通常由三个功能组件组成。入侵检测系统的第一个组件,也称为事件生成器,是一个数据源。数据源可以分为四类,即基于主机的监视器、基于网络的监视器、基于应用程序的监视器和基于目标的监视器。入侵检测系统的第二个组件被称为分析引擎。此组件从数据源获取信息,并检查数据是否存在攻击症状或其他违反策略的情况。分析引擎可以使用以下分析方法中的一种或两种: |
| 基于误用/签名的检测:这种类型的检测引擎检测遵循利用已知软件漏洞的已知攻击模式(或签名)的入侵。这种方法的主要限制是它只寻找已知的弱点,而可能不关心检测未知的未来入侵。 |
| 异常/统计检测:基于异常的检测引擎将搜索罕见或不寻常的东西。他们分析系统事件流,使用统计技术来发现异常的活动模式。该系统的主要缺点是它们非常昂贵,并且由于数据不足,它们可以将侵入性行为识别为正常行为。 |
| 入侵检测系统的第三个组件是响应管理器。简单地说,响应管理器只在系统上发现不准确(可能的入侵攻击)时才会采取行动,以响应的形式通知某人或某事。 |
IDS体系结构 |
 |
文献综述 |
| 遗传算法(GAs)和遗传规划(GP)已经应用于不同场景下不同类型的入侵检测。有些算法使用遗传算法来导出分类规则。ga用于选择所需的特征,并确定一些核心函数的最优和最小参数,其中使用不同的AI方法推导规则的获取。入侵检测系统在网络安全领域有一定影响,目前已有多篇相关论文。 |
| Wenke Lee[6]描述了一种利用数据挖掘解决准确性、效率和可用性三类问题的方法,实现了有标签审计数据的特征提取和构造算法,以及无标签数据的特征提取和构造算法。 |
| 李伟[7]介绍了一种利用遗传算法检测异常网络入侵的方法。该方法包括网络数据的定量和分类特征,用于推导分类规则。然而,加入定量特征可以提高检出率,但没有实验结果。 |
| p.j. jongsuebsuk[8]提出了一种用于实时入侵检测系统的模糊遗传算法,对入侵行为和网络攻击数据进行分类,并从检测率、检测速度和虚警率三个方面对入侵检测系统进行了评估。 |
| [9]提出了基于数据挖掘的网络入侵检测框架。该框架是由传感器、数据预处理器、特征提取器和检测器组成的分布式结构。为了提高效率,该方法采用了一种新的fp -树结构和fp -生长挖掘方法,基于fp -树提取特征,无需生成候选。FP-growth恰好符合NIDS这种实时、频繁更新数据的系统。他使用DARPA入侵检测评估数据集来训练和测试他提出的方法的可行性。实验结果表明,该算法具有良好的性能。 |
| RistoVaarandi[10]提出了一种基于数据挖掘的实时技术,用于区分重要的网络IDS警报与频繁发生的假阳性和低重要性事件。与传统的基于数据挖掘的方法不同,我们的方法是完全自动化的,能够在没有人为干预的情况下适应环境变化。 |
 |
 |
ids的各种方法 |
| Wenke Lee, Salvatore J. Stolfo和Philip K. Chan[6]介绍了基于实时数据挖掘的入侵检测系统的研究。他们实现了标记审计数据的特征提取和构造算法系统。本文成功地完成了一个基于数据挖掘和CIDF (Common Intrusion Detection Framework CIDF,由DARPA资助)的IDS的原型实现。可以有多个(或多层)检测器监视同一个系统。例如,可以将工作负载分配到不同的检测器,以并行地分析事件。下面是给定系统的体系结构。 |
系统架构 |
 |
算法 |
| 第1级特征可以从第一个包计算,例如服务。 |
| 二级特性可以在连接生命周期内的任何时间计算,例如,连接状态(SYN WAIT、CONNECTED、FIN WAIT等)。 |
| 第3级特征可以在连接结束时计算,只计算有关正在检查的连接的信息,例如,从源发送到目的地的总字节数。 |
| 第4级特征可以在连接的末尾计算,但需要访问潜在的许多其他先前连接的数据。这些是时间和统计特征,是计算成本最高的。 |
 |
| 李伟[7]介绍了利用遗传算法进行入侵检测系统的不同检测技术。他还致力于TCP/IP层检测。他还致力于TCP/IP层检测。该系统是遗传算法规则库系统,包括交叉、变异、适应度和选择过程,最后生成测试数据的规则。 |
系统架构 |
 |
| 算法 |
| 算法:初始化染色体进行比较 |
| 输入:网络审核数据(用于培训) |
| 输出:一组染色体 |
| 1.范围= 0.125 |
| 2.对于每个训练数据 |
| 3.如果它在范围内有相邻的染色体 |
| 4.与最近的染色体合并 |
| 5.其他的 |
| 6.用它创造新的染色体 |
| 7.如果 |
| 8.结束了 |
| 算法2:预测数据/入侵类型(使用遗传算法) |
| 输入:网络审计数据(用于测试),重新计算的染色体组 |
| 输出:数据类型。 |
| 1.初始化人口 |
| 2.交叉率= 0.15,突变率= 0.35 |
| 3.而未达到生成数 |
| 4.对于种群中的每一条染色体 |
| 5.对于每个重新计算的染色体 |
| 6.找到健身 |
| 7.结束了 |
| 8.将最佳适应度指定为该染色体的适应度 |
| 9.结束了 |
| 10.去除一些适合度较差的染色体 |
| 11.应用交叉对选择的染色体对的群体 |
| 12.对种群的每条染色体进行突变 |
| 13.结束时 |
| P. Jongsuebsuk和N. attanapongsakorn。IEEE 2013[8]提出了一种用于实时入侵检测系统的模糊遗传算法,用于对入侵和网络攻击数据的行为进行分类,而遗传算法是一种优化算法,可以帮助找到合适的模糊规则,给出最佳/最优解。实验结果表明,模糊遗传算法能在2 ~ 3秒内有效检测在线网络数据集。其中预处理时间为2秒,检测时间小于1秒,而KDD99数据集中检测攻击只需不到1秒。在给定的方法中,有两个实验结果,第一个模糊算法对在线数据集和KDD数据集的攻击进行了高准确率和误报率的分类,第二个实验说明了每种攻击的检测率 |
系统架构 |
 |
| 算法 |
模糊遗传 |
| 对于每条记录{对于每条规则{对于每个属性{prob =模糊();totalprob = totalprob + prob;}如果(totalprob>阈值){类是攻击;真负++;} |
| Else{类是正常的;true positive++;} |
| 模糊算法 |
| If(数据值在“b”到“c”之间) |
| 那么prob =0.0 |
| Else if(数据值在" a "到" b "之间) |
| 那么prob =attribute_ value- a/b-c |
| Else if(数据值在“c”到“d”之间) |
| 那么prob =d- attribute_value/d-c |
| 否则,prob = 1.0 |
 |
结论 |
| 我们研究了各种现有的系统,并检查了实验结果。实验结果表明,所给出的方法能够有效、快速地检测在线网络攻击。最后,我们得到了IDS和IDS术语的详细概念,以及不同的攻击类型和DARPA数据集。 |
未来的工作 |
| 经过全面的研究,我们认为该系统既可以在KDD CUP 99 DARPA数据集上开发,也可以在实时嗅探数据集上开发。为了进一步研究,我们还可以开发并行遗传方法用于IDS系统。 |
参考文献 |
|
