摘要: 入侵检测系统按照其采用的技术可以分为基于异常的入侵检测系统和基于误用的入侵检测系统。异常检测是目前入侵检测领域中非常活跃的一个方向。作为一种网络测量手段，对于分组报头的信息统计在很多网络管理任务中扮演着重要的角色。将网络分组中报头... 展开 入侵检测系统按照其采用的技术可以分为基于异常的入侵检测系统和基于误用的入侵检测系统。异常检测是目前入侵检测领域中非常活跃的一个方向。作为一种网络测量手段，对于分组报头的信息统计在很多网络管理任务中扮演着重要的角色。将网络分组中报头的信息按不同方式汇聚起来，可以有效地构成网络流量属性的度量。从中提取特定的子集在理论上可用以刻画网络流量中的攻击行为特征。如果这些度量在无攻击情况下能够表现出相对的稳定性，而在发生攻击时相对敏感，则可用于判断攻击的发生。在所得到的备选度量中，利用主成份分析和信息增益对冗余特征进行删减，能够使得判断攻击时需要的开销降低，增加实时性。基于机器学习的分类器是判断攻击导致的异常的有效手段。根据所选取的度量指标设计了三种分类器：支持向量机分类器、基于BP训练算法的神经网络分类器、基于PSO训练算法的神经网络分类器。并利用MIT Lincoln Labs专门用于测试IDS有效性的DARPA测试数据集，模拟攻击，对上述分类器进行了测试。在得到充分训练后，分类器的异常判断准确率都达到97%以上。通过分析测试结果得出了网络聚合行为度量在检测异常流量方面的有效性。同时，实验结果也验证了删除分类器冗余输入可以保证正确率。 收起