当前位置:文档之家 › 数据挖掘在网络入侵检测系统中的应用

数据挖掘在网络入侵检测系统中的应用

  • 格式:pdf
  • 大小:431.36 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

数据挖掘技术在网络入侵检测中的应用

数据挖掘技术在网络入侵检测中的应用
维普资讯
第3 o卷第 1 期 2O 年 1 O6 月
江西师范 大学学报 ( 自然科学 版)
J U N LO A G I O M IU IE ST ( A U IS IN E O R A FJ N X R A . N V R IY N T RA.CE C ) I N
V0 . o N . J3 o 1
Jn 0 6 a .2 0
文章编号 :00 82 20 )1 04— 4 10 —56 (0 6 0 —05 0
数 据挖 掘 技 术 在 网 络入 侵 检 测 中的应 用
邱舟 强 , 滕 少华 , 李振 坤 , 陈平华 , 张 巍
13 响应单元 响应单元是系统检测到有异常行为或遭受到攻击时作出响应 的模块 , . 具体响应根据分析器 产生的分析结果而定 . 本系统可以作出如下响应 : 记录异常信息 、 发送 日志文件到指定邮箱 、 断开某个 T P C
连接 、 停止非法进程运行或删除某个应用程序 .
14 事件分析器 . 事件分析器是入侵检测系统的核心部件, 它从其它组件接收 GD , IO 根据所采用的技术不
网络数据 包 / 主机 日志/ 其他信息 图 l 入侵检 测系统体 系Байду номын сангаас构
以表示分析事件后得出的一些结论 , 或表示执
行某个行动的一些指令 .
12 事件产生器 事件产生器是整个人侵检测系统的信息源 , . 从入侵检测系统以外更大 的计算环境 中获取 数据 , 对数据进行初步处理和过滤, 并转化为 GD IO标准格式提交给系统 的其它组件使用 . 据信息 的来源 根
1 入侵检测 系统结构
11 入侵检测系统总体结构 本文的入侵检 . 测系统符合 C F I 标准l , D 8 由事件产生器 、 j 事件

数据挖掘技术在网络入侵检测中的应用探讨

数据挖掘技术在网络入侵检测中的应用探讨
关键词: 数据挖掘 ;入侵检测 ;网络 安全 中图分类号:T 3 文献标识码 :A 文 章编号:1 7 -7 9 2 1 )0 1 1 3 2 P 6 1 5 7( 0 0 6 0 7 —0
0引 言
2数 据 挖掘技 术在 网络 入侵检 测 中的应 用探讨
2 1数 据挖掘 技术 与 网络入侵 检测 系统 的融合 .
的协 同作 用 ;对 子系 统调 用序 列数 据 ,可 以采 用序 列模 式挖 掘 算法 ;对 于
果能够 为 用户 和系 统 的所有 正常 行 为总 结活 动规 律 并建立 行 为模 型 ,那 么
入 侵检 测 系统 可 以将 当前捕 获到 的 网络行 为 与行 为模 型相 对 比 ,若入 侵 行 为偏 离 了正常 的行 为轨 迹 ,就可 以被 检测 出来 。它主 要存 在 以下 缺 点: 误 报 率高 、行为 模型 建立 困难 、难 以对 入侵 行为 进行 分类和 命名 等 。

个 入侵 信 息库 ,那 么入 侵检 测 系统 可 以将捕 获 的网络 行 为特 征与 入侵 信
数据 广——_ 。 据 ,
挖 掘 数据 J
息库 中 的特征 信 息相 比较 ,如 果 匹配 ,则 当前 行为 就被 认 定为 入侵 行 为 , 这种 方法 与大 部 分杀毒 软 件采 用 的特 征码 匹配 原理 类似 ,但 它 也存 在很 多 缺 陷,如 不能 检测 出新 的 入侵 行为 、完 全依 赖 于入 侵特 征 的有 效性 、维 护
哥伦 比亚大 学和 北卡 罗来纳 州立 大 学 的研 究人 员于 20 年首 先提 出将 00
数据 挖 掘 的方法 用于 入侵 检 测 。与基 于模 式 匹配 的入 侵检 测技 术不 同 ,基
于数 据 挖掘 的入 侵检 测 技术 可 以 自动 地从 训 练数据 中提取 出可 用于 入侵 检

数据挖掘算法在入侵检测中的应用

数据挖掘算法在入侵检测中的应用

个非常活跃 的研究领域 。入侵检测(n ui e I rs nD — t o
t tn 是检测任何企图危及资源的完整性 、 ei ) co 机密性
和可用性的活动 , 并采取相应的对抗措施 。18 90年
Jm s l r n a e Ad s 首先提 出入侵检测的概念 , eo 他对入侵
范的 IS 以共享检测信息 , D 可 相互通信、 同工作 ; 协
还可 以与其它系统 配合 实施统一 的配置 响应 和恢 复策略。CD IF的主要 作用在于集成各种 IS使之 D 协同工作 , 实现各 I S 间的组件重用 , 以 CD D 之 所 IF 也是构建分布式 IS的基础 。 D
是所 有 IS所 需 要 的 , D 同时也 是 可 以重用 的。
事件分析器 ( vn aa zr)从其他组件接收 E et nl e : y s g o, i s分析得到的数据 , d 并产生新 的 g o。如分析 is d 器可以是一个轮廓特征引擎 。 响应单元 ( epne n s)是对分析结果做出 R sos u i : t 反应的功能单元 , 它可以终止进程 、 重置连 接、 改变 文件属性等 , 也可以只是简单 的报警 。 事件数据库 ( vn dt a s : E et a bs ) 是存放各种中间 a e 和最终数 据 的地 方 的统称 , 它可 以是 复杂 的数 据
入侵检测。
32 1 异 常入侵 检测 ..
3 人侵检测系统的主要分类
n ●
该方法主要是建立计算 机系统 中正 常行 为的
模式库 , 然后根据采集的统计数据 , 检查偏差 , 以确
性 。在 网络 安全产 品 中发 展 最 早 , 最 成 熟 的是 防 也

数据挖掘在入侵检测中的应用

数据挖掘在入侵检测中的应用

很好地解决这个问题, 现有的数据挖掘算法通 过发掘数据之间的关系, 可以为我们的分析提 供各个不同侧面的数据特征。特别是我们可 以将以前的结果和最新的数据加以综合, 这样
可以大大减少不必要的数据。
经过深入分析发现, 尽管基干数据挖掘的 入侵检测模型在检测性能和通用性方面具有 但在采用此类系统时仍然存在一定困难 ds _b t , g 共7项组成, 务的唯一 t y e f s l a 事 标识 优势, 于是对大量历史 数据处理, 检测 符为time , 其中service 为服务 (或目 的的端 检测效率: 由 实时性 口 srcellost 为源主机,t _hos 为目 ), s ds t 的主机, 模型在学习和评价阶段的计算成本高, dst‘y e 为源主机发出的数据包大小, g 为 实施困难。使用性能: 系统需要大量的训练数 1t s 〕 a i f 据, 而且比传统系统更加复杂。 标记。
择过程。
4 数据挖掘技术在入俊检测中的应用
4 . 1 关联规则挖掘 关联规贝是数据挖掘中最为广泛应用的 ] 1 技术之一, 也是最早用于人侵检测的技术。 最早运用这种技术是作为一种工具去产生关 干网络流的报告。 发现关联规则问题就是发现所有支持度 和可信度均超过规定闭值的关联规则, 这个发
由干应用数据挖掘技术的异常检测不墓于信 号匹配模式, 它并不就每一个特别的信号进行 检测, 所以就不存在这个问题, 表现出一定程 度的实时性。 5. 2 误警率低 现有的系统过度依赖于单纯的信号匹配, 它发出的警报可能远远多于实际的情况, 在某 种正常的工作中 如果包含这种信号的话, 就必 然产生误警。采用数据挖掘的系统可以从等 报发生的序列发现某种规律从而滤出那些正 常的行为产生的信号。数据挖掘方法还可以 有效地剔除重复的攻击数据, 因而具有较低的

数据挖掘技术在计算机入侵检测中的应用

数据挖掘技术在计算机入侵检测中的应用
( 河北 建筑 工程学 院 , 河北 张家 口 0 7 5 0 0 0 )

要: 分析 了聚类 、 分类 、 关联规 则等在 I D S 中常用 的数 据挖掘 算法 , 并 介绍 了D A I D 这种 以数据库 为
中心 的数据挖 掘体系架构模 型 , 对其数据处理过程进行展现 。 关键词 : 数据挖 掘 ; 入侵 检测 系统 ; 数据库 ; 算 法
Q Ai h u a , S o n g S h u c a i
( He b e i I n s t i t u t e o f A r c h i t e c t u r e C i v i l E n g i n e e i r n g, Z h a n g j i a k o u 0 7 5 0 0 0 , C h i n a )
1 I D S中的数据 挖掘算法
入侵检 ̄ J t ( I D S ) 是一种积极 主动 的安全防护技术 ,
的度 量和共 同的特征对属 于该集 群 的数 据进行建 模 。 聚类被用 于检测混合性 的入侵攻击 ,它是一 种无人值
守 的机器 自学 习机制 。 在 聚类算法 中, K — M E A N S 是一种常用 的简单有 效
第2 9卷 第 1 O期
2 0 1 3年 l 0月
科 技 通 报
BUL L E T I N 0F S C I ENC E AN D I ECHN0L 0GY
V o I . 2 9 No . 1 0
0c t .2 01 3
数据挖 掘技术在计算机入侵检测 中的应 用
祁爱华 , 宋淑彩
的算法 。 它采用距离作为相似性 的评价指标 , 利用函数 求极值 的方法得到迭代运算 的调整规则 。 K — ME A N S 算 法把r t 个对象根据他们 的属性分为k 个分割 , k < n 。它与 处理混合正态分布 的最大期望算法很相 似 ,因为他们 都试 图找到数据 中 自然聚类 的中心【 l 1 。 其公式可 以表达

数据挖掘在入侵检测系统中的应用

数据挖掘在入侵检测系统中的应用

Ap l a in o aami i gi tu in d tci n s se p i t f t nn i r so ee t y tm c o d nn o
CUIT n LI —o g i g, ln Yu
(.C l g f l t nc a d noma o n ier g az o atn i r t L n h u 3 0 0 C ia 1 ol e Ee r is n fr t n g ei ,L nh uJ oo g v sy az o 0 7 , hn ; e o co I i E n n i Un e i , 7
dt t n sh sac betn h e n t r cr .T e aic ne tadrl ateh iu s fnrs n e c o s m ee i e eerhs jc itef l o e ks ui c o it r u i d f wo e t h s cps n e n cnq e o it i t t ns t y b co ev t uo d ei y e
Ab t a t I t s nd t ci ni i d o n t r e u t c n lg p e rn c n e r . Daami ig c mb n n t tu in s r c : n r i ee t a n f ewo k s c r yt h o o ya p a g i r e t a s u o o s k i e i n e y t n n o i i gwi i r so hn
s se p ro ma c y tm e f r n ei i r v d s mp o e .
Ke r s aamiig itu ind tcin ewo ksc rt; as cainrls Ap ir ag rt ywo d :d t nn ; nr so ee t ;n t r e u i o y so it e; o u roi loi m h

数据挖掘方法在入侵检测系统中的应用

数据挖掘方法在入侵检测系统中的应用


要 : 绍 了入 侵 检 测 的 概 念 及 其 技 术 方 法 , 较 了异 常 检 测 与 误 用 检 测 方 法 的 优 缺 点 , 讨 了数 据 挖 掘 技 术 在 介 比 探
异 常 检 测 中 的应 用 , 析 了数 据 挖 掘 方 法 中 的 关 联 分 析 、 列 模 式 分 析 和 分 类 分 析 在 入 侵 检 测 系 统 中 的 协 同工 作 方 式 , 分 序 通 过 对用 户 行 为 模 式 的挖 掘 。 到 入 侵 规 则 . 得 关 键 词 : 侵 检 测 l异 常 检 测 ; 用 检 测 ;数 据 挖 掘 ; 联规 则 ;序列 规 则 ;分 类 分 析 规 则 入 误 关 文 献标 识 码 : A 文章 编 号 :0 0—19 (0 6 0 10 8 12 0 )1—0 7 0 6一O 3
维普资讯

庆 石 油 Nhomakorabea学



第3 O巷
Vo.3 1 O
第 1期
No .1
2 0 年 2月 06
F b 2 0 e. 06
J OuRNAL O AQI E OL UM NS I FD NG P TR E I T TUTE
常操作 建立 精确 的行 为模 式 , 一 个 自动 的过程 , 是 不需 要 人 工 分 析 和 编码 入 侵 模 式.此 外 , 同的算 法可 相
用于多 种证 据数据 , 增强 系统 的 可适 应 性.数 据 挖 掘 方 法 的关 键 在 于 选 取算 法 和建 立 体 系 结 构.根据 可
精确度 较 高 ; 点是 不能检 测 未知 的入 侵 , 不 能 检 测 已知 入 侵 的 变 种 , 此 可能 发 生 漏 报.常 用 的 检测 缺 也 因 方法 有模 式 匹配 、 家 系统 、 型推 理 、 专 模 状态 转换 分 析和 P ti er网等 .②异 常检 测 ( o l tcin 针对 AnmayDeet ) o 异常入 侵 ( 由用 户 的异常 行为 和对 计算 机资 源 的异 常使用 产 生 )建立 目标 系统 及用 户 的正 常活 动模 型 , , 基 于该模 型对系统 和用 户 的实 际活动 进行 审计 , 以判 定 用 户 的 行 为是 否 对 系 统构 成 威 胁 .异 常检 测 的 优点

数据挖掘技术在入侵检测系统中的应用

数据挖掘技术在入侵检测系统中的应用

随 机 的 数据 集 中 识 别 有 效 的 、新 颖 的 、 潜在 有 用 的 , 以及 最 终 可 理 解 的 模 式 的 过 程 。它 是 一 门涉 及 面很 广 的 交 叉 学 科 , 包 括 机 器 学 习 、数 理 统 计 、神 经 网络 、 数据 库 、 模 式 识 别 、
粗糙集 、模糊数学等相关技术 。 将 数据挖 掘技术应用于入侵检测 能够广泛地审计数据来 得 到模 型 , 从 而 精 确 地 捕 获 实 际 的 入侵 和 正 常 行 为 模 式 。这
流 ,有利于建造适应性强 的入侵检测系统。 入 侵 检 测 领 域 的 一 个 研 究 重 点 是在 收集 到 网 络 的 原 始 数 据后 ,如何从大量的原始数据属性 中有效地区分正常行为和 异常行 为, 以及如何 自动有效地 生成入侵 规则。要完成这项 工作必 须研 究各种数据挖掘算法 ,例如 关联分析数据挖掘算 法 、序 列分析数据挖掘算法 、分类 分析 数据 挖掘算法等等 。 关联 分析 数据挖 掘算法可用于 发现 网络连 接记录各属性之间 的关系 ,序列分析数据挖掘算法 能发现 网络连接记录 问的时 序关系 。使用关联分析数据挖掘和 序列分析数据挖掘算法可 以得到 正常行为的模式 ,用于异常入侵检 测。分类分析数据 挖掘算法可 以从训练 数据 中挖掘 出能识别出正常行为和入侵 行为的规则 。
这 种 行 为 是 入 侵 。这 种 检 测模 型 误 报 率 低 ,但 漏 报 率 高 。对 于 已知 的攻 击 ,它 可 以详 细 、 准 确 地 报 告 出攻 击 类 型 , 但 是 对 未 知 攻击 却效 果 有 限 ,而 且 特 征 库 必 须 不 断 更 新 。 个优 秀 的 入 侵 检 测 系 统 应 具 有 有 效 性 、 自适 应 性和 可 扩 展 性 ,常 用 的入 侵 检 测 系 统 多 属 于 基 于 规 则 的 误 用 检 测 ,

数据挖掘算法在入侵检测中的应用分析

数据挖掘算法在入侵检测中的应用分析
为模 型 ,解决传统的基于误用的入侵检测系统只能检测已知攻 击 ,不能检测未知攻击 以及已知攻 击变种 的缺陷 。目前常 用的
I t e ms e t s 代替 。第 四步 ,序 列阶段 ,利用大数据项集发掘 序列
模式 。第五步 ,序列最高化阶段找出所有序 列模式的最高序列 数据挖掘 分析方法有 :关联分析 、序列分析 、聚类分析和 分类 集 。 分析 。 ( 2 )序 列模 式分析在入侵检测 中的应用 。序列模式 分析
南枉科 技 2 0 1 3 年I g 5 1 t  ̄
信 息 纵 横
数据 挖掘算法在入 侵检测 中的应用分析
耿 风
4 7 5 0 0 4 河 南开 封 黄 河 水 利职 业 技 术 学 院
摘 要 本 文 在介 绍 了入侵 检 测技 术 和数 据 挖掘 的基 础 上 ,重 点分 析 了数 据 挖 掘 的 关联 分析 、序 列 分析 、聚 类 分 析 和
同时保证 规则的支持度和信任度大于用户预先指定的最小支持
系,运用序列分析发现入侵行为的序列关系 ,从 中提取 出入侵 度和最小信任度 。关联分析就是要发现关联规则 ,找 出给定数 行为之间的时间序列特征 。序列模 式分析 一般不单独使用 ,它 据集 中数据项之间的联系。也就是给定一组I t e m和一个记录集 可用 于入侵检 测过程 的某一步骤 ,从数 据中挖掘 用户序 列模 合 ,通过分析记录集合 ,推导 出I t e m问的相 关性 。
保证 系统 安全的 目的… 。根据检测方法 的不同 ,入侵检测可 以 分为误用检测和异常检测两种 。 目前 ,大多数网络入侵检测 系 统 都是事先设定好入侵规则库 ,然后通过规则匹配来发现入侵 数据 ,也就是所 渭的误用检测机制 。这一做法的最大缺点就是

数据挖掘技术在入侵检测系统中的应用

数据挖掘技术在入侵检测系统中的应用

美国国防高级研究计划 署(
P ) 出的公共入侵侵检测是检测和识别针对计算 机系统和 网络系统 , 或
者更广泛意义上的信息 系统 的非法攻击 , 或者违反 安全策 略 事件 的过程 。它从计算机 系统或者网络环境 中采集数据 , 分 析数据 , 发现可疑攻击行 为或 者异常事件 , 并采取 一定 的响
用人侵检测利用这些特征集合或者是对应 的规则集合 , 当 对 前 的数据来 源进行各种处理后 , 再进行特征匹配或者 规则 匹 配工作 , 如果发现满足条件 的匹配, 则指 示发生 了一次攻 击 行为。异常入侵检测的假设条 件是对攻击行 为 的检测可 以
通过观察当前活动与 系统 历史正常 活动情况之 间的差异 来 实现。异常入侵检测通常都会 建立一个 关于 系统 正常 活动 的状态模型并不断进行更新 , 然后 将用户当前 的活动情况 与 这个正常模 型进行对 比, 如果发现了超过设定 闽值 的差异 程 度, 则指示发现了非法攻击行为。 1 2 入侵检测系统 的 C D . I F模 型
有用的知识的过程 。介绍 了通 用的数据挖掘技 术, 以及其在入侵检 测 中的应 用。并给 出了基 于数据挖 掘的入侵检
测模型。
关键 词 : 网络信 息安 全 ; 侵 检 测 ; 据 挖 掘 ; 型 入 数 模
中图分 类号 : P 9 .8 T 3 3 0
文献标识码 : A
O 引言
近年来 , 随着信 息和 网络技术 的高速发展 以及政治 、 经 济和军事 利益 的驱动 , 计算机和网络基础设施成为黑客攻击 的热 门 目标 。特别对电子商务 的热切需求更 加激化 了这种 入侵 事件 的增长趋势。由于防火墙只防外不防内, 并且很容 易被绕过 , 以仅仅依赖 防火墙的计算机 系统 已经不能对付 所

数据挖掘技术在计算机网络入侵检测中的应用

数据挖掘技术在计算机网络入侵检测中的应用

数据挖掘技术在计算机网络入侵检测中的应用摘要:数据挖掘充分利用了这些学科的结果,但是研究目标和重点又不同于这些单一研究领域。

数据挖掘方法能从巨大的真实数据库中提取感兴趣的和以前不知道的知识,从而成为一个在理论和应用中重要而实用的研究领域。

网络安全技术从应用方面来看,主要分为面向终端系统的网络安全技术和面向网络基础架构的安全技术。

本文主要探讨数据挖掘技术在计算机网络入侵检测中的应用。

关键词:数据挖掘;计算机网络;入侵检测中图分类号:tp393.08 文献标识码:a 文章编号:1007-9599 (2013) 02-0000-021 引言计算机网络物理介质的不安全因素主要有电磁泄漏及干扰,网络介质在接口、某些特定线缆都有可能出现因屏蔽不严而导致的信号泄漏。

目前大多数计算机网络系统的屏蔽措施都不是很健全,这对网络安全构成了一定威胁。

操作系统和应用程序在功能上变得越来越丰富,在用户使用网络更加方便的同时,也存在很多容易受到攻击的地方。

人员安全问题主要是由于工作人员的保密观念不强导致。

其中操作失误导致的信息泄漏或损毁也是导致安全问题的一个重要因素。

工作人员利用自己对系统的熟悉了解,为达非法目的对系统数据进行篡改、破坏也会对网络系统造成严重后果。

环境安全问题主要是由于地震、火灾、雷电等自然灾害或掉电、温度湿度、空气洁净度等环境因素所导致的安全问题。

2 计算机网络入侵的原理良好的网络规划与设计,以及适合具体网络结构的网络管理,能大大降低网络运行成本和网络管理员的劳动强度。

好的网络管理系统能提供给网络管理员一个非常清晰的网络拓扑结构,把大量网络运行的状态数据转化为非常简单的图形提示,及时反馈网络中出现的问题。

这种高度的协同性不仅表现为企业内部各种信息系统的相互协同,而且表现为企业内部信息系统与外部信息系统的有效协同。

计算机病毒、黑客、信息垃圾、存储设备故障等方面的问题给分布式网络管理结构带来许多的安全隐患,对分布式网络管理结构的安全防范机制的建设提出了更高的标准,要求企业在信息资源集成过程中采取必要的安全保障措施来保证信息资源的安全。

论数据挖掘在计算机入侵检测中的应用_张淳

论数据挖掘在计算机入侵检测中的应用_张淳

981 引言在信息时代高速前进的今天,网络安全问题也伴随着信息高速发展变得层出不穷。

有许多人学习各种攻击的手法通过丰富的网络资源去攻击别人,通过一个简单的操作去试试自己的破坏行为,所以目前最紧要的就是能够找到有效的检测方法去阻止这些攻击行为,这也是目前计算机行业的一个发展趋势。

对于网络安全的保护手段随着攻击的不断变化而变化,这些手段我们大都耳熟能详,像VPN 、防火墙等。

但是这仅限于静态方法,并不能真正意义上的有效保护。

而入侵检测(Intrusion Detection)技术才是时下最有用的对(网络)系统的运行状态进行监视的系统,它的主要作用就是发现层出不穷的攻击企图、攻击行为与攻击结果,通过技术手段去保证系统资源的机密性、完整性与可用性不外泄,最终形成一种动态的有效地防护保护策略,它的优秀就在于能够对网络安全实施全程监控、攻击与反攻击等动态保护,可以说是填补了静态防护策略的空白。

滥用检测和异常检测是传统的入侵检测技术。

滥用检测的主要作用在于分析不同的网络攻击,通过寻找网络攻击的相同点,及时有效的防范已知攻击,减少防范误差,但是这种方法的弊端在与智能检测到现有的攻击,不能时时起到检测作用;但是对于异常检测通来说,它的工作原理是通过检测,发现当下活动是否与历史正常活动有区别来检测是否有入侵攻击,它的优点在于能够检测到未知攻击,但是它的缺点也能够显而易见发现就是会产生误报以及漏报危险。

所以在进行网络入侵检测系统监察时,就必须把查漏工作做得位,需要运用数据挖掘技术直接进行网络入侵的检测,对于这个系统来说,基础的模型是以Snort 入侵检测系统为主的,使网络入侵检测系统凌驾于数据挖掘之上。

2 网络入侵检测系统中针对数据挖掘的应用在网络入侵检测系统(IDS)中,通过数据挖掘技术的应用,起到时时方法的作用。

它的工作原理在于把挖掘审计数据作为防范的依据,在数据中找到入侵行为,简单而有效的这么一种检测规则。

需要审计的数据主要是通过预先处理和有时间的审计记录进行监控。

数据挖掘技术在入侵检测系统中的应用

数据挖掘技术在入侵检测系统中的应用

第25卷第5期V ol 125 N o 15长春师范学院学报(自然科学版)Journal of Changchun N ormal Un iv ersity (N atural Science )2006年10月Oct 2006数据挖掘技术在入侵检测系统中的应用高 峰1,姚艳秋2(11安阳师范学院计算机科学系,河南安阳 455002;21长春师范学院信息技术学院,吉林长春 130032)[摘 要]将入侵检测系统中的攻击程度进行分类,并利用数据挖掘技术在入侵检测系统中加以应用。

尽管入侵检测系统能够对攻击行为进行检测,但其结果还是具有不确定性的,利用这种划分能够对攻击行为的不确定性进行描述,也可以让用户对入侵行为进行灵活的调整。

[关键词]数据挖掘;入侵检测系统;不确定性[中图分类号]T P391;TP393 [文献标识码]A [文章编号]1008-178X (2006)05-0041204[收稿日期]66[作者简介]高 峰(),男,陕西西安人,安阳师范学院计算机科学系助教,硕士,从事数据库技术及其应用研究。

1 引言目前,计算机入侵频繁出现,并逐渐超过了我们对其检测、分析和控制的能力,根据统计数据表明,大量的攻击曾试图侵入过一些重要的电子商务网站,更为震惊的是,实际上其中仅仅有低于4%的攻击被检测和报告过。

在网络中流动的报文构成了大量的数据,而数据挖掘技术的显著特点就是从海量数据中提取出新颖的、对使用者有价值的知识,来预测将要发生的行为。

数据挖掘技术已经在商业领域、金融领域取得了非常巨大的成功。

而网络中的报文,以及在服务器和工作站中保留的审计信息,其数量之大,自然地成为数据挖掘技术进行分析的对象。

可以想象,有效地利用数据挖掘技术对这些数据进行处理,得到的结果对于入侵检测有着重要的意义。

2 入侵检测系统入侵检测是一个对在计算机系统中发生的事件进行监视和分析的过程,其目的是检测出威胁计算机安全的情况。

入侵检测的策略可以分为两种:误用检测策略和异常检测策略。

浅论数据挖掘技术在入侵检测系统中的应用

浅论数据挖掘技术在入侵检测系统中的应用

要专 用 的 软 、 硬件 平 台 支 撑 . 碍 了 系统 在 新 环 境 下 的重 用 和 制 可 以来 描 述 它 们 。 即: 阻 服务 、 目的 主机 、 主 机 、 端 口 、 记 、 源 源 标 包 定。 同时造 成 嵌入 新 的 检 测 功能 模 块 困 难 。 对 于 提 高入 侵 检 测 的 大小 。以 下 的分 析 过 程只 用这 6种 属性 。 这 32 数 据 挖 掘算 法 . 模 型 的可 扩展 性 是不 利 的
维普资讯

பைடு நூலகம்



20 0 8年第 8期
浅论 数 据挖 掘 技术在 入侵 检 测 系统 中的应 用
林 玉 章
(福 建建 材 工 业 学校 福 建 福 州 3 00 50 2)
【 摘
要 】 本 文提 针 对 现 有 入侵 检 测 方 法 的缺 陷 , 合 异 常 检 测 和 误 用检 测 , 出 了一 种 用 数 据挖 掘技 术 构 造 入 侵检 : 结 提 算 法 相似 度 函数

攻 击行 为 和 系统 弱 点进 行 分 类 。 对 检 测 类 型 选 择统 计 方 法 , 针 然 个 特征 。 在 进行 人 侵 检测 时 . 果 用 到所 有 的 特 征 。 算量 会 如 计 后 人 工进 行 代码 输入 . 立 相应 的检 测 规则 和模 式 。 对 于复 杂 很 大 。在 一 个 网络 连 接 描述 中 .属性 的重 要 性存 在 一 个 偏序 关 建 相 的网 络系 统 而 言 .领 域专 家 的知 识 随 着 时 问 和空 问 变 迁 其局 限 系 。 有一 些 属 性 是描 述 数 据 的基本 属 性 。 一些 则 只提 供 辅 助信 另 性 突显 . 因此 对 提 高入 侵 检 测模 型 的 检 测有 效 性 是不 利 的 。 域 息 。 于关 联 规 则 中项 约 束描 述 的属 性 称为 轴 属性 。 领 用 而且 我们 并 专 家通 常 关 注 已知 的攻 击 行 为 特 征 和 系统 弱 点 .对 其进 行 分 析 不 一定 要 用 到 所有 的特 征才 能 够检 测 到入 侵 。 研 究 .造 成 检测 模 型对 于 未 来 系 统 面 临 的更 多 的 未 知入 侵 缺 乏 通 过删 除 冗 余 特征 或 聚类 来 消 除多 余 的 数据 . 以减 少 系统 而且 这 样 做 不会 影 响f 或基 本 不影 响 ) 终 的 挖掘 最 适 应 能 力 , 安 全 系统 升 级 周 期 长 , 而 费用 高 . 于 提 高 入 侵 检 测 计 算 的复 杂 性 。 对 模 型 的检 测适 应 性是 不 利 的 由 于专 家 规 则 和 统计 方法 通 常 需 结 果 。 析 大部 分 入 侵行 为 , 以 知道 , 过几 种 重 要 的特 征 , 分 可 通 就

数据挖掘技术在网络入侵检测系统中的应用

数据挖掘技术在网络入侵检测系统中的应用

合 子 模块 。 系 统 的整 体 中 , 个模 块 采 用 在 各 了结 构 清 晰 的 分 层模 式 , 利 于 适 应 不 同 有 网络的设置和部署 。 系统 对 于 网 络 入 侵 检 测 有 着 自身 的 操 作 流 程 , 括 信 息 的 实 时 包 采 集 与处 理 , 网络 入 侵 的 检测 和 分 析 , 户 用 报告的提交以及系统的联动响应。 2 2 入侵 检测 系统 主要模 块功 能 . 2 2. . 1初 始 化 模 块 主 要功 能 初始 化 模 块 是 对 入 侵 检 测 系 统 采 集 到 1 相关技术概述 包 数据 挖 掘 技 术 能 够 从 随 机 的 数 据 中 , 的 数 据 包 进 行 预 处 理 工 作 , 括 数 据 包 的 规 通 过 处 理有 噪 声 的 、 糊 的 信 息 , 取 出其 解码 , 则 的 分 析 以 及 日志 格 式 的 初 始 化 模 提 中有 用 的知 识 。 侵 检 测 技 术 则 通 过 对 计 等 等 。 虑 到 网 络 的异 质性 , 入 考 初始 化 模 块 能 在 算 机 网 络 系统 中 的关 键 点 信 息 的提 取 和 分 够 对 各 种 网络 接 口进 行 兼 容 。 解 码 完 毕 析, 对违 反 安 全 策略 的 行 为进 行 辨 别 , 并捕 之后 , 块需 要 对 各 类 数据 进 行 分 析识 别 。 模 捉 遭到 攻 击 的 迹象 , 及时 作 出响 应 , 以保 证 通 过 规 则 树 的 建立 , 将数 据 挖 掘 的 规 则 以 系统 的 信 息 安 全 。 树 形 结 构 进 行 存储 , 形 结 构 的 根 节 点 是 树 数据 挖掘 技 术 为 了实 现 有 效 的 信 息提 个 指 向 树 结 构 的 指 针 , 他 的 节 点 分 别 其 这 取 , 常 会 结 合 体 的 挖 掘 目标 而 进 行 不 同 代表 某 一 个 规 则 。 样 的设 计 能 够 结 合 规 通 同时 , 类 型 的算 法 , 聚 类 分析 , 联 分 析 等 对 则数 据 库 中 的具 体 规 则 来 解析 数 据 , 如 关 入 侵检 测 系 统 而 言 , 些 算 法 都 能 起 到 良 这 定 义 报 警 及 日志 数 据 。 好 的效 果 。 网络 流量 巨大 的 情况 下 , 在 数据 2 2. . 2数 据 融 合 模 块 主要 功 能 入 侵 检 测 系统 中起 关 键 作 用 的 是 数 据 挖 掘 技 术 由于 借 助 了 计 算 机 的 计 算 能 力 , 其 因而 能够 实 现 智 能性 好 , 自动化 程 度 高 ,自 融 合 模 块 , 主 要 功 能 为 针 对 网络 上 捕 捉 适应能力强的入侵检测系统。 到 的 具 体 信 息 进 行 规 则 匹 配和 预 处理 , 并 结 合 具 体 的处 理 结 果 作 出判 断 与 决 策 , 如 果 必 要 , 向联 动模 块 系统 发 出 响应 , 警 就 将 2 入侵检测系统 中的数据挖掘模型 2. 入侵检 测 系统整体 结构 1 报信息发送给系统用户以及防火墙 。 本 文 所 设计 的 基 于 数 据 挖 掘 技 术 的 网 本 文 所 设 计 的数 据 融 合模 块 通 过 对 不 不 络 入侵 检 测 系 统 的整 体 结 构 主要 包 括 以 下 同 位 置 、 同 角 度的 信 息进 行 全 方 位 的 收 些模 块 : 信息 系 统管 理 平 台 、 息 系 统核 集 , 而 将 反 映 网络 系统 中 的 相 关 状 态 的 信 从 心 模 块 、 数 据 总 线 及 元 数 据 注 册 管 理 平 信息 , 网络 数 据 包 、 元 如 系统 日志 和 口令 等 进 台等 部分 , 幅所 限 , “ 心 模块 ” 分 组 行有 效 收集 。 合 多 个传 感 器 的 协 同操 作 , 篇 其 核 部 结 将每 一 个 传 感 器 的 数 据 都 收 集起 来 , 而 进 成框 图如 图1 示 。 所 使 系统 核 心 模 块 的 基 本 功 能 是 为 信 息 系 引入 综 合 优 化 的 处 理 方 法 , 所有 传 感 器 提 统进 行 整 体业 务 逻 辑 的 设 计 。 心 模 块 可 冗 余 信 息 进 行 组 合 , 取 观 测 环 境 的一 致 核 大 以进 一 步 细 分 为 三 个 功 能 子 系 统 , 别是 性 描 述 , 大 增 强 入 侵 检 测 的 准 确 率 。 分 初始化子模块 、 系统 控 制 子 模 块 和 数 据 融 2. 3报 文 捕 获 子 模 块 主 要 功 能 2.

数据挖掘技术在入侵检测系统中的应用

数据挖掘技术在入侵检测系统中的应用

火墙 的有 力 补充 。 各 种时 间信 息进行 分析 , 中发 现 对 从
违 反安 全策 略 的入 侵行 为是 入侵 检测 的核 心功 能 。入 侵 检测 主要有 两种 : 即滥用 检测 和异 常检测 。 滥 用 检测 ( s s eet n 是 指将 已知 的 攻击 方 mi ed t i ) u co
维普资讯
第 5期 ( 第 9 期 ) 总 8
机 械 管 理 开 发
MEC HANI AL C MAN AG EME AND DE LO MEN NT VE P T
20 0 7年 1 月 0
O t2 0 e .0 7
N . (U o 8 o S MN . ) 5 9
方 法 。在入侵 检测 系统 中使 用数 据挖 掘技 术可 以有 效 地 从各 种数 据 中提取有 用 的信 息 。数 据挖 掘技 术非 常
式 以某种 形式存 储 在知 识库 中 ,然 后通 过判 断 知识 库
中的入侵 模式 是否 出现来 检测 攻击 , 果 出现 , 明发 如 说
生 了入侵 [ 滥用 检测 的优 点是 可 以针对性 地建 立 高效 1 】 。 的入 侵检 测系统 ,其主要 缺 陷是 只能对 已知 的攻击类
数 据挖 掘技 术在 入侵检 测 系统 中的应 用
武 瑞 娟 马 礼 叶树 华
( 中北 大 学 电 子 与计 算 机 科 学 技 术 学 院 山西 太原 0 0 5) 301
【 摘
要 】 入 侵 检 测 技 术 已经 成 为 网络 安 全 领 域 的 研 究 热 点 。 数 据 挖 掘 是从 大 量数 据 中发 掘 出新 的 、 用模 式的 有
耗 少 , 且 由 于 网络 协 议 是 标 准 的 , 以 对 网 络 提供 并 可 通 用 的保 护 而无 需 顾及 异 构 主机 的不 同架 构 ; 合分 混

数据挖掘在入侵检测系统中的应用

数据挖掘在入侵检测系统中的应用
检 测 系统 , 对这 种入 侵检 测 系统 的组 成及 系统 的设 计进 行 了描述 。并在 该 系统 中运 用 改进 的 Apir 算 法找 出 并 r i o 频 繁项 目集 和产 生 关联规 则 。并且 将该 系统 进 行 了实验 测试 , 另外 在最 后对 实验 结果 进 行 了分 析 和 总结 。总之 , 该 系统是 对 一种 入侵 检测 系统 的探 索和 研 究 , 以后 的工作 中,还 要对 它进 行 不断 的 改进 和 发展 。 在
s r fi t uson de e ton s st o to n r i t c i y em s e wa xpl e or d and r e c d i h pe .I ut e , h ys e wilbe i pr e nd d veope . es ar he n t e pa r n f ur t e s t m l m ov d a e l d
2 数 据 挖 掘 的概 述 [ 1 _
数据 挖掘 技术 是 一个 从大 量 的数 据 中提 取人 们感 兴 趣 的模 式 的过程 。 掘 的对象 不仅 是 数据 源 、 件系 挖 文ቤተ መጻሕፍቲ ባይዱ统, 也包 括 诸 如 We b资 源 等任 何 数 据 集合 ; 时数 据 同 挖 掘 的 过程 并 不是 一 个 直 线 型 的过 程 , 是 一个 螺 旋 而 上 升 、 环往 复 的多 步骤 处理 过 程 。 循 数据挖 掘 的 目标 就 是从 数 据库 中发 现 隐含 的 、 意 义 的知识 。另 外 , 有 数据
KEYW ORDS d t n n i t u i n d t c i n, e wo k s f t a g rt m a a mi i g,n r so e e t o n t r a e y, l o i h

数据挖掘方法在入侵检测系统中的应用

数据挖掘方法在入侵检测系统中的应用

数据挖掘方法在入侵检测系统中的应用3赵艳杰(潍坊学院,山东 潍坊 261061)摘 要:任何一种检测方法都不能检测出所有入侵行为,一个完善的入侵检测系统应该是多种检测手段的综合运用。

本论文的研究目标是借用数据挖掘技术探寻一种检测方法,使之有效识别已知入侵,并具备对未知类型数据的检测能力。

实验证明,该方法对扫描与拒绝服务两种攻击类型具有理想的检测效果。

关键词:入侵检测系统;数据挖掘;网络安全中图分类号:TP309 文献标识码:A 文章编号:1671-4288(2008)02-0019-04 目前,将数据挖掘应用于入侵检测系统已经成为一个研究热点。

在这个研究领域,影响比较大的主要是Colu m bia U niversity 的W enke Lee 研究组。

后继的研究者大多沿袭了W enke Lee 和Portnoy 的研究路线,并在此基础上作了相应改进或者采用数据挖掘与其它智能技术(如遗传算法、模糊技术)相结合的方法[1-3]。

本文从关于安全的先验知识出发,提取出可以有效反映系统特性的特殊属性,应用合适的算法进行挖掘,将误用检测与异常检测两种方式相结合,研究了一种基于数据挖掘的网络入侵检测方法。

1 方法描述任何一种检测方法都不能检测出所有入侵行为,一个完善的入侵检测系统应该是多种检测手段的综合运用。

本文的研究目标是借用数据挖掘技术探寻一种检测方法,使之有效识别已知入侵,并具备对未知类型数据的检测能力,从而达到对在传统入侵检测系统中检测率较低的扫描与拒绝服务两种攻击类型较为理想的检测效果。

基于上述思想,本文设计了一个基于数据挖掘技术的网络入侵检测模型。

该模型实现的是以网络历史数据为数据源建立分类器,并以该分类器识别新网络审计数据中是否存在入侵的过程。

不同系统之间行为模式是存在较大差异的。

作为服务器的主机典型特征是访问量极大,且长期保持一定数据流量,单位时间内流量较大,连接频率较高,一般不主动发出连接请求,大多作为TCP 连接双方的目的主机出现;而普通工作站,大多作为TCP 连接的发起者,作为被连接对象的情况较少,主要体现为索取数据。

数据挖掘技术在网络入侵检测中的应用案例分析

数据挖掘技术在网络入侵检测中的应用案例分析

数据挖掘技术在网络入侵检测中的应用案例分析随着互联网的发展和普及,网络入侵事件也愈发频繁。

网络入侵对个人用户和企业来说都是一种巨大的威胁,可能导致数据泄露、系统崩溃和财产损失等严重后果。

为了有效应对网络入侵威胁,许多组织和企业开始探索利用数据挖掘技术来进行网络入侵检测和防御。

本文将介绍两个应用数据挖掘技术进行网络入侵检测的案例,展示数据挖掘在网络安全领域的潜力与优势。

案例一:基于异常检测的入侵检测系统某企业的安全团队面临巨大的网络入侵威胁,传统的规则和签名检测方法无法满足日益复杂的网络攻击。

为了提高入侵检测的准确性和效率,他们决定采用基于异常检测的数据挖掘技术。

首先,安全团队收集了大量的网络数据,包括网络流量数据、系统日志和用户行为数据等。

然后,他们利用数据挖掘技术进行预处理和特征工程,提取出网络流量的关键特征,例如协议类型、源和目的IP地址、端口号等。

接下来,他们使用聚类算法将网络流量数据分为不同的群组,将每个群组视为一种正常行为的模式。

对于新的网络数据,系统会将其与已有的群组进行比较,如果其与任何一个群组差异较大,则被视为异常行为。

这样,就能实时发现并阻止潜在的网络入侵活动。

结果显示,该企业通过引入异常检测的数据挖掘技术,成功识别了多个以往无法被传统方法捕捉到的入侵行为。

这大大提高了网络入侵检测的准确性和效率,为企业的信息安全保驾护航。

案例二:基于机器学习的网络入侵检测系统另一个案例是某大型云服务提供商,在其数据中心中经常发现网络入侵事件。

为了实时发现和阻止入侵活动,他们决定利用数据挖掘中的机器学习算法来构建一个智能入侵检测系统。

首先,该云服务提供商收集了大量的网络流量数据、应用日志和系统日志等。

然后,他们通过特征工程从原始数据中提取出有用的特征,例如包的大小、传输协议、源和目的IP地址等。

接着,他们使用监督学习算法训练一个分类器模型,用于区分网络流量是否是恶意的入侵行为。

训练数据集包括已标记的正常流量和已知的入侵流量,用于模型的训练和评估。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第19卷第3期重庆电子工程职业学院学报Vol.19No.32010年5月Journal of Chongqing College of Electronic EngineeringMay 2010随着计算机网络技术不断发展,对网络上包含重要资料的数据库服务器的各种入侵问题也随之大量产生。

常规防火墙只能通过限制数据库服务器部分网络功能的方法来保证安全,而对于在开放服务内的入侵却无能为力。

传统的入侵检测技术有两种,即滥用检测和异常检测。

其中,滥用检测是分析各种类型的攻击手段,找出可能的“攻击特征”集合,可有效检测到已知攻击,产生误报较少,缺点是只能检测到已知的入侵类型,而对未知的入侵类型无能为力,需要不断更新攻击特征库;异常检测的假设条件是通过观察当前活动与系统历史正常活动情况之间的差异来检测攻击行为,其优点是可检测到未知攻击,缺点是误报和漏报较多。

针对现有网络入侵检测系统的一些不足,将数据挖掘技术应用于网络入侵检测,可实现入侵检测自动化,提高检测效率和检测准确度。

1入侵检测系统引入数据挖掘的好处最早将数据挖掘技术应用于入侵检测领域的是Wenke Lee 研究小组,他们在1998年首次将数据挖掘技术应用于入侵检测系统。

从他们提供的大量实验和测试结果表明,将通用的数据挖掘技术应用于入侵检测系统,在理论上和技术上是完全可行的。

基于数据挖掘的入侵检测分析技术与其他分析技术不同之处在于,该方法是以数据为中心,将入侵检测看成一种海量安全审计记录数据的分析与处理过程,即使根本不知道各种攻击手段的作用机制,也可以从安全审计数据本身所隐藏的规律中发现异常行为,从而使入侵检测系统具有更好的自学习、自适应和自我扩展的能力。

与传统入侵检测力法相比,基于数据挖掘的入侵检测分析技术有以下几个特点:(1)智能性好,自动化程度高。

基于数据挖掘的检测方法采用了统计学、决策学以及神经网络等多种方法,自动地从数据中提取手工难以发现的行为模式,从而减少人的参与,减轻入侵检测分析员的负担,同时也提高了检测的准确性。

(2)检测效率高。

数据挖掘可以通过对数据进行预处理,抽取数据中的有用部分,有效的减少数据量,因而检测效率较高,对于现在数据库和网络庞大数据量的入侵检测系统来说,这一点在实际应用中也是至关重要的。

(3)自适应能力强。

应用数据挖掘方法的检测系统不是基于预定义的检测模型,所以自适应能力强,可以有效地检测新型的攻击以及已知攻击类型的变种。

2基于数据挖掘的入侵检测系统模型构思针对现有入侵检测系统挖掘速度慢和挖掘准确度不高的缺点,利用Snort 入侵检测系统模型和Apriori 算法为基础,提出一种基于数据挖掘的入侵检测系统模型,该模型的结构如下图1所示。

图1基于数据挖掘的入侵检测系统模型2.1模块功能简述收稿日期:2010-03-10作者简介:蔡勇(1979—),男,重庆永川人,重庆大学软件工程学院软件工程专业2008级硕士研究生;鄢志辉(1982—),男,四川邻水人,重庆大学软件工程学院软件工程专业2008级硕士研究生。

数据挖掘在网络入侵检测系统中的应用蔡勇,鄢志辉(重庆大学软件工程学院,重庆400019)摘要:探讨了网络入侵检测中应用数据挖掘技术的可行性和必要性,提出一种基于数据挖掘的入侵检测系统模型,并对该模型中数据挖掘算法进行研究,提出该系统应用Apriori 算法的改进思路,实现入侵检测自动化,提高检测效率和检测准确度。

关键词:入侵检测;数据挖掘;数据库安全;Apriori 算法中图分类号:TP39文献标识码:A文章编号:1674-5787(2010)03-0164-03重庆电子工程职业学院学报第19卷(1)嗅探器主要进行数据收集,它是检测系统中抓取信息的接口。

(2)解码器解码分析捕获的数据包。

并把分析结果存到一个指定的数据结构中。

(3)数据预处理负责将网络数据、连接数据转换为挖掘方法所需的数据格式,包括:进一步的过滤、噪声的消除、第三方检测工具检测到的已知攻击。

利用误用检测方法对已知的入侵行为与规则库的入侵规则进行匹配,从而找到入侵行为,进行报警。

(4)异常分析器通过使用关联分析和序列分析找到新的攻击,利用异常检测方法将这些异常行为送往规则库。

(5)日志记录保存2种记录:未知网络正常行为产生的数据包信息和未知入侵行为产生的数据包信息。

(6)规则库保存入侵检测规则,为误用检测提供依据。

(7)当偏离分析器报告有异常行为时,报警器通过人机界面向管理员发出通知,其形式可以是E-mail。

控制台报警、日志条目、可视化的工具。

(8)特征提取器对日志中的数据记录进行关联分析,得出关联规则,添加到规则库中。

2.2异常分析器简述异常分析器使用聚类分析模型产生的网络或主机正常模型检测数据包。

它采用K-Means算法作为聚类分析算法,其异常分析流程如图2所示。

图2异常分析流程异常分析器的检测过程为:(1)网络或主机数据包标准化;(2)计算网络数据包与主类链表中聚类中心的相似度:(3)若该网络数据包与某一主类的相似度小于聚类半径R,则表明其是正常的网络数据包,将其丢弃;(4)若该网络数据包与所有主类的相似度大于聚类半径R,则表明其是异常的网络数据包,发现异常。

2.3特征提取器简述特征提取器用于分析未知的异常数据包,挖掘网络异常数据包中潜在的入侵行为模式,产生相应的关联规则集,添加到规则库中。

该模块采用Apriori算法进行关联规则的挖掘,其工作流程下图3所示。

图3特征提取器工作流程特征提取器的工作过程可分为数据预处理和产生关联规则。

(1)数据预处理特征提取器的输入为日志记录,包含很多字段,但并非所有字段都适用于关联分析。

在此仅选择和Snort规则相关的字段,如SrcIP,SrcPort,DstIP,Dst-Port,Protocol,Dsize,Flags和CID等。

(2)产生关联规则首先根据设定的支持度找出所有频繁项集,一般支持度设置得越低,产生的频繁项集就会越多;而设置得越高,产生的频繁项集就越少。

接着由频繁项集产生关联规则,一般置信度设置得越低,产生的关联规则数目越多但准确度不高;反之置信度设置得越高,产生的关联规则数目越少但是准确度较高。

2.4系统模型特点该系统在实际应用时,既可以事先存入已知入侵规则,以降低在开始操作时期的漏报率,也可以不预先存入已知规则。

虽然该系统有较强的自适应性,但在操作初期会有较高的误报率。

因此该系统模型有如下特点:(1)利用数据挖掘技术进行入侵检测;(2)利用先进的挖掘算法,使操作接近实时;(3)具有自适应性,能根据当前的环境更新规则库;(4)不但可检测到已知的攻击,而且可检测到未知的攻击。

3Apriori算法的基础思想及改进思路关联规则技术是最早应用于入侵检测中的数据挖掘技术,关联规则技术用来获得系统审计数据中各属性之间的关系,确定构造入侵检测系统所需要的合适属性,提出某种操作和入侵行为之间,或者是各种入侵行为之间的相互关系。

作为分析数据间隐含的相互关联关系的有力工具,关联规则技术在入侵检测领域中已显现出极大的优越性。

在该入侵检测模型中,就采用比较成熟的Apriori算法进行运算,运用到实际中,可以将该算法进行一些改进。

3.1算法思想165Apriori 算法是一种最有影响的挖掘布尔型关联规则的算法,其基本思想是将关联规则的挖掘分为如下两步:第一步,从事务数据库D 中找出所有支持度不小于用户指定的最小支持度阀值的频繁项目集;第二步,使用频繁项目集产生所期望的关联规则,产生关联规则的基本原则是其置信度不小于用户指定的最小置信度阀值。

第一步挖掘出所有的频繁项目集合是该算法的核心,占据整个计算量的大部分。

在挖掘频繁项目集的过程中主要利用了两个性质:频繁项目集的所有非空子集也是频繁项目集;非频繁项目集的任何超集都是非频繁项目集。

Apriori 算法使用了一种逐层搜索的迭代方法,首先找出所有频繁1-项目集L1,L1用来找频繁2-项目集L2,L2用来找频繁3-项目集L3,如此下去,直到不能找到频繁项目集为止。

具体来讲,Apriori 算法的第一步是简单统计所有含一个元素的项目集出现的频率,来决定频繁1-项目集;在第k 步,分两个阶段,首先调用函数Apriori-Gen ,通过第(k-1)步中生成的频繁(k -1)-项目集Lk-1来生成候选频繁k-项日集Ck ,其次扫描事务数据库D 计算候选频繁k-项日集Ck 中各元素在D 中的支持数或支持度。

3.2算法改进可以利用数据划分技术来挖掘频繁项目集,从而只需扫描整个数据库两次。

包含两个主要处理阶段第一阶段,算法将交易数据库D 分为n 个互不相交的部分,若数据库D 中的最小支持阀值为min_sup ,对于每个划分(部分),挖掘其中所有的频繁项集,它们被称为是局部频繁项集。

可以利用一个特别的数据结构记录包含这些频繁项集的交易记录的TID 以便使得在一次数据库扫描中就能够发现所有的局部频繁k-项集,k=1,2,…。

就整个数据库D 而言,一个局部频繁项集不一定就是个局频繁项集,但是任何全局频繁项集一定会出现在从所有划分所获得的这些局部频繁项集中,这一点可通过反证获得。

因此可以将从n 个划分中所挖掘出的局部频繁项集作为整个数据库D 中频繁项集的候选项集。

在第二阶段中,再次扫描整个数据库以获得所有候选项集的支持频度,以便最终确定各频繁项目集各划分大小和数目可以以每个划分大小能够整个放入内存为准,因此每个阶段只需读入一次数据库内容,而整个挖掘就需要两次扫描整个数据库。

4结语借助数据挖掘技术在处理大量数据特征提取方面的优势,基于数据挖掘的入侵检测系统模型可使入侵检测更加自动化,提高检测效率和检测准确度。

目前,基于数据挖掘的入侵检测已得到快速发展,但仍未得到广泛应用,虽然已经提出了基于Apriori 算法的各种实施办法,但尚未具备完善的理论体系。

因此,解决数据挖掘的入侵检测实时性、正确检测率、误警率等方面问题还有待大规模应用后的实践测评,通过测评数据来丰富和发展现有理论,完善入侵检测系统使其全面投入实际应用。

参考文献:[1]徐兴元,傅和平,熊中朝.基于数据挖掘的入侵检测技术研究[J].微计算机信息,2007(9).[2]朱海霞.数据挖掘在入侵检测中的应用[J].科技资讯,2009(25).[3]刘荫铭,李金海,刘国丽.计算机安全技术[M].北京:清华大学出版社,2000.责任编辑王荣辉Comment on the Application Technique of Date Mining in IDSCAI Yong ,YAN Zhihui(School of Software Engineering,Chongqing University,Chongqing 400019,China )Abstract:The essay discussed the feasibility and necessity of applying Date Mining in intrusion detection,and advanced a IDS model basing on Date Mining,researching the basic algorithm of the model in Date Mining,putting forward the improvement approach of the system applying Apriori algorithm,which was in order to accomplish the automate of intrusion detection and improve the detective efficiency and detective accuracy.Key words :intrusion detection;Date Mining;access security;Apriori algorithm蔡勇,等:数据挖掘在网络入侵检测系统中的应用第3期166。