IDS評測數(shù)據(jù)集與評估方法研究.pdf

1、入侵檢測技術(shù)是維護網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)之一，是安全系統(tǒng)的必不可少的組成和支撐。入侵檢測系統(tǒng)(IDS)評測數(shù)據(jù)集是當(dāng)前評估入侵檢測技術(shù)的主要手段。對入侵檢測技術(shù)進(jìn)行評估不但能夠發(fā)現(xiàn)其本身存在的不足，而且可以找準(zhǔn)研究的方向。進(jìn)而將工作的重點轉(zhuǎn)移到關(guān)鍵技術(shù)的突破上，對于促進(jìn)入侵檢測技術(shù)的發(fā)展具有十分重要的意義。
　　本文首先對IDS評測數(shù)據(jù)集的產(chǎn)生背景、生成技術(shù)以及其國內(nèi)外研究現(xiàn)狀做了深入闡述。盡管對該領(lǐng)域的研究已取得了不少成果，多種數(shù)據(jù)

2、集得到推廣和應(yīng)用，但是仍然存在著許多問題。這些問題影響著入侵檢測技術(shù)的評估結(jié)果。依據(jù)對數(shù)據(jù)集的相關(guān)技術(shù)深入分析和研究，本文提出了一種判定數(shù)據(jù)集性能的統(tǒng)計性分析方法。該方法通過對數(shù)據(jù)集進(jìn)行背景分析、平衡性分析和相關(guān)性分析可以考察數(shù)據(jù)集的性能。隨后以該方法對UNS W-NB15數(shù)據(jù)集進(jìn)行了相應(yīng)的分析，分析結(jié)果表明該數(shù)據(jù)集具有當(dāng)前的數(shù)據(jù)流量特點、數(shù)據(jù)平衡性和數(shù)據(jù)相關(guān)性良好，能更好的滿足當(dāng)前的評估需求。
　　ROC曲線是當(dāng)前主要的入侵檢測

3、評估方法。但是在傳統(tǒng)的檢測率和誤報率計算方法中，只是單純的關(guān)注檢測或誤報數(shù)據(jù)的數(shù)量，而沒有考慮到各攻擊類型間的差異性。針對現(xiàn)在流行評估方法中存在的不足，為了實現(xiàn)攻擊數(shù)據(jù)與正常數(shù)據(jù)、各類攻擊數(shù)據(jù)間的差異化處理，本文提出了一種基于權(quán)值的ROC計算方法。在該方法中，通過修改權(quán)值即可以觀察檢測算法對單類攻擊的檢測情況，使得對檢測算法的評估更加深入、細(xì)致，又可以從多個角度對檢測算法進(jìn)行評估，從而增加了評估的廣度。實驗結(jié)果表明，該方法有效、可行，對