分布式检测的优缺点 优点： 实时告警 实时响应 缺点： 降低目标机的性能 没有统计行为信息 没有多主机标志 没有用于支持起诉的原始数据 降低了数据的辨析能力 系统离线时不能分析数据

本文章针对机器学习进行充分解释说明，便于理解机器学习技术

本文主要介绍了基于网络和主机的入侵检测系统，并对入侵检测中的一项新技术——协议分析技术作了讨论。对于一个网络入侵检测系统，协议分析主要有三方面的作用：为检测引擎提供输入，提高检测的有效性，提高检测效率。对于这些功能，该文论述的协议分析子系统对应有三个功能模块：基本协议数据解析模块，包括对数据包各个头部字段的解析；上下文相关的数据关联模块，包括IP碎片合并和TCP会话重组；应用层协议分析模块，包括对常见应用协议数据的关键字段的提取和分析。文章的最后给出了系统的应用层协议分析的性能测试数据。

入侵检测方面的相关论文，综合万方网等网站的论文，需要的朋友可以过来看看

尼德斯 支持向量机（SVM）和Navie Bayesian分类的网络入侵检测系统。 使用的语言：Python 2.7.6

在网络安全框架中，入侵检测是基准测试之一，并且是保护PC免受许多线程侵害的基本方法。 入侵检测中的巨大问题以大量的虚假警报表示。 这个问题激发了一些专家来发现根据数据挖掘来减少错误警报的解决方案，这是在大数据（例如KDD CUP 99）中使用的分析过程的考虑因素。本文对处理入侵检测中的错误警报的各种数据挖掘分类进行了综述。 。 根据测试结果，在KDD CUP 99上进行数据挖掘的许多过程中，没有任何一个过程可以准确地显示所有攻击类别，并且没有错误警报。 多层感知器的最佳精度为92％； 但是，在基于规则的模型中，最佳训练时间是4秒。 结论是，应使用各种程序来处理几种网络攻击。

完整的KDDCUP数据集。用于入侵检测使用的数据集，具有多种数据攻击方式。。。

在CIRA-CIC-DoHBrw-2020数据集中，采用了两层方法来捕获良性和恶意DoH流量以及非DoH流量。要生成代表性数据集，请访问前10k个Alexa网站，并分别使用支持DoH协议的浏览器和DNS隧道工具来生成HTTPS（良性DoH和非DoH）和DoH流量。在第一层，通过使用统计特征分类器将捕获的流量分为DoH和非DoH。在第二层，使用时间序列分类器将DoH流量分为良性DoH和恶意DoH。

网络入侵检测

一种改进型遗传算法在入侵检测中的应用.pdf