第七章 入侵检测技术



                 聚类：这项技术基于两个重要的假设。首先，大多数网络连接代表正常流量，
            只有很小一部分流量是恶意的。其次，恶意流量在统计学上与正常流量不同。异
            常将根据它们的集群大小被检测出来，也就是说，大的集群意味着基线数据，而
            其余的则相当于恶性攻击。聚类是无监督学习，不需要标记数据，而是提取数据
            中的自然模式，它不需要使用标记数据集进行培训。

                 神经网络：神经网络是联合实现复杂映射函数的计算单元网络。首先，网
            络通过一个标记数据集训练。然后将测试实例输入网络，分为正常和异常两类。
            在基础网络上还有更进一步的网络，该网络称为卷积神经网络，其重要特性是通

            过局部感受权值共享及时间或空间亚采样等思想来减少网络中自由参数的个数来
            获得某种程度知识。对于不断变化的网络攻击性质，并能够以某种方式分析庞大
            的网络流量，且相较基于规则的系统结构少。比如，基于神经网络的签名检测系
            统可以解决许多基于规则的系统所不能发现的问题，神经网络的固有速度是这种
            方法的另一个优点，因为它需要及时识别攻击，神经网络的处理速度可以在系统

            遭受不可逆转的损害之前进行入侵响应。
                 模糊逻辑：模糊逻辑技术从 90 年代早期开始应用于计算机安全领域。对复
            杂系统建模的能力使得分析连续的数据源甚至未知或不精确的过程成为计算机安

            全领域的有效选择。模糊逻辑与基于特征的严格匹配或经典模式偏差检测相比，
            在入侵检测领域具有潜力。安全本身的概念是模糊的，换句话说，模糊的概念有
            助于消除正常行为与异常行为之间的突然分离。这意味着一个给定的数据点落在
            一个已定义的基线间隔之外，无论它与基线间隔的距离有多远，它都将被视为异
            常的同等程度。模糊逻辑可以用来表示在不确定的环境下。




                  第二节 入侵检测技术在计算机网络安全中的应用


                 一、入侵检测现存问题


                 一是海量多维数据的处理问题。传统聚类或降维方式无法满足指数级增长
            的数据的处理需求，即使勉强处理，也难以达到分析目的，并且该方式过程复杂，
            负载过大，需要多个 CPU 并行处理且优化空间很小。二是数据不平衡。即异常

            流量数据过少，使得其数据失去平衡，进而严重影响入侵检测的准确性。目前，


                                                                                    195
                                                                                    195