网络流量的特征提取与异常检测系统设计与实现文献综述

 2022-11-24 23:01:07

摘要:网络安全威胁给国家和人民生活带来了巨大损失,并直接威胁国家和社会的稳定,网络攻击的检测与防范问题亟待解决。本课题模拟受到网络攻击的系统环境,并捕获其流量信息。利用机器学习的方法,对网络流量进行异常与否的判断。在此过程中,会涉及到不同机器学习的分类器模型的设计与对比分析。

关键字:网络流量、特征提取、异常检测、机器学习

  1. 前言

随着互联网的飞速发展,越来越多传统的运作方式正在被低耗、开放、高效的分布式网络应用所替代,网络已经成为人们日常生活中不可或缺的一部分。但是随之而来基于网络的攻击也越演越烈,网络安全事件层出不穷,攻击者利用网络快速而广泛的互联性,使得传统意义上的安全措施基本丧失作用,如分布式拒绝服务攻击(DDoS)、高级可持续攻击(APT)、利用远程控制木马的信息窃取等。网络安全威胁给国家和人民生活带来了巨大损失,并直接威胁国家和社会的稳定,网络攻击的检测与防范问题亟待解决。
课题目的是研究如何检测网络流量中的异常行为用以维护网络环境的安全,利用机器学习相关的方法实现流量的特征提取,在此基础上分析网络行为的异常状况,并能够结合软件或者硬件实现系统模型。本文是对国内外学者的一些研究做了简单的梳理和总结。

  1. 国内外相关研究

入侵检测系统大致可分为两类:基于签名的入侵检测系统(SIDS)和基于异常的入侵检测系统(AIDS)。

  1. 基于签名的入侵检测系统(SIDS)

签名入侵检测系统(SIDS)是基于模式匹配技术来发现已知的攻击;这些也被称为基于知识的检测或误用检测(Khraisat等,2018)

SIDS的传统方法是检查网络数据包,并尝试根据签名数据库进行匹配。但是这些技术无法识别跨多个包的攻击。由于现代恶意软件更加复杂,可能有必要在多个数据包中提取签名信息。这要求IDS回想起以前包的内容。关于为SIDS创建签名,通常有许多方法将签名创建为状态机(Meiners 等,2010)、形式语言字符串模式或语义条件(Lin 等,2011)。日益增加的零日攻击率(赛门铁克,2017年)使SIDS技术的效率越来越低,因为不存在任何此类攻击的事先签名。恶意软件的多态变种和越来越多的有针对性的攻击会进一步破坏这种传统范式的适当性

  1. 基于异常的入侵检测系统(AIDS)

AIDS因其克服SIDS局限性的能力而引起许多学者的关注。在AIDS研究中,使用机器学习、基于统计或基于知识的方法来创建计算机系统行为的正常模型。观察到的行为与模型之间的任何显著偏差都被视为异常,可以解释为入侵。这组技术的假设是恶意行为不同于典型的用户行为。异常用户的行为与 标准行为不同,属于入侵行为。AIDS的发展包括两个阶段:训练阶段和检测阶段。在训练阶段,正常的流量配置文件被用来学习正常行为的模型,然后在测试阶段,一个新的数据集被用来建立系统的能力,以归纳以前未见过的入侵。基于训练的方法,AIDS可以分为很多种类,例如:基于统计的方法、基于知识的方法、基于机器学习的方法(Butun 等,2014)。

AIDS的主要优势是识别零日攻击的能力,因为识别异常用户活动不依赖于签名数据库(Alazab 等,2012)。当检测到的行为不同于通常的行为时,AIDS就会触发危险信号。此外,AIDS有各种各样的好处。首先,他们有能力发现内部的恶意活动。如果入侵者开始在被盗账户中进行交易,而这些交易在典型的用户活动中是未知的,那么它就会发出警报。其次,网络罪犯很难在不发出警报的情况下识别出正常的用户行为,因为系统是由定制的配置文件构建的。

1. 基于机器学习的AIDS技术

剩余内容已隐藏,您需要先支付 10元 才能查看该篇文章全部内容!立即支付

以上是毕业论文开题文献,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。