IDS評測數(shù)據(jù)集與評估方法研究.pdf

1、入侵檢測技術是維護網(wǎng)絡安全的關鍵技術之一，是安全系統(tǒng)的必不可少的組成和支撐。入侵檢測系統(tǒng)(IDS)評測數(shù)據(jù)集是當前評估入侵檢測技術的主要手段。對入侵檢測技術進行評估不但能夠發(fā)現(xiàn)其本身存在的不足，而且可以找準研究的方向。進而將工作的重點轉(zhuǎn)移到關鍵技術的突破上，對于促進入侵檢測技術的發(fā)展具有十分重要的意義。
　　本文首先對IDS評測數(shù)據(jù)集的產(chǎn)生背景、生成技術以及其國內(nèi)外研究現(xiàn)狀做了深入闡述。盡管對該領域的研究已取得了不少成果，多種數(shù)據(jù)

2、集得到推廣和應用，但是仍然存在著許多問題。這些問題影響著入侵檢測技術的評估結(jié)果。依據(jù)對數(shù)據(jù)集的相關技術深入分析和研究，本文提出了一種判定數(shù)據(jù)集性能的統(tǒng)計性分析方法。該方法通過對數(shù)據(jù)集進行背景分析、平衡性分析和相關性分析可以考察數(shù)據(jù)集的性能。隨后以該方法對UNS W-NB15數(shù)據(jù)集進行了相應的分析，分析結(jié)果表明該數(shù)據(jù)集具有當前的數(shù)據(jù)流量特點、數(shù)據(jù)平衡性和數(shù)據(jù)相關性良好，能更好的滿足當前的評估需求。
　　ROC曲線是當前主要的入侵檢測

3、評估方法。但是在傳統(tǒng)的檢測率和誤報率計算方法中，只是單純的關注檢測或誤報數(shù)據(jù)的數(shù)量，而沒有考慮到各攻擊類型間的差異性。針對現(xiàn)在流行評估方法中存在的不足，為了實現(xiàn)攻擊數(shù)據(jù)與正常數(shù)據(jù)、各類攻擊數(shù)據(jù)間的差異化處理，本文提出了一種基于權值的ROC計算方法。在該方法中，通過修改權值即可以觀察檢測算法對單類攻擊的檢測情況，使得對檢測算法的評估更加深入、細致，又可以從多個角度對檢測算法進行評估，從而增加了評估的廣度。實驗結(jié)果表明，該方法有效、可行，對