学习目标：

An intelligent tree-based intrusion detection model for cyber security

(一种基于决策树的智能网络安全入侵检测模型)

一种基于图模型的网络攻击溯源方法

学习内容：

An intelligent tree-based intrusion detection model for cyber security

(一种基于决策树的智能网络安全入侵检测模型)

基于树的分类模型可以预测特定的网络活动是“正常”还是“攻击”。在树的每个节点上做出决策，直到到达叶节点。数据点的类别（即正常或攻击）在叶节点中确定。换句话说，树节点代表一个特征，每条边或分支代表根据每个特征获得的信息做出的决策，每个叶子代表一个类。

该模型旨在提高预测精度并降低计算复杂度。

考虑到安全特征的排序和选择的基于树的入侵检测模型是重点，可以提高预测精度并最小化计算的复杂性

高维的安全特征时，过拟合的高方差、高复杂性和低预测精度是基于树的模型的常见限制

该论文模型

关于上图模型中的序号说明

UNSW-NB 15数据集，由 42 个不包括类别标签的特征组成（即 0 表示正常记录，1 表示攻击记录）

数据集中的所有特征都被缩放（即标准化）

One Hot Encoding编码，使用的是python的sklearn 库函数的LabelEncoder 编码器

3.采用的是Gini 指数计算数据的特征值的熵，最后算出排序，选择阈值 0.02，特征数量减少到 19 个，降低了时间处理和过度拟合方面的计算复杂性

4.实验一、训练论文的分类器效果

5.实验二、在相同的环境相同的数据集下，对比于传统的ML model ：k-NN， SVM，LR，NB

下载数据集

UNSW-NB15数据集https://research.unsw.edu.au/projects/unsw-nb15-dataset

加载数据集，

报错：数据类型不匹配，由于数据是’String’型的，需要将’String’型转化float数值型

进行矩阵运算时涉及的矩阵维度太大，由于没有好一点儿的服务器，我本机电脑分配的内存不够用，加载不了，模型训练不了。

一种基于图模型的网络攻击溯源方法

对于减轻混合SDN中地址欺骗攻击设想，采用VLANs的划分出多个虚拟局域网，把地址欺骗攻击限制在一个VLAN中

首先通过手动配置Open- vSwitch的VLAN， 实现VLAN的标记。

上图网络拓扑中描绘了两个VLAN(VID 10、20 ),每个交换机有一个主机成员。每个交换机的两个端口需要配置为各自VLAN的接入端口，第三个端口必须配置为中继端口，允许两个VLAN(10、20)通过。主机H1和H3位于eth-1，H2和H4位于eth-2

用于将端口配置为接入端口或中继端口的OVS命令如下：

将端口配置为接入端口，并用VID = vlan标记传入数据包：

ovs-vsctl set port [port] tag = vlan

将端口配置为中继端口，允许VIDs= vlan1、vlan2通过：

ovs-vs CTL set port[port]trunks = VLAN 1，vlan2

同时必须向对应于传统L2交换的交换机添加流条目(action= "NORMAL ")，以便学习必要的MAC地址，并将分组转发出正确的端口。

一旦上述流条目被添加到两台交换机，我们就可以验证主机之间的ping可达性。

对于流动作，在RYU开放流1.3协议API 中提供了专门的类进行VLAN标签的标记，匹配，取消标记，如下所列

标记：OFPActionPushVlan(ether type = 33024，type =None，len=None):将新的Vlan标签推入数据包，默认VID = 0

取消标记：OFPActionPopVlan(type=None，len=None):删除最外层的Vlan标记

匹配：of match(VLAN _ VID = 0x 1000 | " VID "):匹配包含VID = "vid "(整数值)的标记数据包。

实验的前提是，网络拓扑已知且没有环路，采用的是基于端口的VLANs分类

拓扑如下：

“黄色”路由器显示的节点不支持VLAN，因此不会生成任何“标记”流量。所以H1和H6不属于任何VLAN。但是它们的流量在到达目的节点之前需要通过VLAN感知交换机进行中继。通过实施这种拓扑，我们可以模拟在大型网络中，使用VLANs设计和划分一个小型子网来减轻地址欺骗攻击，

流程如下：

参考论文：

[1] Al-Omari M, Rawashdeh M, Qutaishat F, et al. An intelligent tree-based intrusion detection model for cyber security[J]. Journal of Network and Systems Management, 2021, 29(2): 1-18.

[2] 黄克振, 连一峰, 冯登国, 等. 一种基于图模型的网络攻击溯源方法[J]. Journal of Software, 2021, 33(2): 683-698.

[6] R. Vinayakumar, K. P. Soman and P. Poornachandran, “Applying convolutional neural network for network intrusion detection,” 2017 International Conference on Advances in Computing, Communications and Informatics (ICACCI), 2017, pp. 1222-1228, doi: 10.1109/ICACCI.2017.8126009.

[7] R. Vinayakumar, M. Alazab, K. P. Soman, P. Poornachandran, A. Al-Nemrat and S. Venkatraman, “Deep Learning Approach for Intelligent Intrusion Detection System,” in IEEE Access, vol. 7, pp. 41525-41550, 2019, doi: 10.1109/ACCESS.2019.2895334.

[8] R. Vinayakumar, K. P. Soman and P. Poornachandran, “Evaluating effectiveness of shallow and deep networks to intrusion detection system,” 2017 International Conference on Advances in Computing, Communications and Informatics (ICACCI), 2017, pp. 1282-1289, doi: 10.1109/ICACCI.2017.8126018.

综述/调查：

[3] A. L. Buczak and E. Guven, “A Survey of Data Mining and Machine Learning Methods for Cyber Security Intrusion Detection,” in IEEE Communications Surveys & Tutorials, vol. 18, no. 2, pp. 1153-1176, Secondquarter 2016, doi: 10.1109/COMST.2015.2494502.

[4] P. Mishra, V. Varadharajan, U. Tupakula and E. S. Pilli, “A Detailed Investigation and Analysis of Using Machine Learning Techniques for Intrusion Detection,” in IEEE Communications Surveys & Tutorials, vol. 21, no. 1, pp. 686-728, Firstquarter 2019, doi: 10.1109/COMST.2018.2847722.

[5] A. Nisioti, A. Mylonas, P. D. Yoo and V. Katos, “From Intrusion Detection to Attacker Attribution: A Comprehensive Survey of Unsupervised Methods,” in IEEE Communications Surveys & Tutorials, vol. 20, no. 4, pp. 3369-3388, Fourthquarter 2018, doi: 10.1109/COMST.2018.2854724.

–end–