没有合适的资源?快使用搜索试试~ 我知道了~
基于HTTP服务的入侵检测系统
埃及信息学杂志(2014年)15,13开罗大学埃及信息学杂志www.elsevier.com/locate/eijwww.sciencedirect.com原创文章一种基于HTTP服务的入侵检测系统Mohamed M. Abd-Eldayem*埃及开罗大学计算机和信息学院信息技术系沙特阿拉伯沙特国王大学计算机与信息科学学院CEN系接收日期:2013年10月9日;修订日期:2014年1月1日;接受日期:2014年1月6日2014年1月30日在线提供摘要基于Web的应用程序的巨大增长增加了Internet上的信息安全漏洞。安全管理员使用入侵检测系统(IDS)来监控网络流量和主机活动,以检测针对主机和网络资源的攻击在这是一个基于N个类的入侵检测系统。该目标是通过准备训练数据集来增强IDS性能,从而允许检测利用http服务的恶意连接。应用结果进行了演示和讨论。 在预操作ID S的训练阶段,使用了一种基于朴素贝叶斯分类器的自动搜索技术,该技术识别可用于检测HTTP攻击的最重要HTTP流量特征。 在测试和运行阶段,提出的IDS根据请求的服务对网络流量进行分类,并基于选择性的朴素贝叶斯算法,分析基于HTTP服务的网络流量,识别HTTP正常连接和攻击。使用NSL-KDD数据集对入侵检测系统的性能进行了测试 实验结果表明,该入侵检测系统的检测率约为99%,误报率约为1%,漏报率约为0.25%,与其他入侵检测系统相比,具有最高的检测率和最低的误报率。 另外,基于N个缓冲区的入侵检测系统可以将网络连接分为正常连接和攻击连接。它具有较高的检测率和较低的虚警率。©2014制作和主办由Elsevier B.V.代表计算机与信息学院开罗大学。1. 介绍*地址:沙特阿拉伯沙特国王大学计算机和信息科学学院CEN系。联系电话:+966 592626083;传真:+966 014676990。电子邮件地址:mdayem@gmail.com开罗大学计算机和信息系负责同行审查。如今,大多数大学、组织和公司通过计算机网络和互联网技术提供服务;因此,他们的大多数任务都是使用基于Web的应用程序来完成的。然而,攻击者可以利用互联网闯入本地网络以获取机密信息或危及网络资源。防火墙、防病毒软件和入侵检测系统(IDS)等安全工具用于保护网络和阻止黑客。IDS用于监控网络流量以检测入侵者1110-8665© 2014由Elsevier B. V.代表开罗大学计算机与信息学院制作和主办。http://dx.doi.org/10.1016/j.eij.2014.01.001制作和主办:Elsevier关键词计算机安全;网络安全;入侵检测系统;朴素贝叶斯分类器14点阿卜杜勒-埃尔达耶姆一种将网络事件分类为正常或攻击的方法。贝叶斯分类器是IDS中使用的统计方法的一个例子。在训练阶段,它计算每个正常和攻击类的条件概率。它使用一个训练数据集,分为攻击类和正常类。在测试和运行阶段,分类器使用这些概率来提取不同类别的属性概率;因此,未知网络流量可以被分类为假设最大值的类别[1,2]。这意味着正在运行的网络流量将被归类为正常或攻击事件。本文提出了一种基于朴素贝叶斯分类器的入侵检测系统,并通过实际实验对其性能进行了测试。本文的结构安排如下:第二部分总结了主要入侵检测系统的思想。第3节描述了拟议的IDS。第4节描述了这些入侵检测系统的实现、讨论和实验结果,第5节总结了结论和未来的工作。2. 相关作品图1IDS模型。网络事件。由于统计方法是一种依赖于概率的分析方法,被认为是处理不确定数据的主要工具,因此在入侵检测系统中得到了广泛的应用。这些方法中的许多都是用来增强IDS性能的,它们提供了更好在[3]中提出了异常检测IDS,它结合了k-均值,K-最近邻分类器和朴素贝叶斯分类器。该算法首先利用基于熵的算法选择重要特征,然后在聚类阶段应用k-Means算法。 它不仅能够检测到攻击,而且可以将它们分为四种类型:DOS,U2R,R2L和探针。该系统可以实现98.18%的检测率和0.83%的假阳性率;但是,由于它执行k-Means,K-nearest neighbor classifier和Naive Bayes classifier,因此可能会增加处理时间。此外,对粘着类型的分类准确率为92%~ 98%.在文献[4]中提出了一种基于Shiryaev-Roberts过程 的 基 于 分 数 的 多 周 期 检 测 算 法 与 同 类 方 法 相 比 ,Shiryaev-Roberts目标表1KDD数据集中记录的特征列表指数特征指数特征1持续时间22是_访客_登录2协议类型23计数3服务24srv_count4布拉格25误码率5src字节26srv_sererror_rate6dst字节27误差率7土地28srv错误率8错误片段29相同srv速率9紧急30价格_服务_费率10热31srv_di主机速率11登录失败次数32dst_host_count12登录33dst_host_srv_count13数量受损34dst_host_same_srv_rate14根壳35dst_host_di_srv_rate15su_attempted36dst_host_same_src_port_rate16num_root37dst_host_srv_di主机速率17num_file_creations38dst_host_error_rate18num_shells39dst_host_srv_sererror_rate19num_access_files40dst_host_error_rate20num_outbound_cmds41dst_host_srv_error_rate21登录/注册表2特征2的可解释性。一种基于IDS15表627个特征的朴素贝叶斯分类器的结果。特征2指数发病率(%)正常(%)ICMP1攻击63.0436.96TCP2正常6.6493.36UDP3表3特征3的可解释性。特征3指数特征3指数特征3指数AOL1http_800125红i49auth2IMAP426远程作业50BGP3IRC27rje51快递4iso_tsap28壳52csnet_ns5科隆29SMTP53CTF6克谢尔30SQL_NET54白天7LDAP31SSH55丢弃8链路32sunrpc56域9登录33苏杜普57domain_u10MTP34Systat58回波11名称35telnet59生态i12netbios_dgm36tftp_u60ecr_i13netbios_ns37tim_i61EFS14netbios_ssn38时间62exec15netstat39urh_i63芬格16国家新闻社40urp_i64FTP17NNTP41UUCP65ftp_data18ntp_u42uucp路径66Gopher19其他43VMNET67收获20pm转储44WHOIS68主机名21pop_245X1169http22pop_346Z39_5070联系我们23打印机47联系我们24私人48图2第一个提出的IDS。表5 30个特征的朴素贝叶斯分类器的结果。攻击正常攻击TP= 63.34%FN= 36.66%正常FN= 6.48%TN= 93.52%该建议的ID的目的是在攻击发生时立即识别攻击,以最大限度地减少检测延迟;然而,它增加了虚警率;因此,它需要额外的滤波技术具有高检测精度,这可能会增加处理延迟。基于树的IDS分类算法在[5]中进行了评估。与其他IDS的比较;实验结果表明,随机树模型的检测准确率可达97.49%,误检率约为2.5%。然而,这些准确性和检测率仍然需要提高。基于Snort和贝叶斯定理集成的IDS被提出在云环境中实现[6]。在该IDS中,从网络捕获数据包,然后Snort使用基于签名的检测技术检查这些捕获的数据包;可疑数据包存储在日志数据库中;其他数据包再次检查,基于贝叶斯分类器识别入侵数据包和正常数据包的行为。入侵数据包被记录在警报数据库中,而正常数据包作为合法数据包被允许进入系统。该入侵检测系统达到了96%的检测率和1.5%的误报率。由于它使用两个连续的滤波技术,可能会导致处理开销,从而增加延迟,但是,在我看来,可以通过使用并行编程并行执行两种滤波技术来减少延迟。表4特征4的可解释性。特征4索引OTH1REJ2RSTO3RSTOS04RSTR5S06S17S28S39SF10SH1116M.M. 阿卜杜勒-埃尔达耶姆朴素贝叶斯(NB)分类器用于基于异常的IDS [7];它被提议使用边界网关协议(BGP)的路由信息库(RIB)来检测对互联网的新入侵。测试了各种特征选择算法以用于训练分类器。这些算法是:Fisher[8,9],最小冗余最大相关性[10],扩展/加权/多类比值比和类判别测度[11]。实验结果表明,加权优势比算法是基于F值的最佳特征选择算法。然而,如果NB分类器基于多类比值比特征选择算法进行训练,则它们实现了最佳检测准确率(68.7%)。在我看来,这个入侵检测系统的准确性很低,这是因为它依赖于有限的信息(RIB)来选择用于检测新入侵的特征。文献[12]提出了一种基于数据挖掘技术的入侵检测系统,它由四个主要模块组成:k-means聚类、神经模糊训练、SVM训练向量和径向SVM分类模块。利用K-means聚类技术将输入数据集分成5个类,其中1个类属于正常行为,另外4个类属于4种入侵类型。神经模糊分类器与每个聚类相关联,并使用相应聚类的数据进行训练。SVM训练向量用于减少输入数据集属性的数量。这项任务简化了分类过程,使其更加有效。然后将属性约简后的数据集用于径向支持向量机中进行入侵检测.这项技术的准确性大约是97.5%,这是一个相对较好的准确度水平。的3. 建议的IDSIDS模型如图所示。 1、它包括三个阶段:训练、测试和运行阶段。训练阶段是入侵检测系统的一个阶段,它使用训练数据集来训练入侵检测系统识别正常连接和检测被攻击的连接,训练数据集必须包含足够的正常连接和攻击的信息。测试阶段是入侵检测阶段,在此阶段,将包含正常连接和攻击的测试数据集送入IDS;测量IDS的性能;高的IDS性能表明检测正常连接和攻击的准确性高如果IDS的性能水平不被接受,那么IDS必须被增强,并且再次执行训练和测试阶段。重复IDS增强、训练和测试的顺序,直到达到可接受的IDS性能。通过测试阶段后,IDS就可以用于保护实时网络流量,这就是运行阶段。在此阶段,可能需要增强IDS以准确检测新类型的攻击;因此,从训练阶段开始重复前面的步骤。3.1. 朴素贝叶斯分类器最近有许多入侵检测系统的研究利用贝叶斯理论(方程。(1))将网络流量分类为正常或攻击事件[1,2]。PC XPXCjPCj;J如果并行处理群集,则可以减少延迟PX编程.IFF P<$Cj X<$>P<$Ci X<$;1≤i≤m;i图3第二个建议的IDS。一种基于HTTP服务的入侵检测系统17G哪里C类j2给定m个类的集合fC1;C2;C3;..... .... ... C m,X是未知数据样本,P(X)对于每一个类别都是常数。只确定P(X)的分子项是足够的,因为对于每个' X '都是常数(2)将未知X的样本分配给类Cj。P Cj X P X Cj P Cj;IFF P<$Cj X<$>P<$Ci X<$;1≤i≤m;i为了在IDS中应用朴素贝叶斯分类器;先验概率P(Cj)可以使用等式中的训练数据集来确定。并且如果样本具有许多属性,则可以使用等式(3)确定P(Cj)。(4)[2]。P Cj Sj= S3其中Sj是类Cj中的训练样本大小,S是训练样本的总数。PACjPA1CjPA2CjPAk Cj.............................................ð4Þ其中A是属性集合{A1,A2,,Ak},在IDSA是表征网络流量的特征集的值。当量(5)用于对测试数据集中或在线流量中的记录A进行记录A2 CjIFFP ACjPCj>PA CiPCi;1≤i≤k;i当量(5)如果A属于Cj的概率是最大概率,则将记录A(一个网络连接)分配给类别Cj。网络连接可以被分类为正常或攻击事件,在这种情况下,只有两类:C1和C2类,IDS可以将连接分类为正常或攻击连接,而无需识别攻击类型。此外,分类过程可能会产生几个类,一个类用于正常连接,一个类用于每种攻击类型;因此,IDS可以识别攻击类型。3.2. 基于朴素贝叶斯分类器的所提出的IDS使用朴素贝叶斯方程(Eq. (5))。根据网络流量的特征将其分类为正常连接或攻击连接。许多IDS研究人员使用NSL- KDD数据集[13]或KDDNSL-KDD数据集是KDD'99数据集的改进版本,它比KDD'99数据集更简单, 在Wintel平台上,NSL-KDD数据集更容易使用,因此,NSL-KDD数据集被用来训练和测试所提出的IDS。NSL-KDD和KDD'99数据集都在训练阶段,IDS读取NSL-KDD训练数据集,然后根据数据记录的特征,应用朴素贝叶斯方程将其分类实际上,一些特征由于在类方差中不是正的而被拒绝;因此,它们被从数据集中移除。Naive Bayes分类器使用减少的训练数据集进行另一次训练,随后再次使用训练数据集测量分类器的性能。如果存在任何错误警报,则随后从训练数据集中移除引起该警报的记录,并且重新训练IDS并测量IDS性能,重复这些步骤直到性能达到100%,之后训练阶段结束,并且IDS开始测试阶段。训练阶段的目标是从训练数据集中选择通过概率分布准确分类的记录。这是为了提高IDS识别正常连接和攻击的准确性。在测试阶段,使用NSL-KDD测试数据集来衡量使用朴素贝叶斯分类器的准确性。在第4节中,实际结果表明,使用所提出的IDS,朴素贝叶斯分类器的3.3. 基于HTTP服务的入侵检测系统所提出的基于HTTP的IDS如图所示。 3、训练和测试数据集都是通过分类过程准备的。在这个过程中,只选择HTTP流量;结果数据集由38个特征组成,特征2、3和4基于文本的特征被删除,如表1所示,这些特征是协议、服务和标记。所有HTTP流量的记录都具有相同的协议(TCP)和相同的服务(HTTP),此外,受攻击的HTTP流量基于攻击类型(例如:Neptune或Back攻击)进行分类。分类过程的目标是创建描述每种类型HTTP攻击的最佳概率分布;攻击的行为在不同攻击之间是不同的;因此,可以通过指定与其他攻击的概率分布不同的概率分布来描述每种攻击类型朴素贝叶斯分类器使用测试和训练数据集将流量记录分类为正常连接或攻击,并识别攻击类型实际上,一些特征被拒绝,因为它们在类方差中不是正的;因此,它们被从数据集中删除测量分类器的性能;从训练和测试数据集中删除一个特征;另一次测量分类器性能,如果性能降低,则将删除的特征再次添加到数据集中,否则删除另一个特征并测量其对性能的重复前面的步骤,直到检查所有特征对分类器性能的影响最后,建议的IDS识别最重要的功能,可以用来准确地检测HTTP攻击。如第4节所示,13个特征是最重要的特征,使朴素贝叶斯分类器的性能约为99%。4. 该入侵检测系统的实现和实验结果NSL-KDD 数 据 集 [13] 用 于 测 量 所 提 出 的 IDS 的 性 能 。NSL_KDD数据集包括41个网络连接特征,这些特征如表1所示,在本研究中,基于朴素贝叶斯的入侵检测系统的性能进行了测量。利用NSL-KDD数据集实现了朴素贝叶斯入侵检测系统的Matlab程序所有的特征都必须有一个数值才能在朴素贝叶斯分类器中实现;但是,特征2、3和4是属性值;因此,它们必须在执行IDS之前转换为数值,如查找表218M.M. 阿卜杜勒-埃尔达耶姆朴素贝叶斯分类器使用KDD-Train作为训练文件,KDD-Test作为测试文件。在IDS执行过程中,错误消息表明特征:7、8、9、11、15、16、17、18、20、21和22被拒绝,因为它们在类方差中不是正的;因此,这些特征被删除,特征的数量减少到30。实验结果(混淆矩阵)见表5。如表5所示,IDS的性能为63.34%正常流量检测率为93.52%,误报率为36.66%,漏报率为6.48%。为了测量属性特征的效果(2, 3和4)它们被排除在KDD测试数据之外;因此,特征的数量减少到27。27个特征的实验结果如表5和表6所示,没有显著差异- 在排除属性特征之前和之后的IDS性能之间的差异;因此,在下面实验中,只有27个功能进行了测试。4.1. 第一个提出的IDS如表6所示,检测性能较低,为了提高检测性能,建议在训练阶段实现100%的检测率;这意味着训练数据必须适合于创建可以使用的在将其应用于测试数据之前,检测训练数据中的所有入侵。如图2所示,该目标可以通过应用两个步骤来实现:对作为训练数据和测试数据的训练数据执行IDS,识别导致错误警报的连接以将其从训练数据中移除,并且重复这些步骤直到没有错误警报生成。表7和图4显示了第一个建议IDS执行过程中每个步骤的结果。步骤0表示使用完整的训练数据集KDD-Train 20%(25,192条记录)作为训练和测试数据集的结果。有大约12.9%的假阴性报警和9.6%的假阳性报警。从数据集中删除导致这些报警的记录;因此,数据集将减少到包括22,328条记录,然后重复测试(步骤1)。在步骤1、提高了检出率,假阴性率为0.13%,假阳性率为99.64%。重复测试,直到真阳性率和真阴性率达到100%,如步骤9所示。训练阶段结束,测试阶段开始; KDD-Train作为训练数据集,KDD-Test作为测试数据集,结果如表7步骤10所示。假阴性率为24%,假阳性率为4.61%。如表6所示,在应用所提出的修改之前,假阴性率约为37%,而假阳性率约为6.64%。显然,假阴性和假阳性率表7第 一个提出的IDS的实验结果。步骤攻击记录数量正常记录总数真阳性(%)假 阴性(%)真阴性(%)假阳性(%)11,743 13,449 25,192 90.3712.8987.119.631 10,612 11,716 22,328 99.870.1399.640.36210,533 11,529 22,062 99.880.1299.870.133 10,520 11,514 22,034 99.910.0999.950.0510,511 11,508 22,019 99.930.0799.920.085 10,504 11,499 22,003 99.910.0999.970.0310,495 21,990 99.940.0699.970.0310,489 11,491 21,980 99.980.02100.000.0010,487 11,491 21,978 99.990.01100.000.009 10,486 11,491 21,977 一百0.00100.000.0010 12,833 9711 22,544 75.9424.0695.394.61图4第一个IDS的实验结果。一种基于HTTP服务的入侵检测系统19表8基于HTTP的IDS实验结果。步骤特点攻击 正常共计假真假评论或阳性(%)阴性(%)阴性(%)阳性(%)错误消息038 1471 19,634 21,105–––类内方差特征4、5、6、8、12、13、14、15、17、18和19岁攻击不是积极的。127 1471 19,634 21,105 1000.0098.251.75除去上面的特征227 1471 19,290 20,761 1000.0098.241.78327 1471 18,951 20,422–––类内方差第15和16节课正常的都不是积极的。425 1471 18,951 20,422 1000.0098.221.78除去上面的特征525 1471 18,613 20,084 1000.0098.511.49625 1471 18,335 19,806 1000.0099.130.87725 1471 18,176 19,647 1000.0099.270.73825 1471 18,043 19,514 1000.0099.120.88925 1471 17,738 19,209 1000.0099.500.501025 1471 17,650 19,121 1000.0099.490.511125 1471 17,560 19,031–––类内方差第11和12节课正常的都不是积极的。1223 1471 17,560 19,031 1000.0099.380.62除去上面的特征1323 1471 17,452 18,923 1000.0099.890.111423 1471 17,433 18,904–––类内方差第8、16和17节课正常的都不是积极的。1520 1471 17,433 18,904 九十九点五二0.4899.830.17除去上面的特征1620 1464 17,404 18,868 1000.0099.910.091720 1464 17,388 18,852 1000.0099.800.201820 1464 17,340 18,804 1000.0099.920.081920 1464 17,338 18,802 1000.0099.990.012020 1464 17,338 18,802 1000.001000.00培训阶段2120 6673 1180 7853 97.632.3797.462.54测试阶段图5基于HTTP的IDS实验结果。降低然而,建议的IDS提高了检测率,但需要更多的增强。在下面的部分中,提出了增强IDS性能的其他解决方案。4.2. 第二种IDS(HTTP Based IDS)为了提高IDS的性能,如第3节所述,建议将IDS应用于单独的每个服务。在这20M.M. 阿卜杜勒-埃尔达耶姆表9基 于 HTTP的IDS支持27和20个特性。特征真阳性(%)假阴性(%)真阴性(%)假阳性(%)评论2798.191.8197.632.37所有数据记录2796.903.1098.641.36无故障数据记录2099.040.9695.684.32所有数据记录2097.632.3797.462.54无故障数据记录图6 27和20特性的基于HTTP的IDS。表10Neptune攻击的基于HTTP的IDS实验结果。功能数量真阳性(%)假阴性(%)真阴性(%)假阳性(%)培训阶段19特征100.000.0099.200.8018100.000.0099.210.7917100.000.0099.220.7816100.000.0099.280.7215100.000.0099.310.6914100.000.0099.210.7913100.000.0099.250.7512100.000.0099.410.5911100.000.0099.080.9210100.000.0098.851.159100.000.0098.601.408100.000.0098.541.467100.000.0098.291.716100.000.0098.321.685100.000.0098.301.704100.000.0098.451.553100.000.0086.1313.872100.000.0086.1313.87测试阶段12功能100.000.0099.720.28在研究的基础上,将该入侵检测系统应用于HTTP流量,实验结果如表8和图10所示。 五、表8示出了应用所提出的IDS的步骤,步骤1-此外,在运行阶段只执行一个步骤在步骤0中,具有38个特征的HTTP训练数据集用于训练和测试命令。在每个步骤之后,会排除导致错误消息的要素(例如,示例要素4、5、6、8、1213、14、15、17、18和19在步骤0之后被排除)。此外,排除导致FP或FN的记录(例如,在步骤2之后移除导致FP的示例344正常记录)。在步骤20之后,FP=0并且FN=0;因此,训练阶段结束,并且在步骤21中,所得数据集被用作测试阶段中的训练数据集。训练数据集在训练阶段之后仅包括20个特征。在测试阶段,测试HTTP数据集具有相同的20个特征,用于测试命令,以检查的性能一种基于HTTP服务的入侵检测系统21图7Neptune攻击的基于HTTP的IDS实验结果表11基于HTTP的入侵检测系统的Back攻击实验结果。特征数真阳性(%)假阴性(%)真 阴性(%)假阳性(%)21 100.00 0.0099.840.1620 100.00 0.0099.840.1619 100.00 0.0099.840.1618 100.00 0.0099.840.1617 100.00 0.0099.840.1616 100.00 0.0099.840.1615 100.00 0.0099.840.1614 100.00 0.0099.840.1613 100.00 0.0099.840.1612 100.00 0.0099.840.1611 100.00 0.0099.840.1610 100.00 0.0099.840.169 100.00 0.0099.840.168 100.00 0.0099.840.167 100.00 0.0099.840.166 100.00 0.0099.840.165 100.00 0.0099.840.164 100.0099.870.133 100.0099.900.102 100.00 0.0099.880.121 100.00 0.0099.880.12图8基于HTTP的反向攻击IDS实验结果22M.M. 阿卜杜勒-埃尔达耶姆可达到0% FN和0.28%表13基于13个特征的IDS。 FN = 2.73%和FP = 2.54%,这些结果表明使用分类数据集的FP和FN优于使用未分类数据集(FP =4.61%,FN = 24.06%)。表9和图6显示了使用完整训练数据集和使用简化数据集的IDS性能结果。简化数据集不包括导致FP或FN的记录。很明显,在排除了引起假警报的记录后,FP当FN增加时,特征的数量从27个减少到20个增加了FP并减少了FN。当使用包括20个特征的训练数据集而不排除任何数据记录时,最佳FN为0.96%。IDS最重要的目标是尽可能地最小化FN;因此,建议使用分类的训练数据集,而不排除任何数据记录。4.3. 提出的基于HTTP的分类IDS最终的基于HTTP的IDS建议是多做一个分类级别,并选择最少数量的特征。如图3所示,HTTP训练数据集基于攻击类型进行分类,然后选择实现最佳IDS性能的最重要特征。表10和图7显示了HTTP Nep- tune攻击的一些实验结果,在训练阶段,使用12个特征可以实现最佳的IDS性能,FN=0%,FP= 0.59%。在测试阶段使用相同的12个特性FP。 这12个特点,图9基于19个特性的基于HTTP的 IDS实验结果表14IDS检测率的比较IDS索引入侵检测系统检出率(%)IDS I基于异常的IDS[7]68.7IDS II基于Snort和Bays定理集成的IDS[6]96IDS III基于树的IDS分类算法[5]97.49IDS IV基于数据挖掘技术的入侵检测系统[12]97.5IDS Vk-Means,K-nearest neighbor和朴素贝叶斯分类器[3]98.18IDS建议I第一个建议的IDS(第4.1节)86IDS建议II第二个拟议的IDS(第4.2节)97.5IDS建议建议的基于HTTP的分类IDS(第4.1节)99.03III表12KDD测试文件流量。反渗透型NeptuneBackPortsweepSaintapache 2PH记录数量79359217372攻击总数正常6673反渗透型TP(%)FN(%)总氮(%)FP(%)正常海王星100099.40.6回来1000Portsweep1000圣1000Apache2955检出率99.03一种基于HTTP服务的入侵检测系统23图10入侵检测系统检测率比较达到最佳IDS性能的是:4和功能从23到33(见表1中的功能表11和图12中说明了一些基于HTTP的IDS针对Backat-tack的实验结果。 8;最佳IDS性能可以使用特征5(src字节)、FN = 0%和FP = 0.12%来实现。最后,所提出的基于HTTP的 IDS的性能是基于13个特征来测量的:表征海王星攻击的12个特征和表征Back攻击的1个特征(特征4、5和从23到33的特征)。KDD测试文件包括许多类型的正常和攻击流量;表12说明了这些流量。实验结果如表13和图9所示,对于Neptune、Back、Portsweep和Saint攻击,FP=0.6%,FN=0%,而对于apache2攻击,FN=5%,总检测率=98.96%。请注意,IDS只针对Neptune和Back traf fic进行了训练;然而,它不仅可以检测到100%的Neptune和Back攻击,还可 以 检 测 到 100% 的 Portswep 和 Saint 攻 击 以 及 95% 的Appache 2攻击。通过对Appache2攻击进行训练,改进了IDS的性能,TP= 99.75%,TN= 99%,FP= 1%,FN= 0.25%,检出率=99.03%。与同类入侵检测系统相比,本文提出的基于HTTP的分类入侵检测系统具有很好的检测率。表14和图10显示了三种建议的IDS和一些类似IDS的检测率。5. 结论和今后的工作本文分析了基于朴素贝叶斯分类器的入侵检测系统,使用NSL_KDD数据集对入侵检测系统进行训练和测试, 其实现了约37%的FN和6.6%的FP。 提高IDS性能的第一个建议是准备训练数据集,使其能够实现100%的IDS性能。在对一个测试数据集进行测试后,入侵检测系统的性能得到了提高,FN约为24%,FP为4.61%。第二个IDS建议的目标是通过只选择表征每种攻击类型和正常连接的最重要的特征来提高性能并减少特征的数量,此外,它还建议基于服务对数据集进行分类。在本文中,入侵检测系统的目标是检测利用HTTP服务的恶意连接;因此,它被归类为基于HTTP的 IDS。性能是显著地增强,的检出率为99.03%,TP为99.75%,TN为99%,FP为1%,FN= 0.25%。虽然平均而言,一些领先的IDS达到96%的检测率和1.5%的假阳性率(见第2节),因此,建议的IDS显示出优于类似的IDS。作为未来的工作,建议的入侵检测系统可以使用在入侵检测系统的运行阶段,通过安装在一个网络,以保护该网络免受实时攻击。此外,建议的IDS可以应用到其他网络服务,如FTP和IMAP服务。引用[1] 放大图片作者:Dewan F,Mohammad R,Chowdhury R 基于 boosting 和 朴 素 贝 叶 斯 分 类 器 的 自 适 应 入 侵 检 测 。IntJComput Appl 2011;24(3):12-9.[2] 杨 湖 入 侵 检 测 系 统 中 贝 叶 斯 分 类 器 算 法 的 研 究 IEEEInternational Conference on E-Business and E-Government ,ICEE 2010。中国广州; 2010年5月。第2174-8页。[3] Hari O,Aritra K.一种降低异常入侵检测系统误报率的混合系统。第一届IEEE信息技术最新进展国际会议,RAIT2012。丹巴德,印度; 2012年3月p. 131-6[4] 亚历山大T,阿列克谢P,所以格里戈里。通过变点检测方法进 行 有 效 的 计 算 机 网 络 异 常 检 测 。 IEEE J SelTop SignalProcess 2013;7(1):4-11.[5] Sumaiya T,Aswani C.入侵检测系统中基于监督树的分类器分析。在:IEEE的模式识别,信息学和移动工程国际会议论文集,PRIME 2013。Salem,印度; 2013年2月。p. 294-9[6] Chirag M,Dhiren P.云计算中基于贝叶斯分类器和贝叶斯网络的网络入侵检测系统。第三届IEEE计算通信网络技术国际会议,ICCCNT 2012。印度哥印拜陀; 2012年7月。p. 一比七[7] Nabil A,Soroush H,Ljiljana T.使用贝叶斯模型进行BGP异常分类的特征选择。在:机器学习和控制论国际会议论文集。ICMLC 2012。中国陕西西安;2012年7月p. 140比7[8] 王全全,李振辉,李家伟.用于特征选择的广义fisher评分。在:第27届会议。在人工智能的不确定性。巴塞罗那,西班牙; 2011年7月。p. 266比7324M.M. 阿卜杜勒-埃尔达耶姆[9] 王军,陈翔,高伟.使用粒子滤波器在线选择判别跟踪特征。In Proc Computer Vision and Pattern Recognition,San Diego,CA,USA; June 2005,vol. 2,p. 1037-42[10] 彭华,富米,丁春.基于最大相关、最大相关和最小冗余的互信 息 准 则 的 特 征 选 择 。 IEEE TransPattern Anal MachIntell2005;27(8):1226-38.[11] 张晓刚,张晓刚.使用朴素贝叶斯进行文本分类的特征选择。专家系统应用2009;36(3):5432-5.[12] 作者声明:J.使用k-means,模糊神经网络和SVM分类器的入侵检测技术。IEEE计算机通信与信息学国际会议。印度哥印拜陀;2013年1月p. 一比七[13] NSL-KDD 数 据 集 。 [1.10.13].[14] KDD Cup 1999 数据。[1.10.13].
下载后可阅读完整内容,剩余1页未读,立即下载
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![-](https://csdnimg.cn/download_wenku/file_type_lunwen.png)
![-](https://csdnimg.cn/download_wenku/file_type_lunwen.png)
![-](https://csdnimg.cn/download_wenku/file_type_column_c1.png)
![-](https://csdnimg.cn/download_wenku/file_type_lunwen.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://profile-avatar.csdnimg.cn/default.jpg!1)
cpongm
- 粉丝: 4
- 资源: 2万+
上传资源 快速赚钱
我的内容管理 收起
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![](https://csdnimg.cn/release/wenkucmsfe/public/img/voice.245cc511.png)
会员权益专享
最新资源
- 京瓷TASKalfa系列维修手册:安全与操作指南
- 小波变换在视频压缩中的应用
- Microsoft OfficeXP详解:WordXP、ExcelXP和PowerPointXP
- 雀巢在线媒介投放策划:门户网站与广告效果分析
- 用友NC-V56供应链功能升级详解(84页)
- 计算机病毒与防御策略探索
- 企业网NAT技术实践:2022年部署互联网出口策略
- 软件测试面试必备:概念、原则与常见问题解析
- 2022年Windows IIS服务器内外网配置详解与Serv-U FTP服务器安装
- 中国联通:企业级ICT转型与创新实践
- C#图形图像编程深入解析:GDI+与多媒体应用
- Xilinx AXI Interconnect v2.1用户指南
- DIY编程电缆全攻略:接口类型与自制指南
- 电脑维护与硬盘数据恢复指南
- 计算机网络技术专业剖析:人才培养与改革
- 量化多因子指数增强策略:微观视角的实证分析
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035111.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![](https://csdnimg.cn/release/wenkucmsfe/public/img/green-success.6a4acb44.png)