[理学]入侵检测技术 第7章.ppt

7.1 采用先进检测算法的必要性 7.2 神经网络与入侵检测技术 7.3 数据挖掘与入侵检测技术 7.4 数据融合与入侵检测技术 7.5 计算机免疫学与入侵检测技术 7.6 进化计算与入侵检测技术 7.1 采用先进检测算法的必要性 在前面几章，按照数据来源划分，对基于主机、基于网络以及混合型的入侵检测技术进行了介绍。其中，对于每种数据来源的入侵检测技术往往又同时包含了异常检测方法和滥用入侵检测方法。自20世纪90年代以来，不少研究人员又提出了不少新的检测算法。 本章介绍的先进入侵检测技术，主要涉及包括神经网络、数据挖掘、数据融合、计算机免疫学和遗传算法在内的多个技术领域的知识在入侵检测领域内的应用工作。 7.2 神经网络与入侵检测技术 人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术，它是由大量简单的处理单元（神经元）进行高度互联而成的复杂网络系统。从本质上讲，人工神经网络实现的是一种从输入到输出的映射关系，其输出值由输入样本、神经元间的互联权值以及传递函数所决定。通过训练和学习过程来修改网络互联权值，神经网络就可以完成所需的输入-输出映射。 神经网络技术应用于入侵检测领域具有以下优势: ⑴ 神经网络具有概括和抽象能力，对不完整输入信息具有一定程度的容错处理能力。 ⑵ 神经网络具备高度的学习和自适应能力。 ⑶ 神经网络所独有的内在并行计算和存储特性。 对于神经网络技术在入侵检测中的应用，有人已经做了若干研究工作。 下面以Lippmann的检测算法为例说明神经网络技术在入侵检测中的应用情况。Lippmann的基本算法如图7-1所示。 首先，从所收集的网络数据包中构建网络会话数据矢量，即单个网络会话中双方实体之间所传输的所有数据负载内容。 图7-1 Lippmann基本算法流程 下一步就是根据选定的关键词表，在会话数据内容中搜索匹配各个关键字，并形成各自的统计计数值。然后，将各个关键字计数值并行排列起来形成输入特征矢量。此时，在输入到神经网络进行训练之前，还必须进行预处理工作。 在预处理工作完成后，输入特征矢量被送到神经网络模型中进行训练。训练完毕后的神经网络即可用于入侵检测目的。 Lippmann指出通过选取适当类型的关键词，加上简单的神经网络训练能力，能够较大地提高入侵检测的性能。特别地，Lippmann的工作指示该种检测方法对于训练样本集合中未出现过的新攻击类型，同样获得了较高的检测性能，体现出某种程度的攻击概括归纳能力。 目前，神经网络技术在入侵检测中的应用还存在以下缺陷和不足： ⑴ 需要解决神经网络对大容量入侵行为类型的学习能力问题。 ⑵ 需要解决神经网络的解释能力不足的问题。 ⑶ 执行速度问题。要解决这个问题，或许需要设计专门的神经网络计算芯片或者计算机。 7.3 数据挖掘与入侵检测技术 数据挖掘是所谓“数据库知识发现”（KDD）技术中的一个关键步骤，其提出的背景是解决日益增长的数据量与快速分析数据要求之间的矛盾问题，目标是采用各种特定的算法在海量数据中发现有用的可理解的数据模式。 KDD技术通常包括以下步骤： ① 理解应用背景。 首先要充分了解数据集合的特性，然后要明确知识发现的任务目标。 ② 数据准备。 包括创建进行知识发现的目标数据集合,消除数据集合中的噪声数据以及定义对应的变量集合等。 ③ 数据挖掘。 首先要确定对数据进行处理后最终需要获得的模型类型，例如分类模型、聚类模型或者摘要模型等，然后应用各种特定的算法生成对应的分类规则或者分类树结构、关联模式和常见序列模式等。 ④ 结果解析。 对产生的数据模式进行理解分析，还可以用不同的配置信息来重复以上步骤获取不同的数据模式，并进行对比分析，去除冗余和不重要的模式，并将最后的有用模式提交给用户。 ⑤ 使用所发现的知识。 包括将新发现的知识结合到已有的系统模块中，或者直接提交到其他感兴趣的相关实体。 从KDD的一般步骤来看，数据挖掘是其中最为关键的处理步骤。对数据挖掘的各类算法，已经进行了大量的研究工作，所涉及的技术领域知识包括统计学、机器学习、模式识别和数据库技术等。与入侵检测相关的算法类别主要包括下列3种类型。 （1） 分类算法 目标是将特定的数据项归入预先定义好的某个类别。常用的分类算法包括： RIPPER、C4.5、Nearest Neighbor等。 （2） 关联分析算法 用于确定数据记录中各个字段之间的联系。主流的关联分析算法有Apriori算法、AprioriTid算法等。 （3） 序列分析算法 发掘数据集中存在的序列模式，即不同数据记录间的相关性。常见的序列分析算法包括： ArpioriAll算法、DynamicSome算法和AprioriSome算法等。 Wenke Lee等人最早将数据