基于数据挖掘的智能入侵检测系统模型及实现
数据挖掘技术在智能入侵检测中的应用研究
683文/刘春明随着计算机网络的不断深入发展网络的各种数据和攻击模式层出不穷并以惊人的速度增长使用一般的方法难以对海量的审计数据进行数据的分析数据挖掘技术应用到入侵检测上来有着非常强的适应性利用改进的关联规则算法建立入侵检测系统模型1用关联规则技术建立入侵检测系统模型在上面图1这个模型里系统将从网络中抓取的网络审计数据和从主机中得到的日志数据首先存入知识库这里是一个数据预处理的过程它将审计数据转化成能够被关联规则学习器学习的数据关联规则学习器是一个数据处理过程它输入的是大量的经过预处理的审计数据通过关联规则学习器的学习得到一系列的关联规则并将这些规则存入关联规则库里关联规则学习器可以定义一些条件阈值如最小支持度和置信度等在关联规则库里得到的关联规则与这些条件阈值密切相关依据最小支持度和置信度的大小有强关联规则和弱关联规则最后检测入侵器根据关联规则库里的关联规则对网络数据或者主机数据做出决策响应2改进的关联规则算法基于A pri ori算法存在的问题提出建立入侵检测系统模型的改进算法哈希修剪算法其改进的算法思想如下给定支持度阈值m i n_sup当扫描第k-1次事务数据库D k-1产生哈希表由_过程得到候选项集的集合计算哈希表各元素的统计数扫描数据库D桶计数低于支持度阂值m i n_sup的k-项集不是频繁k-项集同时若某事务的k-项子集不在C k中则该事务不被加入D k+1[Jong]规定哈希表的阈值l i m i t若哈希表满足支持度阈值的元素的个数大于哈希表的闲值l i m i t则建立哈希表否则不利用哈希表由于入侵检测的数据库数据庞大为产生有效的强关联规则我们预先规定轴属性ax i sat t ribute[W enke98][IE E E99]则产生的关联规则必须包含该属性一个好的软件系统应该是面向对象的[Laym an]我们再用U M L语言构建这个算法的类结构根据该算法至少需要两个类即数据类和A p riori类哈希修剪算法在候选集的产生问题上运用散列技术大大缩小了要考察的候选集特别是候选二项集的集合解决了算法执行过程中的一大瓶颈同时C k的大小随着k的增大明显减小因而可设定一个哈希表阂值当考察哈希表不满足该阈值则不使用哈希表此时算法接近于传统的A pri ori算法算法每次扫描数据库产生L k的同时减少了为下次扫描产生L k+1的数据库大小基于数据挖掘的A M G入侵检测系统A M G是一个能处理现实中任何网络数据和入侵检测模型的框架和结构[H oni g]A M G包括四个子系统由网络感应器和入侵侦测部件组成的实时子系统存储数据的数据库平台具有自适应能力模型生成和模型发布功能的入侵检测模型管理子系统管理可视化进行模糊分析预测和标签数据能从多个记录中关联和提取信息的数据分析子系统网络感应器收集网络环境信息并把数据存储到数据库存储在数据库中的数据被使用数据挖掘工具的入侵检测生成模型用来分类网络活动的异常或正常模型一旦被生成会被存储在数据库模型发布部件部署到实时入侵检测器入侵检测器接受部署其上的检测模型和来自网络感应器实时网络侦听数据用模型评价网络侦听数据最终发现入侵行为数据分析系统检索存储在数据库的数据对数据使用完全依赖于特定数据分析系统分析的结果可以存在数据库以备以后使用也可立即通过交互方式展示给用户数据分析系统允许自适应模型生成系统执行有助于部署的入侵检测系统新的入侵检测数据分析系统很容易被融合到高度模块化的A M G系统中自适应模型生成系统使用包括自治组件如A gent的分布式架构产生相互独立的部件用松散网络通讯协议实现部件之间信息交换信息交换使用X M L或其他易于表达和统一格式语言转达数据挖掘技术在智能入侵检测中的应用研究数据挖掘技术在智能入侵检测中的应用研究200.10H k gen candi dat e k-C kk68信息[X M L]1.实时子系统AM G系统由两个基本部件提供实时侦测能力网络感应器S ensor和人侵检测器D et ect o r网络感应器是一个轻量级的进程它收集来自网络的侦听数据流入侵检测器分析来自网络感应器侦听数据流使用入侵检测模型发现入侵A M G系统有许多复杂的基于数据挖掘入侵模型生成方式如使用决策树概率分析统计学习2.数据库平台数据库平台是A M G系统的核心部件它作为所有被网络感应器收集数据的中心存储器模型生成器使用存储其中的数据生成入侵检测模型并且生成模型相关数据也会被存储其中分析部件也会使用其中的数据作为参考现代数据库平台使用关系数据库有时使用数据仓库它能很容易实现数据操作对于创建基于数据挖掘入侵检测模型的训练数据集是至关重要的因为能使用SQ L查询语言检索任意一个数据子集数据库使过去手工进行数据选择枯燥工作实现自动化这个灵活性对大数据量知识发现是至关重要的数据挖掘平台使用X V IL语言同其他模块之间进行信息交流3.入侵检测模型管理子系统A M G系统管理入侵检测模型的建立和发布使用存储在数据挖掘平台上的数据生成模型通过模型发布器部署到入侵检测器A M G模型生成系统被设计成可以使用任何模型生成算法因而模型生成部件可以被视为一个黑盒相当容易嵌入系统架构中这些部件使用训练数据集作为输入生成异常检测模型不同数据模型生成算法需要不同的训练数据集在架构中允许模型生成器通过特定的SQ L查询产生需要的数据集它能够处理任何类型的模型生成算也就是说它的架构是健壮的4.数据分析子系统数据分析子系统任何一个部件从数据库中提取数据对这些数据执行相应的操作然后再把结果返回数据库存储起来在A M G系统之中数据分析子系统使用SQ L查询和数据库进行交互不时检索和插人数据数据分析子系统和A M G系统的其他部分一样使用特定标签t ag X M L文档进行分析当前执行数据分析的部件有可视化客户端模糊预测工具数据标签工具特征提取器对于可视化客户端就不再详细叙述它主要方便客户使用对于入侵检测系统设计而言一个重要的考虑是其效率一个实时系统必须能够对入侵采取及时反映不需要利用太多系统资源使其免受入侵这个对于基于主机的系统特别重要A M G架构强调轻量级的构件和分布式结构重量级资源可以和入侵检测系统分离唯一需要保护的轻量级部件是网络感应器实现了ID S管理资源最小化作者单位中国银行北京市分行编辑/雨露实现政府职能转变建设社会主义和谐社会文/张葆春建立和谐社会的基础社会主义的政治权力是有史以来第一个同时也是保护弱者利益的政权由于弱者在社会关系中处于不利地位他们往往更容易受到强者的伤害更需要得到政治权力的保护我们说社会主义政治权力是属于人民的公共权力它的历史使命是辩证地否定资本主义的政治权力一方面要剔除资本主义政治权力中少数人统治压迫多数人的弊端另一方面要吸收人类社会包括资本主义政治权力中积累的社会管理的政治文明成果运用公共权力为人民服务而不是为少数人或一部分人服务构建和谐社会必须实现政府职能的转变政府转型是新形势下建设和谐社会的重要途径1.市场经济的背景要求政府直接调控职能退出市场补充市场失灵加强公共管理服务完善社会保障市场机制的建立与完善需要政府职能退出市场政府职能转变不仅是简单的政企分开而是整个社会机体的分开如党政分开企事分开政治团体与社会中介组织分开等现在的情况是各种社会中介组织基本都挂靠在政府部门之下其坏处是中介组织利用政府资源来垄断市场从而损害了政府的声誉导致政府权威的丧失市场机制的运行需要政府弥补市场失灵和加强公共管理与服务政府的作用主要是补充市场失灵从而纠正因市场失灵而引起的资源配置效率的损失公益物品外部效应自然垄断不完全的市场和信息不完整不对称以及收入分配的不公平这都是市场失灵的表现补充这些失灵就是政府的天责提供市场机制所不能提供的公共产品消除市场中的外部性问题维护市场竞争秩序调节收入分配稳定宏观经济环境等等市场竞争的结果需要政府对于弱势群体建立相应的社会保障机制市场竞争的结果并不能保证每一个人都是成功者而2005年2月19日胡锦涛同志在中共中央指出我们所要建设的社会主义和谐社会应该是民主法治公平正义诚信友爱充满活力安定有序人与自然和谐相处的社会建立和谐社会必须依靠党和政府的作用政府职能的转变是构建和谐社会的突破口中学术研究A cademic research200.104。
数据挖掘技术在入侵检测系统中的应用研究
随着 Itre 的迅速 发展 , nen t 计算 机 网络在 现 代
社会 中起 了越 来 越重 要 的 作用 , 与此 同 时 , 们 也 它 成 为许 多恶意 攻击 者 的 目标 , 网络 安全 问题 日渐 突
出
测 系统 就 变得 十分必 要 。
本文 将数 据挖 掘技 术引入 到入 侵检 测 系统 中 , 利用 数据 挖掘 , 海量 的系统 数据 或 网络 数据 流 中 从 实时 提取特 征 , 断 更 新 特 征库 , 高 了系 统 的 检 不 提 测 效率 , 并有 效地 降低 了误 报率 和漏报 率 。
由 于海 量 数 据 的存 在及 网络 环境 和 网络攻 击
的复 杂性 , 传统 的基 于手 工编码 建 立模 型的方 式缺
乏精 确 性 、 时性 和 自适应 能 力 。所 以 , 实 开发 一套
全 策略 的行 为和 被攻击 的迹 象 , 能对 攻击 行 为作 并
出响应 [ 。
能根 据 审计数 据 自动产 生 入 侵检 测 模 型 的入 侵检
Ab t a t s r c :T h o c p fi tu in d tc i n s se a d d t i i g i ntod c d.A fe he c m ・ e c n e to n r so e e to y t m n a a m n n si r u e trt o
Re e r h o plc to f Da a M i n c s a c n Ap i a i n o t ni g Te hno o y Us d i l g e n I t u i n De e to y t m n r so t c i n S s e
P AN i.i Jn i,YUE Ja ,GU n l in Yu ・i ( ai gUn e i f noma o c n e n ehooy Naj g2 0 4 , hn ) N ni i r t 0 [[r t nSi c dT cn l , ni 10 4 C ia n v sy i e a g n
基于数据挖掘的入侵检测系统分析研究
中图分类号 :P 9 ,P 8 T 3 3 T I
文 献标 志码 : A
随着 It e 的发展 , nrt e u 网络已深入千家万户 , 网络安全作为一个无法回避的问题呈现在人们面前。由于
网络 的开 放性 , 成 了网络极 易受到 来 自网络 内部 和外 部 的攻 击 。 网络攻 击 的手段 不 断 出 新 , 造 例如 暴 力攻 击、 网络窃 听 、 源代 码分析 、 I P伪装 、 绝 服 务攻 击 、 拒 网络 扫 描 、 布 式攻 击 、 分 利用 已知 漏 洞及 协 议 缺 陷 攻击 等 。随着 攻击技术 的发展 及其 在 网上 的传 播 , 即使 不 具 备计 算 机专 业 知识 的人 , 能从 网络 上方 便 的 下载 也 并 使用简 单而危 害性很 大 的攻 击工具 。网络 攻击 无处 不 在 , 因此有 必 要 在 网络 中布置 入 侵 检测 系 统 , 以保
收 稿 日期 :0 9— 6—2 ; 回 日期 :09— 8— 1 20 0 5修 20 0 2 。
作者简介 : 焦亚冰 (9 8一) 女 , 17 , 山东济南人 , 讲师 , 士 , 硕 从事决策 支持理论与系统分析研究 。
第 1期
焦亚冰 : 于数据挖 掘的入侵检测 系统分析研 究 基
通 过数据挖 掘技 术和入侵 检测技 术 , 出 了一 种基 于数据 挖 掘技 术 的入侵 检 测 系统模 型 ; 数 据挖 掘 方 法 提 将
中的 关联 规则 , 分类分析在 入侵检 测 系统 中的协 同工作 方式 , 通过 对关联 规则 和分 类分析 , 得到入 侵规 则。
关键 词 : 入侵 检测 系统 ; 数据 挖掘 ; 关联规 则
文章编 号 :6 2— 5 X(0 0 0 0 6 0 17 0 8 2 1 ) 1— 0 0— 4
基于数据挖掘算法的入侵检测方法
[ s at Ab t c]Ho e c oiiacutr gcrs f Me s n S AN ot toterslo d tmiigAi n th rbe ti r wt sl t r n l ls i oe K— a dDB C o e g en o n a ii r ut f aa n . migate o l h s smp a t h e n n p m,
安全技术主 要有数据挖掘入侵检测 技术 等。本文分析 了数 j 据挖掘技术【的 2种常 用算法 D S A 和 K— a s ] BC N Men ,并将 DB C N和改进 的 K Men 算法结合应用于入侵检测系统 , SA — as 对 入侵行为进行检测 ,形成 入侵检测分析系统。
() 2计算标准化 的度量值 :
:
,
12 一 ,
() 2
“f
其中,
是标准化后第 i 个对象的第,个属性值。由此将原
来 的数据转换到一个标准空间。 用于判断的准则函数通常采用均 方误差和 , 其定义如下 :
.
2 常用的数据挖掘算法
将物理或抽象对象 的集合分组成 由类似的对象组成 的多
中圈分类号: P0. T39 2
基 于数据挖 掘 算 法 的入侵 检 测 方 法
陈小辉
( 淮阴师范学院计算机科学与技术学院 ,淮安 2 3 0) 2 3 0
摘
要 : — a s和 D S A K Men B C N算法初始聚类中心的选择对数据挖掘结果的影 响较大 。针对 上述 问题 , 用信息熵改进初始聚类中心选择 利
.
=∑∑ l — ml
i =1
( 3 )
其 中, E是数据库 中所有对象 的均方误差总和 ; x表示给定的 数据对象 ; m 是簇 c中数据对象 的加权平均值 和 都是 i 多维的) ;簇 c的数 目取决于待划分类数 。 i 每个对象与簇 中心的距离采用欧几里德距离,定义如下 :
基于数据挖掘的入侵检测方法研究
误 用检 测上 。异 常检 测技术 又称 基 于行 为 的入侵 检 ]
测技 术 , 它是建立 在 如下假 设 的基础 上 的 , 即任 何一 种
信 、 颖 、 效并 能 被人 所 理 解 的信 息 和知 识 的过 程 。 新 有 数据 挖掘 是一 种决 策支持 过程 , 主要基 于人 工智 能 、 它
入 侵检 测研 究领域 需要 融合其 他 学科 和技术 领域 的知 识 来提供 新 的入侵 检 测解决 方法 , 如人 工智 能 、 据挖 数 掘 等 ] 。本文 提 出了一种 基 于数据挖 掘技术 进行 入侵
检 测的方 法 。
而 , 障计算 机 系统 、 保 网络 系统 以及整 个信 息基 础设 施
究 了 系统 实现 中的 关键 技 术及 其 解 决 方 法 , 包括 数据 挖 掘 算 法技 术 、 侵 检 测技 术 以及 数 据预 处理 技 术等 。 入
关 键 词 : 据挖 掘 ; 数 入侵 检 测 ; 据 预 处 理 数
中 图分 类 号 : P 9 .8 T 3 30
文献 标 识 码 : A
tc noog . e h l y K e r s: t ii g;n r son dee to d t e r es g y wo d d a m n n itu i tc n; a pr—p oc si a i a n
O 引 言
随 着 网络连 接 的迅 速 扩 展 ,特 别是 It n t 范 ne e 大 r 围的开放 ,越来 越多 的系 统遭 到入侵 攻击 的威 胁 。因
基 于数 据 挖 掘 的入 侵 检 测 方 法研 究
周 小尧 , 陈志 刚
( 中南大 学信 息科 学与工程学院 , 南 长 沙 4 0 8 ) 湖 1 0 3
基于数据挖掘的网络入侵检测模型研究
1 网络 入 侵 检 测 系统概 述
11 网络入侵 检 测介 绍 .
网络人侵检测就是从计算机网络系统 中的若干关键点收集信息 ( 如系统 日志、 审计数据和网络数据 包等 )并分析这些信息 ,发现 网络 中是否有违反安全策略的行为和遭到攻击的迹象 。 , 人侵检测根据检测方法的不同可以分为异常检测和误用检测… 而异常检测是指将用户正常的习惯 。 行为特征存储到特征数据库 中, ’ 然后将用户当前行为特征与特征数据库 中的特征进行比较 , 若两者偏差 大于给定阀值 , 则说明发生了异常 , 异常检i 依赖于专家的直觉和经验 , 贝 0 因此有一定的局限性。误用检 测是指将已知的攻击方式 以某种形式存储在知识库 中, 然后通过判断知识库中的人侵模式是否出现来检 测 攻击 ,如 果 出现 ,说 明发 生 了人侵 ,但 它 的缺 点是 不能识 别 新 的攻击 模式 。 根据检测的数据来源 , 入侵检测 系统可 以分为两类 : 1 基于主机的人侵检测系统( I S ; 2 基 () HD ) ( ) 于网络 的人侵检测系统( I S。 N D )基于主机的入侵检测系统是通过分析审计数据和系统 日志来发现可能的 人侵 , 而基于网络 的入侵检测系统通过分析网络数据包来检测可能的人侵。 传统的人侵检测系统依赖于 专家对系统的理解以及对已知人侵模式的认识 , 通常采用字符串模式 匹配规则来建立 , 结果使系统的有 效性和 自 适应性受到了很大的限制。 12 入 侵检 测 的局 限性 . 对目 前各种 网络入侵检测系统( I S分析后可以得知它们具有如下局限性 : ND ) ( )自 1 适应性差 :目前 ,大部分人侵检测产品是由安全专家预先定义出一系列特征模式来识别人
攻击. 高 网络 入侵 检 测 系统 的 自适 应 性和 可扩展 性 。 提 关 键词 :入 侵检 测 ;数据 挖 掘 ;网络 安 全 中图分 类号 :T 3 30 P 9. 8 文 献标识 码 :A
数据挖掘在入侵检测系统中的应用
Ap l a in o aami i gi tu in d tci n s se p i t f t nn i r so ee t y tm c o d nn o
CUIT n LI —o g i g, ln Yu
(.C l g f l t nc a d noma o n ier g az o atn i r t L n h u 3 0 0 C ia 1 ol e Ee r is n fr t n g ei ,L nh uJ oo g v sy az o 0 7 , hn ; e o co I i E n n i Un e i , 7
dt t n sh sac betn h e n t r cr .T e aic ne tadrl ateh iu s fnrs n e c o s m ee i e eerhs jc itef l o e ks ui c o it r u i d f wo e t h s cps n e n cnq e o it i t t ns t y b co ev t uo d ei y e
Ab t a t I t s nd t ci ni i d o n t r e u t c n lg p e rn c n e r . Daami ig c mb n n t tu in s r c : n r i ee t a n f ewo k s c r yt h o o ya p a g i r e t a s u o o s k i e i n e y t n n o i i gwi i r so hn
s se p ro ma c y tm e f r n ei i r v d s mp o e .
Ke r s aamiig itu ind tcin ewo ksc rt; as cainrls Ap ir ag rt ywo d :d t nn ; nr so ee t ;n t r e u i o y so it e; o u roi loi m h
基于模式匹配的入侵检测系统的研究与实现的开题报告
基于模式匹配的入侵检测系统的研究与实现的开题报告一、选题的背景和意义随着互联网信息技术的飞速发展,网络攻击日益频繁和复杂,安全威胁不断增加,亟需有效的入侵检测系统对网络安全进行保护。
传统的入侵检测技术主要是基于签名(signature)匹配的,即事先定义好的规则集合对网络流量进行匹配,从而识别出攻击。
然而,该方法存在无法识别未知攻击(zero-dayattacks)的问题,且规则集合需要不断更新才能保证检测精度。
基于模式匹配的入侵检测系统可以通过对网络流量中的规律性特征(模式)进行匹配来实现入侵检测。
相比于基于签名的入侵检测,基于模式匹配的入侵检测可以识别未知攻击,且具有较高的精确性和可扩展性。
因此,该技术在网络和信息安全领域受到广泛关注和重视。
二、研究内容和方法本项目的研究内容是基于模式匹配的入侵检测系统的研究与实现,旨在通过对网络流量中的模式进行匹配来实现入侵检测。
具体而言,本项目将采用以下方法:1. 基于流量特征提取算法,对网络流量中的特征进行提取,得到流量特征数据集;2. 建立基于模式匹配的入侵检测模型,选择合适的算法对特征数据集进行分类,实现入侵检测;3. 对入侵检测模型进行性能测试和优化,提高系统的精确性和性能;4. 实现一个基于Web的入侵检测系统,并对其进行测试和评估。
三、预期成果本项目的预期成果包括:1. 建立一个基于模式匹配的入侵检测模型,并评估其精确性和性能;2. 实现一个基于Web的入侵检测系统,并测试其在真实网络环境下的性能;3. 提出一种基于模式匹配的入侵检测方法,在入侵检测研究领域具有一定的学术价值和应用前景。
四、研究难点本项目研究难点主要包括:1. 如何选择合适的特征提取方法和分类算法,提高入侵检测的准确性和性能;2. 如何克服流量中的噪声和变化,避免误判;3. 如何实现实时入侵检测,并应对大规模网络流量的处理。
五、研究计划第一年:1. 研究流量特征提取算法,并实现特征提取模块;2. 研究模式匹配算法,并实现入侵检测模块;3. 对模型进行性能测试和优化。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
摘 要 : 侵 检 测 作 为 主动 的 安 全 防 御 技 术 , 计 算 机 网络 中 继 防 火 墙 之 后 的第 二 道 安 全 防线 , 近 年 来 网络 安 入 是 是 全 领 域 的 研 究 热 点 . 究 了 基 于 数 据 挖 掘 的 网 络 入 侵 检 测 系 统 的建 模 及 实 现 . 立 融 合 简 单 规 则 、 议 分 析 、 研 建 协
中图 分 类 号 : 3 1 TP 1
入侵 检测 通过 对计 算机 网络 或计 算机 系统 中的若 干关 键 点 收集 信 息 并进 行 分 析 , 中发 现 网 络 或 系 从
统 中是 否有违 反安 全 策略 的行 为和 被攻 击 的迹象 . 行人 侵检测 的软件 与硬 件的 组合 就是 入侵 检测 系统 . 进 传统 的入 侵 检测 通常按 照基 于主 机的 I S 1 于 网络 的 I S来 划分 . 侵 检测 技 术 可 以分 为 异常 检 D 基 D 入 测和误 用检测 两 种 主要类 型. 用 检测 是建 立在使 用 某 种模 式 或者 特 征 描述 方 法 能够 对 任 何 己知攻 击 进 误 行表 达这一理 论 基础 上 的 , 用检 测 的主要 问题 是如 何 确定 所 定 义 的攻击 特征模 式可 以覆 盖 与 实 际攻 击 误 相关 的所有 要 素 , 以及 如 何对 入侵 活 动的特 征进 行 匹配. 常检测 系统 试 图建立 一个 对应 “ 常 的活 动” 异 正 的 特征 原型 , 然后 把所 有与 所建 立 的特征 原型 中差 别“ 很大 ” 的所 有 行为 都标 志为异 常 . 在入侵 检 测系 统 中采用 数据 挖掘 技 术 , 分 类 的 方法 、 联 规 则分 析 的方 法 以及 序 列 模 式分 析 的方 如 关 法, 从历 史数据 构 成的数 据 源 中提取 有用 的知 识 , 立 知识 库 , 以使 入侵 检测 系统 具有 自我学 习 、 建 可 自我发
数据 挖 掘 分 析 为 一 体 的 模 型 . 中着 重 讨 论 了 基 于 数 据 挖 掘 技 术 的 网 络 入 侵 检 测 系 统 的 实 现 方 法 . 其
关 键 词 : 侵 检 测 ; 常 检 测 ; 用 检 测 ; 据挖 掘 ; 类 ; 联 规 则 入 异 误 数 分 关
文献标识码 : A
常行为 规则 ; 两方 面 的规则 合并 , 成人 侵检 测判 定 的知 识库 . 形
( ) 时数据 处 理模块 : 模块 首先 是获 取 网络 实 时 数据 , 进 行 预处 理 , 后 一 方面 通 过 关 联/ 列 2实 该 并 然 序
模式挖 掘 , 成 用户 的正 常行 为规则 , 与历 史数 据 的正 常行 为规 则 比较 , 形 并 若为新 规 则就 补充 到 知识 库 中 ; 另一方 面通 过 简单规 则检 测 引擎进 行快 速检 测 , 判定 有 无 入侵 , 后 再 通过 知 识 库 进行 人 侵 检 测 的 判定 . 然
展 的能 力 , 自主地 丰 富入 侵 检测 系 统 中入 侵原 型 ( 或许 可 原 型 ) 数量 , 入 侵检 测 系统 具 有智 能 性 , 成 的 使 形
能够捕 获入侵 行 为和定 义 正常 行为 的精 确规 则集 , 此实 施异 常检 测和 误 用检测 . 据 目前大 部分 网络 安全 产 品都是 以误 用检侧 为 主 , 没有 能 进行 有效 的异 常检 测 的成 熟 产 品及 集成 误 用 检测 与 异 常 检 测 为一 体 的 还
维普资讯
第 2 卷 第 3期 1
2O 0 6年 9月
安 徽
工
程 科 技 Leabharlann 学 院学 报 J u n l fAn u ie st fTe h oo y a d S in e o r a h iUnv riyo c n lg n ce c o
Vo1 .21 N o. . 3 Se p.. 00 2 6
文 章 编 号 : 6 2 4 7 2 0 ) 3 0 3 — 0 1 7 —2 7 【 0 6 0 — 0 6 3
基 于数 据挖 掘 的智 能入 侵 检 测 系统模 型 及 实现
宋 平 平
( 肥工 业 大 学 . 徽 合 肥 , 3 0 9 合 安 200)
系统 , 本文 主要研 究 了基 于数据 挖 掘 的智 能人 侵 检测 系统 的建模 及 其实 现方 法.
1 系统 建模
根 据入 侵检 测系 统和 数据 挖掘 技术 的特 征 , 并结 合 入侵 检 测 系统 三 大功 能 组 件结 构 ( 据采 集 器 , 数 分
析器 , 户接 口) 建立一 个融 合 简单规 则分 析 、 用 , 协议 分 析 、 据挖 掘分 析 为一体 的智 能人 侵检 测 系统模 型 , 数 如图 l 示; 所 简单规 则检 测 引擎方 法实 用性 强 、 速度 快 , 协议 分析 将 为应用 层检 测提 供可 能 , 数据 挖掘 技术
体 现 了强 大 的智能 性.
系统 主要包 括 三个部 分 : 历史 数据 处理 模 块 、 时 数据处 理 模块 、 实 检测 响应 模块 . 模块 功 能如下 : 各 ( ) 史数 据处 理模 块 : 1历 该模 块 主要功 能是 对用 户 的历 史数 据进 行数 据挖 掘 ( 类 和关 联/ 分 序列模 式 的 挖掘 ) 形 成基 于分类 规则 和行为 规则 的知 识库 . , 用户 历史 数据 是在 过 去 一 段 时 问 内采 集 的 网 络 数 据 , 试 验 中 可采 用 相 关 网站 下 载 的数 据 ( 国 在 美 DA A 入侵 检测 评估 数据 ) 输 入 到分类 器 的历史 数 据类 标号 已知 , RP ; 即是否 为误 用 检测 已确 定 , 入 到 关 输 联/ 序列 模式 挖掘 的历史数 据 正常行 为 也 已确 认 . 历史 数 据经 过过 滤 、 换 形成训 练 数据 集 , 转 经过数 据预 处 理 后 , 方 面通过 分类 器形 成判 定误 用 检测 的分类 规 则 ; 一 方面 通 过关 联 / 列 模式 挖 掘 形 成 用 户 的正 一 另 序