超级会员免费看
入侵检测系统的运行时监控与动态重配置
1. 引言
基于异常检测原理的入侵检测系统存在一个主要问题,即误报率,包括漏报(未检测到的攻击)和误报(将合法流量标记为恶意流量)。而且,系统的灵敏度(进而影响误报率)会随着背景流量动态变化。例如,在夜间流量较低时容易检测到的攻击,在白天相同设置的系统中可能会漏报。
为解决入侵检测系统(IDS)的监控和动态重配置问题,我们采用了自主计算领域的挑战(或故障注入)概念。该概念允许我们通过向网络流量中插入已知的恶意或合法行为实例(挑战),来测量系统及其组件的响应,从而确定当前的误报率,并自适应调整系统行为和选择最优设置。
2. CAMNEP 系统
CAMNEP 网络入侵检测系统基于网络行为分析(NBA)方法,处理路由器或其他网络设备提供的 NetFlow/IPFIX 数据,通过协作式多算法异常检测来识别恶意流量。该系统采用多算法和多阶段方法优化误报率,同时不影响性能。
2.1 NetFlow 数据
NetFlow 网络流量数据记录了单向 TCP 连接(或其 UDP/ICMP 等效连接)的信息,包括源 IP、目的 IP、端口、协议等,以及数据包数量、字节数、持续时间和 TCP 标志等。流量记录会在预定义的观察期(通常 1 - 5 分钟)内聚合,观察期结束后进行分析,然后开始新的观察期。
2.2 分类代理
系统包含两类主要的分类代理:
- 检测代理 :分析原始网络流量,使用五种异常检测方法之一,基于不同的流量模型,如源 IP 地址的流量特征熵、流量熵与 PCA 预测模型的偏差等。检测代理将相同的流量映射到不同特征/
订阅专栏 解锁全文
扫一扫
4447
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
