异常检测.ppt

* * 1962年Carl Asam Petri在其博士论文中首次提出了Petri网的概念，用于描述计算机事件之间的关系：离散事件系统中复杂的事件之间的先后顺序、并行、异步顺序等关系。Petri网能很好的描述制造系统中资源冲突、锁死、及缓冲区容量问题。 系统通过一系列的可以被检测到的基本事件来定义攻击的行为，一个基本事件是与攻击存在运行相关的特征行为(比如操作指令，特定传输端口，修改的注册表的值等)，然后把这些事件按照事件发生的时间或因果关系表示成一个着色Petri网模型。 * * * 传统的基于字符串匹配的网络入侵检测系统，只能根据截取到的单个网络数据包中是否具有一定的字符特征，或是靠某些特定的端口是否打开来判断是否发生了攻击，即只能发现“存在型或某些“顺序型的攻击，对于复杂一些的“顺序”型，“偏序”型，“持续型，“间隔型则无法检测。因此要做到识别这些攻击，系统必须能够充分、简洁地表示各种不同类型的攻击行为，而且需要高效的推理识别出攻击。Kumar的研究表明使用CPN可以描述和检测上述攻击类型。 * 前提：入侵是异常活动的子集 用户轮廓(Profile)：通常定义为各种行为参数及其阈值的集合，用于描述正常行为范围 * * * * * * * * * * * * 基于非参数统计高斯核函数特征量的网络流量异常检测方法 * * 目前，已经有关于神经网络技术被用于在入侵检测系统中的研究，希望它能够解决现在入侵检测技术所遇到的问题。异常检测系统中神经网络技术，一般都是用当前系统的状况和正常状态下的系统轮廓进行比较，进而判断是否存在发生异常的情况。从以上可以看出，神经网络技术应该能够非常好地应用到入侵检测系统中来。 在入侵检测系统中应用神经网络技术具许多的优越越性。从处理方法上来看，神经网络技术是符合入侵检测系统的要求的，具有高容错性及简单地建模优点。它能够通过对已知入侵攻击的自学习，从中获取正常用户或者系统活动的轮廓特征模式，并取得预测的能力，还能够源源不断地接受新的经验，逐步调整模型，进而提高自适应能力且具有动态特性。把新入侵攻击示例展现给神经网络，使得入侵检测系统具有自适应的功能。对模式匹配及判断，通过训练以后的神经网络模块转换为数值的计算，进一步提高了系统的检测效率。 神经网络是在海量案例的基础上进行知识学习的，并能取得一定的预测能力。整个的过程可以描述为很抽象的计算，它既不需要强调预测数据的分布情况，也不需要对每个知识的细节向神经网络去解释。依据己存在的案例，神经网络技术能自动掌握系统中的所有度量之间的内在关联。当系统能正常工作的模式被神经网络掌控了之后，它就能对非正常的工作活动事件做出反应，进一步发现新攻击模式，这样，使得入侵检测系统能够具有更加强大的适应性。 利用神经网络，它并不是只能机械死板地对数值进行严格地匹配，而是能对网络借助非线性分析学习后得出数值。而得出的这个数值就是表示入侵可能性的一个数值。由于神经网络技术采用了分布式的存储结构，其具有较强的容错能力。正是由于采用了分布式的存储结构，即使网络中局部存在缺失单元的现象，也不至于影响到整个网络，从这就反映出了神经网络所具备的鲁棒性的特点。由于大规模的并行处理工作可以在神经网络中进行，因此，处在同一层上的全部神经元将可同时进行计算，且任意一个神经元储存的信息也被允许同时参加运算。 在实际的检测过程中，因为入侵检测的特征值是模糊的、不完全的或者是含噪声的，所以，整个检测的过程对于入侵特征值的依赖是不确定的。同样也对神经网络训练的效率产生相应的影响。因此，就要对入侵特征值进行提取，并对特征值进行去噪声、相关性等处理。本文进行入侵检测特征的提取采用的是PCA方法。 * * 目前，已经有关于神经网络技术被用于在入侵检测系统中的研究，希望它能够解决现在入侵检测技术所遇到的问题。异常检测系统中神经网络技术，一般都是用当前系统的状况和正常状态下的系统轮廓进行比较，进而判断是否存在发生异常的情况。从以上可以看出，神经网络技术应该能够非常好地应用到入侵检测系统中来。 在入侵检测系统中应用神经网络技术具许多的优越越性。从处理方法上来看，神经网络技术是符合入侵检测系统的要求的，具有高容错性及简单地建模优点。它能够通过对已知入侵攻击的自学习，从中获取正常用户或者系统活动的轮廓特征模式，并取得预测的能力，还能够源源不断地接受新的经验，逐步调整模型，进而提高自适应能力且具有动态特性。把新入侵攻击示例展现给神经网络，使得入侵检测系统具有自适应的功能。对模式匹配及判断，通过训练以后的神经网络模块转换为数值的计算，进一步提高了系统的检测效率。 神经网络是在海量案例的基础上进行知识学习的，并能取得一定的预测能力。整个的过程可以描述为很抽象的计算，它既不需要强调预测数据的分布情况，也不需要对每