基于异常的IDS通过学习正常和异常的网络行为来检测攻击,对未知攻击具有更好的检测能力。
但侵检测数据集中存在冗余特征和类别不平衡的问题,异常的IDS已被证明会导致误报,而混合IDS结合了基于签名和基于异常的方法。
近年来,随着新的网络攻击的不断出现和网络数据流量的增加,网络入侵检测任务变得更加复杂。
因此机器学习因其能够通过统计方法和先进算法,从复杂数据中学习和识别模式而被广泛应用于入侵检测系统。
基于机器学习的入侵检测方法可以分为两类:监督学习和无监督学习,在监督学习中,决策树和随机森林等机器学习方法通过从标记数据中学习来对网络行为进行分类。
means和隐马尔可夫模型等无监督入侵检测方法主要关注聚类问题对网络行为进行分组,深度学习是机器学习的一个主要分支,基于具有至少两个隐藏层的神经网络。
深度学习更适合从大数据集中自动学习和提取特征,并显示出有希望的性能,尽管具有这些优势,当面对高维结构化数据时,特征工程仍然在深度学习模型中发挥着重要作用。
而高维、冗余、不相关的特征可能会使模型在学习过程中过拟合,导致真实网络环境中误报率较高。