构建入侵检测系统，但从哪里开始

Question

我已经搜索了很多关于入侵检测系统，但现在我很困惑，因为现在我应该从哪里开始。我不知道是否有任何开放源码可重用的代码存在，但我想使入侵检测和防御系统与神经网络。

从开发者的角度来看，我的问题是我应该从哪里开始。请在这个话题上给我指点。

另外，我目前正在研究和分析KDD CUP 1999数据集。并搜索更多这样的数据集。

请告诉我，哪些将是建立入侵检测系统的最好的算法。

感谢回复或阅读的人..请在这方面给我指点。提前谢谢。

Answer 1

我学的是同一门学科。入侵检测和机器学习。这是一个相当广泛的主题。我将回答更多关于数据预处理和特征构建的观点。神经网络部分完全是另一回事。

首先，这一领域商业化程度很高，因此几乎没有开放源代码的例子。很多事情都是在封闭的生态系统中进行商业操作的。

从学术角度看:存在大数据集问题。DK99C (Darpa - KDD99数据集)是存在的，但它非常旧。KDD99数据集是从DARPA tcpdump构建的。他们使用bro IDS，tcpdump api来构建功能。在我看来，从原始tcpdump创建特性要比使用机器学习算法(神经网络)处理现有特性困难得多。

阅读本文以了解有关它(KDD99)是如何构造的更多信息

Article (Lee2000framework) Lee, W. & Stolfo, S. J. 
A framework for constructing  features and models for intrusion detection systems 
ACM Trans. Inf. Syst. Secur., ACM, 2000, 3, 227-261

阅读这篇文章及其演示文稿，了解为什么这个主题是一个很难研究的问题。

 Inproceedings (Sommer2010Outside) Sommer, R. & Paxson, V. 
 Outside the Closed World: On Using Machine Learning for Network Intrusion Detection
 Proceedings of the 2010 IEEE Symposium on Security and Privacy, IEEE Computer Society, 2010, 305-316

阅读这篇文章，看看大多数学者在这个主题上是如何工作的。真的有点令人失望。

Article (Tavallaee2010Toward) Tavallaee, M.; Stakhanova, N. & Ghorbani, A. 
Toward Credible Evaluation of Anomaly-Based Intrusion-Detection Methods 
Systems, Man, and Cybernetics, Part C: Applications and Reviews, IEEE Transactions on, 2010, 40, 516 -524

请阅读DK99C被认为有害的原因。它是有害的，但不存在其他可信的数据集。

Article (Brugger2007KDD) Brugger, S. 
KDD Cup’99 dataset (Network Intrusion) considered harmful 
KDnuggets newsletter, 2007, 7, 15

阅读这篇关于IDS数据预处理分类法的文章

Article (Davis2011Data) Davis, J. J. & Clark, A. J. 
Data preprocessing for anomaly based network intrusion detection: A review 
Computers & Security, 2011, 30, 353 - 375

Answer 2

大多数使用神经网络的入侵检测系统都使用有监督的训练，即。当请求对其主机进行某些更改时，系统会提示您提供意见。我建议您首先找出挂钩更改请求的方法。在windows中，可能涉及使用系统挂钩来过滤应用程序所请求的某些操作。这将允许您的应用程序选择提示您的响应，该响应将超时输入神经网络。然后，此数据集可用于优化某些模式的识别以及您对这些模式的响应。在构建这样的系统时，显然有更多的事情需要考虑，但根据我所说的，您应该有一个良好的开端。