Layered approach med villkorliga slumpmässiga fält för intrångsdetektering
Steg 1:Dataförbehandling
- Samla in och förbehandla nätverkstrafikdata.
- Extrahera relevanta funktioner från nätverkstrafikdata, såsom käll- och destinations-IP-adresser, portnummer, paketstorlekar och tidsstämplar.
Steg 2:Funktionsteknik
- Använd statistisk och maskininlärningsteknik för att extrahera funktioner som är relevanta för intrångsdetektering.
- Vanliga funktioner inkluderar:
- Flödesbaserade funktioner: Dessa funktioner beskriver egenskaperna hos enskilda nätverksflöden, såsom antalet paket, flödets varaktighet och den genomsnittliga paketstorleken.
- Värdbaserade funktioner: Dessa funktioner beskriver egenskaperna hos individuella värdar, såsom antalet anslutningar som görs av värden, antalet unika IP-adresser som värden ansluter till och anslutningarnas genomsnittliga varaktighet.
- Nätverksbaserade funktioner: Dessa funktioner beskriver egenskaperna hos nätverket som helhet, såsom det totala antalet paket, det totala antalet anslutningar och det genomsnittliga bandbreddsutnyttjandet.
Steg 3:Villkorliga slumpmässiga fält (CRF)
- Träna en CRF-modell med hjälp av märkta data.
- Använd ett CRF-lager för varje typ av funktion (t.ex. flödesbaserad, värdbaserad, nätverksbaserad).
- CRF-lagren kommer att interagera med varandra för att härleda den mest sannolika sekvensen av etiketter för hela datasetet.
Steg 4:Intrångsdetektering
- Använd den utbildade CRF-modellen för att klassificera nya nätverkstrafikdata som antingen normala eller skadliga.
- Ställ in ett tröskelvärde för CRF-utgången för att avgöra när ett intrång upptäcks.
Steg 5:Utvärdering och förfining
- Utvärdera prestandan för intrångsdetekteringssystemet på en testdatauppsättning.
- Använd utvärderingsresultaten för att förfina funktionerna, CRF-modellen och tröskeln.
- Upprepa steg 3-5 tills önskad prestationsnivå har uppnåtts.
Steg 6:Implementering
- Distribuera intrångsdetekteringssystemet i en produktionsmiljö för att skydda nätverket från hot i realtid.
