Feb, 2024
使用统计学习和测试床测量的IT入侵检测
IT Intrusion Detection Using Statistical Learning and Testbed
Measurements
TL;DR我们研究了在IT基础设施中的自动入侵检测问题,特别是根据基础设施的连续测量数据来识别攻击开始、攻击类型和攻击者采取的行动序列。我们应用了统计学习方法,包括隐马尔可夫模型(HMM)、长短期记忆(LSTM)和随机森林分类器(RFC),将观测序列映射为预测的攻击行动序列。与大多数相关研究不同的是,我们有丰富的数据来训练模型并评估其预测能力。数据来自我们在一个内部测试平台上运行攻击以模拟IT基础设施的跟踪记录。我们的工作的核心是一个机器学习流水线,将来自高维观测空间的测量映射到低维度空间或一组小的观测符号。通过离线和在线场景对入侵进行研究,我们发现HMM和LSTM都能有效预测攻击的开始时间、攻击类型和攻击行动。如果有足够的训练数据,LSTM的预测准确率高于HMM。另外,我们发现我们研究的方法可以受益于由SNORT等传统入侵检测系统产生的数据。