入侵检测系统概述

参考文献：（1）Shallow and Deep Networks Intrusion Detection System- A Taxonomy and Su实现人生价值r天上人间夜总会vey （2）网络入侵检测技术综述

IDS的分类：

按照数据源可分为基于主机的入侵检重睑测系统HIDS和基于网络的入侵检测系统NIDS。HIDS是安装在主机上的基于软件的产品，可以分析和监视系统应用程序文件和操作系统上的所有流量，HIDS的优点是能在发送和接收数据之前扫描流量来检测内部威胁，缺点是必须将其安装在每个主机上。HIDS在位于网络的某个节点，可捕获和分析通过网络链路的数据包流量，它的优点是可以使用单个系统监视整个网络，缺点是它容易受到来自网络的入侵。

按照检测方法可分为基于异常的检测和基于签名的检测。基于签名的 IDS(Misuse-based Intrusion Detection System, MIDS)也称为基于误用的入冉庄地道战遗址侵检测, 是将传入的网络流量与已有签名进行匹配, 一旦命中即发出告警信息来预示异常行为。MIDS 为每种攻击设计一个签名, 检测准确率较高，但不能检测未知攻击形式，现有的 MIDS 包含如下三种方法:（1）状态建模: 是指将攻击编码为有限自动机中的许多不同状态（2）字符串匹配: 通过字符串模式匹配的方式查找攻击签名, 从而判断是否存在入侵行为。（3）专家系统: 是根据一套用于描述系统已知的攻击情形的规则对审计数据进行分类。具体包括首先从训练数据中识别出不同的属性和类别。然后, 推导出一组分类规则或者程序。最后, 对审计数据进行分类。

基于异常的 IDS(Anomaly-based Intr英语新闻网站usio猫鼻支n Detec-tion System, AIDS)是对系统异常的行为进行检测, 当检测行为与正常行为偏离较大时, 发出告警信息。AIDS又可分为基于统计的、基于基于传统机器学习的、基于深度学习的和基于强化学习的花镜设计入侵检测系统。

1、基于传统机器学习的IDS

入侵检测可以看作是一个分类问题, 即对主机数据和网络中流量数据进行二分类或多分类的判断苹果id登陆, 监督机器学习技术能够有效地对数据进行类别划分, 因此被广泛用于入侵检测领域。基于监督机器学习 技术的入侵检测优点是能够充分利用先验知识, 明 确地对未知样本数据进行分类。缺点是训练数据的 选取评估和类别标注需要花费大量的人力和时间。 其中, 监督机器学习技术包含了生成方法和判别方 法, 生成方法在入侵检测中的优点总结如下: 1)在数 据不完整的情况下,仍能检测异常。例如朴素贝叶斯 方法, 在数据较少的情况下, 仍然能够较好地对未 知数据进行分类。2)可以学习存在隐变量的模型。例 如贝叶斯网络, 对于不确定性问题具有强大的推理 能力且鲁棒镜片价格性较好。3)收敛速度快, 即当样本数据较 多时, 可以更快地收敛于真实模型。例如隐马尔可夫 模型, 能够有效处理入侵检测领域中的序列相关问 题, 且模型收敛速度快。但是生成模型在入侵检测中 也苏州大学艺术学院存在一些缺陷, 虽然生成方法能够为入侵检测提 供很多信息, 但是也需要更多的计算资源, 仅用于 分类任务时, 存在较多冗余信息, 且其学习和计算 过学英语的网站程较复杂。判别方法在入侵检测中的优点总结如 下: 1)直接面对预测问题, 准确率更高。例初级经济师真题如 KNN 算 法, 不需要对参数进行估计, 能够直接对多种攻击 类型进行较好的预测。2)可以对输入数据进行各种程 度的抽象, 从而简化学习问题。例如决策树方法和 SVM 方法, 决策树模型能够构造易于理解的规则, 在短时间内对大规模高维网络数据进行较好的处理, 基于结构风险最小化的 SVM 方法也能马嵬驿够较好地处理 高维非线性数据。3)对于分类任务, 冗余信息少, 节 省计算资源。例如逻辑回归模型, 具有简单高效的计 算能力, 且计算速度快, 适合并行处理数据。但是判 别方法在入侵检测中也存在一些缺点, 判别方法难 以反映数据本身的特性芥花油, 且数据缺失或异常值对预 测结果影响较大。

此类IDS的思路：数据预处理（归一化处理、符号特征转为数值特征）-->平面构成点线面特征提取-->算法应用，使用训练数据训练模型。

2、基于深度学习的IDS

传统的机器学习方法通常需要人工选取特征,而深度学习方法学习的是样本数据的内在规律和表示层次，生成模型包括深郑州中招度自动编码器、深度玻尔兹曼机、深度信念网络、循环神经网络。自动编码器AE由编码器和生成重构的解码器组成, 包含输入层、编码层、解码层。深度自动编码器(Deep Auto-Encoder, DAE)相对于AE 而言, 增加了隐藏层深度, 学习到的特征表示 的层次更高；深度玻尔兹曼机(Deep Boltzmann Machine, DBM)由多层受限玻尔兹曼机叠加, 是一个完全无向的模型，能够从大量无标签数据中学习出高阶特征, 鲁棒性较好。深度信念网络(Deep Belief Network, DBN)是一种由若干层RBM 和一层BP组成的有向深层神经网络, 通过隐层提取特征使得后面层次的训练数据更具有代表性, 还可以解决复杂高维数据的检测问题。循环神经网络 (Recurrent Neural Network,RNN)是一类黑枕黄鹂以序列数据为输入, 在序列演进方向进行递归的神经网络, 具有挖掘数据中的时序信息和语义信息的深度表达能力。判断模型包括卷积神经网络，是一种包含了卷积计算且具有深度结构的前馈神经网络, 能够更准确且高效地提取特征。可以将采用PCA、AE等降维方法去除流量中的冗余特通缩征，什么笔记本电脑好再使用CNN提取体征，将流量转化成图像。生成对抗网络也是zmk一种无监督方法，通过生成模型和判别模型的相互博弈产生输出，可以解决数据类型不平衡的问题。