我在入侵检测系统上搜索了很多,但现在我很困惑,因为现在我应该从哪里开始。我不知道是否存在任何开源的可重用代码,但我想用神经网络做入侵检测和防御系统。
从开发者的角度来看,我的问题是我应该从哪里开始。请在这个话题上指导我。此外,我目前正在工作和分析KDD CUP 1999数据集。寻找更多这样的数据集。
请告诉我,这将是最好的算法建设入侵检测系统。
感谢任何回复或阅读…请在这方面指导我。
我学的是同一个专业。入侵检测和机器学习。这是一个相当广泛的课题。我将从数据预处理和特征构建的角度回答更多的问题。神经网络部分则完全不同。
首先,这个领域是高度商业化的,因此几乎没有开源代码的例子。在封闭的生态系统中,很多事情都是商业化的。
从学术角度看:存在一个大数据集问题。DK99C (Darpa - KDD99数据集)存在,但它很旧。KDD99数据集是由DARPA tcpdumps构建的。他们使用bro IDS, tcpdump api来构建特征。从我的角度来看,从原始tcpdump中创建特征比在现成的特征上使用机器学习算法(神经网络)困难得多。
阅读这篇文章了解更多关于它(KDD99)是如何构造的
Article (Lee2000framework) Lee, W. & Stolfo, S. J.
A framework for constructing features and models for intrusion detection systems
ACM Trans. Inf. Syst. Secur., ACM, 2000, 3, 227-261
阅读这篇文章和它的演示,了解为什么这个主题是一个很难研究的问题。
Inproceedings (Sommer2010Outside) Sommer, R. & Paxson, V.
Outside the Closed World: On Using Machine Learning for Network Intrusion Detection
Proceedings of the 2010 IEEE Symposium on Security and Privacy, IEEE Computer Society, 2010, 305-316
阅读这篇文章,看看大多数学者是如何研究这个主题的。真有点让人失望。
Article (Tavallaee2010Toward) Tavallaee, M.; Stakhanova, N. & Ghorbani, A.
Toward Credible Evaluation of Anomaly-Based Intrusion-Detection Methods
Systems, Man, and Cybernetics, Part C: Applications and Reviews, IEEE Transactions on, 2010, 40, 516 -524
阅读为什么DK99C被认为是有害的。这是有害的,但没有其他可信的数据集存在。
Article (Brugger2007KDD) Brugger, S.
KDD Cup’99 dataset (Network Intrusion) considered harmful
KDnuggets newsletter, 2007, 7, 15
阅读IDS数据预处理分类学
Article (Davis2011Data) Davis, J. J. & Clark, A. J.
Data preprocessing for anomaly based network intrusion detection: A review
Computers & Security, 2011, 30, 353 - 375
大多数使用神经网络的入侵检测系统使用监督训练,即。当请求对主机进行某些更改时,系统会提示您提供意见。我建议您从找出钩子变更请求的方法开始。在窗口中,这可能涉及使用系统钩子来过滤应用程序请求的某些操作。这将允许你的应用选择提示你做出回应,这个回应将逐渐被输入到神经网络中。然后,这个数据集可以用来优化对某些模式的识别以及对这些模式的响应。显然,在构建这样的系统时需要考虑更多的事情,但根据我所说的,您应该有一个良好的开端。