基于机器学习的智能入侵检测系统.ppt

基于机器学习的智能入侵检测系统 姓名: 学号： 1 2 目录 入侵检测系统简介 机器学习核心算法 3 基于机器学习的智能入侵检测系统 1 入侵检测系统简介 入侵检测系统 ( Intrusion Detection System, IDS) 指入侵检测过程中所需要配置的各种软硬件的组合, 它通过对信息系统的运行状态进行实时监测, 发现各种攻击企图、 攻击行为或攻击结果并作出响 应, 以保证系统资源的机密性、完整性和可用性。它的主要功能有: 监控、分析用户 和系统的活动; 检查系统的配置和漏洞; 评估系统关键资源和数据的完整性; 识别已知的攻击行为、统计分析异常行为; 对操作系统进行日志 管理; 识别违反安全策略的用户活动; 响应入侵事件等 。 1 入侵检测系统简介 图 1 通用入侵检测系统 配置系统库 攻击模式库 入侵检测器 响应措施 数据采集 安全控制器 系统（工作站、服务器、防护 墙、网段等） 审计记录 协议数据 系统 操作 报警 数据采集模块: 为入侵分析引擎提原 始数据 (如操作系统的审计日志应用程序的运行日志和网络数据包等 )。 入侵分析引擎: 对数据进行分析, 判断是否属于入侵行为并作出响应。 应急处理模块: 发生入侵后启用紧急措施 (如 关闭网络服务、中断网络连接、启动备份系统等 )。 管理配置模块: 为其他模块提供配置服务, 是入侵检测系统与用户的接口。 2 机器学习的核心算法 机器学习算法有很多, 本文从应用的角度出发, 主要介绍近邻法 、k - 近邻法。近邻法是机器学习分类算法中比较常用的一种方法; k - 近邻法是基于统计的分类方法, 是非参数分类的 一种重要方法 ， 这两种方法是本文提出的智能入侵检测系统的核心算法。 2.1 近邻法 假设有 c个类别 的模式识别 问题, 每类有标明的样本 Ni个, i = 1, 2,...c。 定义 类判别函数为: 其中, 的角标 i表示 类, k表示 类 Ni个样本中的第 k 个。 式 表示 x 与 的欧氏距离, 取欧氏距离为: 决策规则为: 对于未知样本 x, 只要比较 x 与 个已知类别的样本之间的欧氏距离, 就可判定 x 与离它最近的 样本同类。 (1) (2) (3) 对于处于参考样本描述空间边缘或处于两个参考样本描述空间之间的待检样本 , 若直接用欧氏距离判定其属性 , 则检测结果存在一定偶然性, 因此 , 引 入 k - 近邻法来提高检测的准确性。 2.1 近邻法 2.2 K-近邻法 k - 近邻法就是取未知样本 x 的 k个近邻, 并逐一测试这 k 个近邻中的多数属于哪一类, 就把 x归为哪一类。具体为: 假设这 N 个样本中, 来自 类的实例有 个,来自 类的样本有 个, ..., 来自 类的样本有 个,若 分别是 k 个近邻中属于 类的样本数, 定义判别函数为: 入侵检测时, 对于一个未知样本 x, 计算它与两个样本集 (正常 /异常行为样本集 ) 中所有样本的欧氏距离,提取距它 最近的 k 个, 假如 其中 有 个属 正常行为样本, 个属 异常行为样本, 若 , 则该对象行为正常, 反之, 则异常。为避免 的情况出现, k需取奇数。 决策规则为: (4) (5) 3 基于模式识别的智能入侵检测系统 根据入侵检测的基本原理, 结合机器学习的技术和思想, 设计了基于机器学习的智能入侵检测系统。 其机制是: 采用近邻法进行一次检测; 若无法得到理想的结果, 则改用 k - 近邻法进行二次检测。 在保证检测准确率的基础上, 使系统具有一定的检测未知入侵的能力。 3 .1系统模型设计 本系统采用 模块化设计, 主要包括数据采集模块,特征提取模块, 规则处理模块, 分析检测模块和异常响应模块等。如图 3所示。 各模块的功能如下: 数据采集模块: 实时采集网 络原 始数据, 并按不同的协议进行解码, 再对解码后的信息进行分片重组、流重组及代码转换等处理, 还原数据包的 原始含义和数据包之间的关系。 特征提取模块: 对数据采集模块采集到的数据进行特征选择, 然后对信息进行向量化, 生成待检测样本。 规则处理模块: 进行规则集的向 量化和 聚类工作。首先按条读入规则, 对每条规则进行向量化处理, 得到一个规