75、计算机与网络安全数据挖掘：基于多元统计异常检测的入侵检测技术

计算机与网络安全数据挖掘：基于多元统计异常检测的入侵检测技术

1. 现有入侵检测技术概述

在计算机和网络安全领域，入侵检测至关重要。目前已有多种数据挖掘技术应用于入侵检测，具体如下：
- 统计分布建模 ：利用统计分布对正常活动的频率特征和强度特征进行建模，构建正常活动的规范轮廓，再通过统计测试判断观察到的活动是否显著偏离该轮廓。基于统计的异常检测技术能明确表示和处理正常活动中的变化与噪声，而基于形式逻辑的异常检测技术缺乏这种处理能力，基于字符串的异常检测技术则需依赖大量昂贵的正常事件短序列库来捕捉正常活动的变化。
- 人工神经网络和随机模型 ：人工神经网络和随机模型（如马尔可夫链模型和隐马尔可夫模型）可用于对正常活动的顺序特征（如事件转换或事件序列）进行建模，基于观察到的事件与预期事件的偏差或规范轮廓对观察到的事件的概率支持来检测入侵。研究表明，马尔可夫链模型在入侵检测方面的性能优于人工神经网络，但该技术对系统活动数据中正常活动（噪声）和入侵活动（待检测信号）的混合程度不够稳健，为此已开发出噪声消除技术来去除正常活动的影响，使入侵活动更易检测。
- 其他数据挖掘技术 ：包括决策树、关联规则、聚类算法、人工神经网络、马尔可夫模型和统计异常检测等。

2. 多元统计异常检测技术在入侵检测中的应用

这里以Hotelling’s T² 检验和卡方距离检验为例，详细介绍多元统计异常检测技术在入侵检测中的应用。

2.1 Hotelling’s T² 检验和卡方距离检验

• Ho