以资料探勘技术改善国军网路入侵侦测效能之研究.pptVIP

以資料探勘技術改善國軍網路入侵偵測效能之研究 國立政治大學資管系，吳文進。 復興崗學報。民97，92，177-212。 授課教師：陳健忠 老師 報告學生：郭旻東 * 大綱 緒論 文獻探討 研究內容 實驗模擬與結果 結論 * 緒論 * 資通安全現況 網路攻擊隨科技進步而翻新 自動化 遠端遙控 全球化散播 攻擊者資訊難以掌握 國軍網路戰備 量小、質精、戰力強 資訊化、自動化 保護－偵測－反應－復原 * IDS(INTRUSION DETECTION SYSTEM)發展 始於1980年，至今仍未成熟 分析資料來源區分 網路型IDS 主機型IDS 分析技術區分 誤用偵測 異常偵測 IDS面臨之問題 偵測正確率 效能 流量及頻寬 * 文獻探討 * IDS 入侵偵測 未經授權之存取或活動 針對這些活動的確認程序 誤判率衡量 誤報(false positive) 判錯(false negative) * IDS分類概要 * 類 別 種類 監控目標及方式 以資料來源區分 網路型 IDS 監控網路封包 主機型 IDS 監控主機系統內部活動紀錄 應用程式 IDS 監控應用程式所產生的紀錄檔 目標式 IDS 監控特殊或機密的檔案資料 混合型 IDS 結合網路封包及主機系統活動紀錄之監控 以分析方法區分 誤用偵測 採負面列舉，符合所比對規則即判定入侵 異常偵測 採正面列舉，不符合行為輪廓即視為異常 混合式偵測 結合兩種分析方法使優缺點互補 IDS發展與優缺點 演進 單純規則基礎 模糊理論 基因演算法 隱藏式馬可夫鏈 貝氏演算法 類神經網路 支援向量機 網路流量影響校能 掉包(drop packet) * SNORT IDS 網路型規則基礎(rule-based)IDS最具代表性之產品 跨平台能力 統一不同類型封包格式 開源碼 組成元件 封包監聽(sniffer) 前置處理器(preprocessor) 偵測引擎(detection engine) 示警(alert) * 資料探勘技術 將資料中隱藏的資訊挖掘出來 有用的特徵(Patterns) 關聯性(Relationships) 傳統使用統計分析方法 IDS目前普遍之方法 約略集合理論(Rough Set Theory) 支持向量機(Support Vector Machines) 類神經網路(Artificial Neural Network) * 約略集合理論 用於數字類型資料之探勘 擷取大型資料庫中不精確、不確定與模糊的法則 屬性化簡 去除多餘屬性，保留必要屬性 降低複雜度 決策表 由條件屬性與決策屬性構成 產生決策規則做為決策依據 * 支持向量機 運用廣，極適合處理分類問題 * 類神經網路 模仿人類神經元運作 藉由學習產生推論 適合解決複雜問題 無法解釋產生結果 無法保證結果最佳 主要分類 監督式學習網路 非監督式學習網路 聯想式監督式學習網路 最適化學習網路 * 倒傳遞類神經網路 利用最陡坡降法將誤差予以最小化 每輸入一個訓練範例，即小幅調整各連結加權值大小 改進 增加隱藏層 可表現輸入處理單元間的交互影響 可微分的轉換函數 可應用最坡陡降法 層 輸入層 隱藏層 輸出層 * IDS封包前置處理器 偵測演算法 組合各種演算法，先行過濾或分類封包 規則管理 針對規則或關聯法則效能最佳化 網路流量 利用網路負載平衡做分散式處理 * 研究內容 * 研究架構 * 實驗設計 KDD-Cup’99資料集 入侵偵測資料集 相關研究廣為使用 資料類別 正常(19.3%) 異常取得權限(0.01%) 遠端攻擊(0.23%) 阻斷攻擊(79.5%) 偵測或掃描(0.83%) 實驗環境 約略集合理論－Rough Set Exploration System ver 2.2.1 支援向量機－LibSVM 2.8 類神經網路－Qnet V2K build 721 * 實驗模擬與結果 * 實驗模擬 * 績效評量及結果 衡量指標 偵測時間 偵測正確率 * 實驗結果 使用方法 執行時間 正確率 支持向量機 1m25s9 45,097/50,000, 90.194% FP=12.03% ; FN=0.6% 類神經網路 1s2 463,52/50,000, 92.704% FP=8.79%, FN=1.1% 約略集合理論 2m18s8 46,433/50,000, 92.867% FP=0.181% ; FN=26.2% Snort 表頭比對 114m11s 39,463/50,000=78.926% FP=0.129% ; FN=13.394% 結論 * 結論 耗用時間排名： 倒傳遞類神經網路(1.2s) 支持向量機(1m25.9