是最基本的入侵攻击手段，也是最难对付的入侵攻击之，典型示例有攻击攻击攻击攻击等。非授权访问尝试是攻击者对被保护文件进行读写或执行的尝试，也包括为获得被保护访问权限所做的尝试。预探测攻击在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括扫描端口扫描和半途扫描等。可疑活动是通常定义的标准网络通信范畴之外的活动，也可以指网络上不希望有的活动，如和事件等。协议解码协议解码可用于以上任何种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如和等解码方式。系统代理攻击这种攻击通常是针对单个主机发起的，而并非整个网络，通过系统代理可以对它们进行监视。发现训练集中的攻击类型我们发现训练集中共有种攻击方式，。基于登陆的拒绝服务攻击。攻击是种拒绝服务攻击。其攻击特征是用于攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。检测技术这种攻击的方法是判断网络数据包的源地址和目标地址是否相同。预防这种攻击的方法是适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为般是丢弃该数据包，并对这种攻击进行审计记录事件发生的时间，源主机和目标主机的地址和地址。泪滴攻击。攻击也是种拒绝服务攻击。其攻击特征是是基于的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的包分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息，些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃重启等现象。检测技术这种攻击的方法是对接收到的分片数据包进行分析，计算数据包的片偏移量是否有误。预防这种攻击的方法是添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。是种简单但有效的拒绝服务攻击技术，它利用了控制信息协议。在上用于处理和传递控制信息。它的功能之是与主机联系，通过发送个回音请求信息包看看主机是否活着。最普通的程序就使用了这个功能。是用个偷来的帐号安装到个计算机上的，然后用个伪造的源地址连续个或多个计算机网络，这就导致所有计算机所响应的那个计算机并不是实际发送这个信息包的那个计算机。这个伪造的源地址，实际上就是攻击的目标，它将被极大数量的响应信息量所淹没。对这个伪造信息包做出响应的计算机网络就成为攻击的不知情的同谋。预防这种攻击的方法是为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉包。缓冲区溢出攻击由于在很多的服务程序中大意的程序员使用象，类似的不进行有效位检查的函数，最终可能导致恶意用户编写小段利用程序来进步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。预防这种攻击的方法是利用这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。端口扫描探测器攻击。通常使用些软件，向大范围的主机连接系列的端口，扫描软件报告它成功的建立了连接的主机所开的端口。预防这种攻击的方法许多防火墙能检测技术到是否被扫描，并自动阻断扫描企图。地址扫描探测器攻击。运用这样的程序探测目标地址，对此做出响应的表示其存在。预防这种攻击的方法在防火墙上过滤掉应答消息。端口扫描探测器。是在环境下推荐的端口扫描仪。不止是端口扫描仪，也是安全工具箱中必不可少的工具。预防这种攻击的方法许多防火墙能检测技术到是否被扫描，并自动阻断扫描企图。其他主流的攻击类型由于研究的数据集有限。研究时间的局限，我们所看到的攻击类型还是很有限的，还有几种主流的攻击类型，可以帮助我们即时预防，以增强入侵检测技术系统的性能。根据的规范，个包的长度最大为字节。尽管个包的长度不能超过字节，但是个包分成的多个片段的叠加却能做到。当个主机收到了长度大于字节的包时，就是受到了攻击，该攻击会造成主机的宕机。由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对栈的实现在包上都是规定，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过上限的包也就是加载的尺寸超过上限时，就会出现内存分配，导致堆栈崩溃，致使接受方当机。预防这种攻击的方法现在所有的标准实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括从之后，之后，和都具有抵抗般攻击的能力。此外，对防火墙进行配置，阻断以及任何未知协议，都讲防止此类攻击。该攻击以多个随机的源主机地址向目的主机发送包，而在收到目的主机的后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。些栈的实现只能等待从有限数量的计算机发来的消息，因为他们只有有限的内存缓冲区用于创建连接，如果这缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在些创建连接不受限制的实现里，洪水具有类似的影响。预防这种攻击的方法在防火墙上过滤来自同主机的后续连接。未来的洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从个简单高容量的传输中鉴别出来。洪水概览各种各样的假冒攻击利用简单的服务，如和来传送毫无用处的占满带宽的数据。通过伪造与主机的服务之间的次的连接，回复地址指向开着服务的台主机，这样就生成的行为差异非常大。该方法的基本思想就是由于入侵行为是和正常行为不同的并且数目相对很少，因此它们在能够检测技术到的数据中呈现出比较特殊的特性。比如可以首先假定输出个聚类，从数据集中任选个数据作为这个聚类初始的中心值，然后将每个数据划分到其中的个聚类，方法是判断该数据到哪个聚类的中心值的距离最近，则将该数据划分到这个聚类。划分完成后，重新计算每个聚类的中心值，方法是计算聚类中所有数据的平均值，把这个平均值作为新的聚类的中心值。接下来重新将每个数据划分到其中的个聚类，如此反复地进行若干次划分和计算中心值的操作，直到数据的划分没有变化。算法的优点和缺陷算法的优点是不需要用人工的或其他的方法来对训练集进行分类，并且能够比较有效地检测技术未知入侵攻击。而且算法有良好扩展性，被广泛应用于各领域。但是像算法经常在聚类开始前就获得了全部数据即离线的，但时常会有些对在线聚类的需求。比如存储空间不够记录所有的数据模式，或者系统对时间要求很高，以至于数据还没有全部出现算法就必须开始。怎么解决这个问题呢大家都知道，算法设计要求中有点就是效率与低存储量需求，所以衡量算法的复杂度有时间复杂度和空间复杂度两个方面。算法的效率较高，但是得付出较大的存储空间。下面介绍下迭代最优化算法。迭代最优化算法输入聚类的个数，个包含个数据的数据集，每个聚类的均值输出个聚类方法随机选取个样本存在于个均值为的聚类中离的距离比离更近将转移到均值为的这个聚类中更新这个聚类的中心值，即重新计算这个聚类中所有数据平均值划分没有发生变化时输出个聚类算法分析对这个算法稍作考虑就会发现它其实是算法的种变形。算法在每次更新前都要对所有的数据点重新分类，而这个方法每次对个样本重新分类后就进行更新。但是这种算法更易陷入局部极小值，对全局入侵检测技术效率有影响。然而它毕竟是种逐步求精的算法，对存储空间要求不高，而且很容易作些改动使得它能处理顺序数据流或需要在线聚类的场合，这也正符合入侵检测技术的环境。当然，在其他在许多领域也有广泛的应用。我的构想虽然说衡量个算法的效率有时间和空间两方面的要求，而且时空不可能同时达到最优，但是可以适当地将时空两方面兼顾下，使对聚类分析时的存储空间要求不太高，同时分析过程也不太长。在这里我再通过个形象的比喻生动地描述下算法和迭代最优化算法，这样通俗易懂，大家可以更清晰地理解这两个算法的优缺点，同时也描述下我的构想，让大家了解下我所设想的算法的可行性和优越性。比方说我们计算机班位同学去个食堂打饭，若要时间效率最高，必然要求食堂的服务员尽可能的多，但就同学人数来说个服务员就足够了，每人打饭需要分钟，那么分钟就可以解决位同学的问题，效率高，但是这对食堂方面的要求太高，对入侵检测技术来说就是对存储空间要求很高，这相当于算法中的任意选取个数据作为初始的聚类中心，而后重新计算每个聚类中所有数据平均值。如果食堂条件非常有限，只有个服务员，那么位同学排队打饭就向个顺序数据流，而且第位同学打完饭就回寝室了，对于他来说他的时间效率是最优的，这就是刚才所说的迭代最优化算法更易陷入局部极小值，而对于最后位同学来说时间效率最差，需要等分钟才轮到他。总体来说这种方式对于食堂方面要求很低，可以节省个别同学的时间，但是对于全局的贡献很有限。但若有位同学和个服务员，那么每个服务员负责位学生，到最后位同学打完饭共需要分钟，对服务员要求的数量也不多，这种算法还可以。如果服务员充足的话，还可以再优化些先个服务员每人负责位学生，余下位学生自由选择不同的队列，总共时间为分钟，服务员人数也挺合理。此算法应用到入侵检测技术中去，对数据进行分析时，可以根据系统存储能力选择些聚类优先进行分析，而后对先分析的这些聚类进行更新。但是怎么来对聚类分析优先级进行划分呢，可以随机选择，也可以人为地按照定的规则选择，比如二维空间可以划分为四个象限，按照象限逆时针的顺序在每个象限中分析这些聚类，也可划分为对称的个区域，先从第个象限的第个