没有合适的资源?快使用搜索试试~ 我知道了~
资源详情
资源评论
资源推荐
Intrusion Detection
Scikit 决策树分类算法
彭兆卿
戴君义
倪令斌
Dastan
2016 年 12 月 1 日
1. 网络入侵检测概述
网络入侵检测的目的是防止计算机网络免受非授权用户的侵害。
运用机器学习的方法,网络入侵检测器通过学习,可以构建出预测模
型,它能够分辨出有害连接(入侵或者攻击)和正常连接。
一般来说,入侵被划分为四种主要类型:
1) DOS(denial-of-service): 请求拒绝,例如泛洪攻击。
2) R2L:远程机器的未授权接入,例如猜测密码 。
3) U2R:未授权接入本地超级用户特权,例如多种缓冲区的溢出攻击。
4) probing:监察或者其他监测,例如端口扫描 。
某些特征可以被用来分辨普通连接和入侵,比如:
same host:检查之前两秒内的连接和当前连接具有相同的目的主机,
并且计算和协议相关的行为、服务等等。
same service:仅仅去检查之前两秒内的连接和当前连接具有同样的
服务。
Same host 和 same service 同时被称为 time-based traffic
features of the connection records。
但是,某些 probing 攻击使用多于两秒的时间间隔扫描主机或端
口,例如每分钟一次。因此,连接记录也由目的主机进行排序,并且
feature 被 100 个连接到同一主机的窗口构造,而不是使用实时窗口。
这样就产生了被称为 host-based traffic features 的数据集。
不同于大多数 DOS 和 probing 入侵,在 R2L 和 U2R 入侵中似乎并
没有频繁出现的序列模式。这是因为 DOS 和 probing 入侵包含在很短
的时间段内和主机的许多联系,但是 R2L 和 U2R 入侵是嵌入在数据端
口和数据包中的,并且一般它们只包含一个连接。
2. Kdd99 数据集
KDD Cup 是由 SIGKDD 赞助的数据挖掘分析的比赛,每年举行一次,
Kdd99 是 1999 年比赛的关于入侵检测的数据集,不过现在学术界已
经抛弃了这个数据集,若要测试自己算法的有效性建议使用其他数据
集,我们只为初窥两种分类算法。
任务目的是检测网络连接,区分正常和非正常的连接。非正常的
连接大概有四大类: DOS、R2L、 U2R 和 probing,每一类下还有若干
小类别。
值得注意的是,训练集和测试集中的数据概率分布不同,测试集
比训练集多出了 14 种攻击小类别,官方解释是:这能够很好的模拟
真实情况,而且新的攻击类别一般为已知攻击类别的变形。因此算法
模型需要能很好的抓住每种攻击类别的 feature,数据集可以在官网
上获得。
3. 数据预处理
剩余19页未读,继续阅读
蒋寻
- 粉丝: 23
- 资源: 321
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0