超级会员免费看
入侵检测系统的模糊模型调优
1. 引言
入侵检测(ID)是识别计算机系统中异常活动的过程。传统的入侵检测依赖安全专家的广泛知识,为减少这种依赖,各种数据挖掘和机器学习方法已应用于一些入侵检测系统(IDS)研究项目。然而,基于数据挖掘的IDS通常依赖于对训练数据可用性和质量的不切实际假设,随着实时环境的持续变化,基于此类训练数据构建的检测模型在检测入侵时的效率会逐渐降低。
在入侵检测中,收集高质量的训练数据很困难。新的攻击利用新发现的安全漏洞迅速频繁出现,在检测和理解这些新攻击之前,不可能收集到完整的相关数据来训练检测模型。此外,由于系统中部署了新的硬件和软件,系统和用户行为会不断变化,导致检测模型性能下降。因此,固定的检测模型不适用于长期的入侵检测系统,IDS部署后,其检测模型必须不断调整。
目前,商业产品(主要是基于签名的IDS)的主要调整方法是过滤签名以避免噪声和/或添加新签名。在基于数据挖掘的系统中,会调整一些参数以平衡检测率和误报率,但这种调整比较粗糙,且必须由用户手动执行。其他提出的方法依赖于“插入”专用子模型或用动态挖掘的新模型取代当前模型,但专用模型需要用户构建高质量的训练数据,从实时未验证数据中挖掘新模型存在被有经验的攻击者训练以接受异常数据的风险。
我们开发了自动调优入侵检测系统(ATIDS),它利用用户对警报的分析,用验证后的数据实时调整检测模型,同时尽量减轻用户负担。在KDDCUP’99 ID数据集上的实验结果表明,当调整延迟较短时,与没有模型调优器的系统相比,该系统可降低约20%的总误分类成本(TMC)。但用户只能通过发送或阻止对错误预测的反馈来控制是否进行调整,且ATIDS中的调整是自动以相同的调整程度进行的,缺乏细化。为了让用户对模型调整有
订阅专栏 解锁全文
扫一扫
6
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
