神经网络异常检测方法神经网络入侵检测方法是通过训练神经网络连续的信息单元来进行异常检测,信息单元指的是命令。
网络的输入为用户当前输入的命令和已执行过的W个命令;用户执行过的命令被神经网络用来预测用户输入的下一个命令,如下图。若神经网络被训练成预测用户输入命令的序列集合,则神经网络就构成用户的轮郭框架。
当用这个神经网络预测不出某用户正确的后继命令,即在某种程度上表明了用户行为与其轮廓框架的偏离,这时表明有异常事件发生,以此就能作异常入侵检测。图中,输入箭头指向用户最近输入执行的W个命令序列。
通过将每个输入以某种方式编码,把输入命令表示成几个值或级别,能够成为命令唯一标识。这样,当前输入值准确地同用户最近输入执行的W个命令序列相符合。输出层由单一的多层输出构成来预测用户发出的下一个命令。
这种方法的优点是:不依赖于任何有关数据种类的统计假设;能较好的处理噪音数据;能自然地说明各种影响输出结果的测量的相互关系。
其弱点是:网络的拓扑结构和每个元素分配权重必须经过多次的尝试与失败的过程才能确定;设计神经网络中,W的大小与其它的变量无关。如果W设置太低,则工作效率就差;设置太高,则网络将忍受无关的数据。
机器学习异常检测方法这种异常检测方法通过机器学习实现入侵检测,其主要的方法有死记硬背式、监督学习、归纳学习(示例学习)、类比学习等。
Terran和Carla E.Brodley将异常检测问题归结为根据离散数据临时序列学习获得个体、系统和网络的行为特征。
并提出一个基于相似度实例学习方法(IBL),该方法通过新的序列相似度计算将原始数据(如离散事件流,无序的记录ÿ