我在入侵检测系统上进行了很多搜索,但现在我很困惑,现在我应该从哪里开始。我不知道是否存在任何开源可重用代码,但我想用神经网络制作入侵检测和预防系统。
从开发人员的角度来看,我的问题是我应该从哪里开始。请指导我这个话题。
此外,我目前正在工作和分析 KDD CUP 1999 数据集。并寻找更多这样的数据集。
请告诉我哪些是构建入侵检测系统的最佳算法。
感谢任何回复或阅读的人。请指导我。提前致谢。
问问题
3078 次
2 回答
3
我学习同一学科。入侵检测和机器学习。这是一个相当广泛的主题。我将回答更多关于数据预处理和特征构建的观点。神经网络部分完全不同。
首先,这个领域商业化程度很高,因此几乎没有开源代码示例。很多事情都是在一个封闭的生态系统中进行商业化的。
从学术角度来看:存在大数据集问题。DK99C(Darpa - KDD99 数据集)存在,但它很旧。KDD99 数据集由 DARPA tcpdumps 构建。他们使用 bro IDS 、 tcpdump api 来构建特征。从我的角度来看,从原始 tcpdump 创建特征比在现成特征上使用机器学习算法(神经网络)要困难得多。
阅读这篇文章以了解更多关于它 (KDD99) 是如何构建的
Article (Lee2000framework) Lee, W. & Stolfo, S. J.
A framework for constructing features and models for intrusion detection systems
ACM Trans. Inf. Syst. Secur., ACM, 2000, 3, 227-261
阅读这篇文章及其介绍,了解为什么这个主题是一个难以研究的问题。
Inproceedings (Sommer2010Outside) Sommer, R. & Paxson, V.
Outside the Closed World: On Using Machine Learning for Network Intrusion Detection
Proceedings of the 2010 IEEE Symposium on Security and Privacy, IEEE Computer Society, 2010, 305-316
阅读这篇文章,了解大多数学者在这个主题上的工作方式。真的有点失望。
Article (Tavallaee2010Toward) Tavallaee, M.; Stakhanova, N. & Ghorbani, A.
Toward Credible Evaluation of Anomaly-Based Intrusion-Detection Methods
Systems, Man, and Cybernetics, Part C: Applications and Reviews, IEEE Transactions on, 2010, 40, 516 -524
阅读本文为什么认为 DK99C 有害。它是有害的,但不存在其他可靠的数据集。
Article (Brugger2007KDD) Brugger, S.
KDD Cup’99 dataset (Network Intrusion) considered harmful
KDnuggets newsletter, 2007, 7, 15
阅读有关 IDS 数据预处理分类的内容
Article (Davis2011Data) Davis, J. J. & Clark, A. J.
Data preprocessing for anomaly based network intrusion detection: A review
Computers & Security, 2011, 30, 353 - 375
于 2011-10-29T13:22:17.807 回答
1
大多数使用神经网络的入侵检测系统都使用监督训练,即。当向其主机请求某些更改时,系统会提示您提出意见。我建议您从找出挂钩变更请求的方法开始。在可能涉及使用系统挂钩来过滤应用程序请求的某些操作的窗口中。这将允许您的应用程序选择提示您做出响应,该响应将超时输入神经网络。然后,该数据集可用于优化对某些模式的识别以及您对这些模式的响应。在构建这样的系统时,显然还有更多的事情需要考虑,但根据我所说的,你应该有一个好的开始。
于 2011-10-11T20:16:56.540 回答