建筑物入侵检测系统，但从哪里开始

Question

我已经搜查了很多关于入侵检测系统，但现在我很困惑，因为现在应该从哪里开始。 我不知道是否存在任何开源可重用代码，但我想用神经网络制作入侵检测和预防系统。

从开发人员的角度来看，我的问题是从哪里开始的。请在这个主题上指导我。

此外，我目前正在分析KDD CUP 1999 Dataset。并寻找更多这样的数据集。

请告诉我哪个是构建入侵检测系统的最佳算法。

感谢无论谁回复或阅读..请在此指导我。 在此先感谢。

Answer 1

大多数使用神经网络的入侵检测系统利用监督训练，即。系统在向主机请求某些更改时提示您提供意见。我建议你首先找出挂钩变更请求的方法。在可能涉及使用系统挂钩来过滤应用程序请求的某些操作的窗口中。这将允许您的应用程序提示您提供响应，并将该响应加入神经网络。这个数据集可以用来优化对某些模式的识别以及对这些模式的响应。在构建这样的系统时，显然还有更多的事情需要考虑，但是根据我所说的，你应该有一个好的开始。

Answer 2

我在同一学科学习。入侵检测和机器学习。这是一个相当广泛的主题。我将回答更多关于数据预处理和特征构建的观点。神经网络部分是完全不同的故事。

首先，这个领域大量商业化，因此几乎没有开源代码的例子。许多事情都是在封闭的生态系统中商业化的。

从学术角度看：存在一个大数据集问题。存在DK99C（Darpa - KDD99数据集），但它很旧。 KDD99数据集是从DARPA tcpdumps构建的。 他们使用bro IDS，tcpdump api来构造特征。 从我的角度来看，从原始tcpdump创建功能要比使用机器学习算法（神经网络）准备功能困难得多。

阅读这篇文章，以了解更多有关它（KDD99）是如何构建

Article (Lee2000framework) Lee, W. & Stolfo, S. J. 
A framework for constructing features and models for intrusion detection systems 
ACM Trans. Inf. Syst. Secur., ACM, 2000, 3, 227-261 

阅读这篇文章，它的介绍了解为什么这个问题是一个困难的问题来研究。

Inproceedings (Sommer2010Outside) Sommer, R. & Paxson, V. 
Outside the Closed World: On Using Machine Learning for Network Intrusion Detection 
Proceedings of the 2010 IEEE Symposium on Security and Privacy, IEEE Computer Society, 2010, 305-316 

阅读本文，了解大多数学者是如何工作的。真的有点令人失望。

Article (Tavallaee2010Toward) Tavallaee, M.; Stakhanova, N. & Ghorbani, A. 
Toward Credible Evaluation of Anomaly-Based Intrusion-Detection Methods 
Systems, Man, and Cybernetics, Part C: Applications and Reviews, IEEE Transactions on, 2010, 40, 516 -524 

阅读此原因DK99C被认为是有害的。这是有害的，但没有其他可靠的数据集存在。

Article (Brugger2007KDD) Brugger, S. 
KDD Cup’99 dataset (Network Intrusion) considered harmful 
KDnuggets newsletter, 2007, 7, 15 

阅读IDS数据预处理

Article (Davis2011Data) Davis, J. J. & Clark, A. J. 
Data preprocessing for anomaly based network intrusion detection: A review 
Computers & Security, 2011, 30, 353 - 375