60、基于线性判别方法的Web攻击检测两层系统

基于线性判别方法的Web攻击检测两层系统

在网络安全领域，有效的攻击检测系统至关重要。本文将介绍一种基于线性判别方法的两层入侵检测系统，它能有效检测各种不同有效负载大小的攻击。

1. LDM 特征选择

GSAD 模型使用 256×256 的马氏距离图来分析网络数据包有效负载的隐藏模式，但这会导致模型训练和攻击检测的计算成本过高，难以应用于在线入侵行为检测。为解决此问题，提出了基于线性判别法（LDM）的特征选择方法。

1.1 方法

为提取重要特征，需生成差异距离图来衡量正常流量和特定类型攻击流量之间的差异，例如 {正常，Phf 攻击}、{正常，Back 攻击} 和 {正常，Apache2 攻击} 每对之间的差异。对于每个元素 (i, j)（0 ≤ i, j ≤ 255），使用以下公式计算差异：
[
fdi_{(i,j)} = \frac{(\overline{d} {(i,j)}^{normal} - \overline{d} {(i,j)}^{attack})^2}{\sigma_{normal(i,j)}^2 + \sigma_{attack(i,j)}^2}
]
其中，(\overline{d} {(i,j)}^{normal}) 和 (\sigma {normal(i,j)}^2) 表示正常样本马氏距离图（MDMs）中 (i, j) 元素的均值和方差，(\overline{d} {(i,j)}^{attack}) 和 (\sigma {attack(i,j)}^2) 表示攻击样本 MDMs 中 (i, j) 元素的均值和方差。正常样本和攻击样本之间的差异距离