新聞中心

EEPW首頁 > 模擬技術 > 設計應用 > 基于數據挖掘的入侵檢測系統的改進與實現

基于數據挖掘的入侵檢測系統的改進與實現

作者：時間：2009-09-21 來源：網絡

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

3 挖掘結果分析
以Apriori_lift算法挖掘數據集udppro為例，挖掘過程如下：
過程一：挖掘數據源的生成。
Udppro數據集經過數據預處理后生成了挖掘數據源Udpsource．txt，共計7 585條描述網絡連接的記錄，其記錄格式如下：

本文引用地址：http://www.104case.com/article/188614.htm

pro：UDP sip：192．168．0．1
sport：67 dip：255．255．255．255 dport：68 lenth：315ttl：128
過程二：算法挖掘
(1)find association rules with the apriori algorithm (2)reading f：＼mining＼udpsource．txt…[163 item(s)，7585 transaction(s)]done[0．13s]．
(3)sorting and recoding items…[21 item(s)]done[0．01s]．
(4)creating transaction tree…done[0．04s]．
(5)checking subsets of size 1 2 3 4 5 done[0．00s]．
(6)writing f：＼mining＼apriori．txt…[540 rule(s)]done[0．37s]．
過程三：挖掘結果分析
挖掘出540條規則，經過規則合并以及多屬性并存的原則過濾之后篩選出17條規則如下：
Apriori_lift挖掘結果

(1)lenth：58 sport：137 dip：202．198．178．255 ttl：128 dport：137 pro：UDP
(2)sip：192．168．0．22 dport：161 ttl：128pro：UDP dip：202．198．181．65
(3)dport：138 sport：138 dip：202．198．178．255 ttl：128 pro：UDP
(4)dip：202．198．181．65 ttl：127 sip：202．198．178．131 dport：161 pro：UDP
(5)sport：4126 sip：192．168．0．22 dip：202．198．181．65dport：161 ttl：128
(6)sport：2039 ttl：127 sip：202．198．178．131 dip：202．198．181．65 dport：161 ttl：127
(7)lenth：58 sport：137 dip：202．198．178．255 dport：137
(8)sip：192．168．0．22 dip：202．198．181．65 dport：161ttl：128
(9)sport：138 dip：202．198．178．255 dport：138 ttl：128 pro：UDP
(10)sip：202．198．178．131 sport：4126 dip：202．198．181．65ttl：127 dport：161 pro：UDP
(11)sip：202．198．178．131 sport：2039 dip：202．198．181．65dport：161 ttl：127 pro:UDP
(12)sport：137 dip：202．198．178．255 dport：137 lenth：58ttl：128
(13)sip：192．168．0．22 dip：202．198．181．65 dport：161 ttl：128 pro：UDP
(14)sport：138 dip：202．198．178．255 dport：138 lenth：58ttl：128
(15)sip：202．198．178．131 dip：202．198．181．65 dport；161ttl：127 pro：UDP
(16)sport：4126 sip：192．168．0．22 dip：202．198．181．65dport：161 ttl：128 pro：UDP
(17)sip：202．198．1 78．65 sport：2039 dip：202．198．178．131dport：161 ttl：127 pro：UDP
對于以上挖掘結果歸類如下：
規則歸類：
類一：規則1，3，7，9，12，14。
類別特征：dip：202．198．178．255 sport：137／138dport：137／138(sport=dport)
pro：udp ttl：127／128 lenth：58
類二：規則4，6，10，11，15，17。
類別特征：sip／dip：202．198．178．131 sport：2300／4126 dip／sip：202．198．181．65
dport：161 ttl：128／127 pro：udp
類三：規則2，5，8，13，16。
類別特征：sip／dip：192．168．0．22 sport：4126 dip／sip：202．198．181．65 dport：161
ttl：128／127 pro：udp
根據圖1網絡實驗環境可知202．198．178．131是IP192．168．0．22的網關，故規則類二與類三可以合并為一類規則。
過程四：挖掘結果說明
規則類一說明：137，138是UDP端口，當通過網上鄰居傳輸文件時用這兩個端口，137端口是NetBIOS名稱UDP。138端口是NetBIOS數據報UDP
規則類二說明：子網主機192．168．0．22通過網關202．198．178．131與外部網主機202．198．181．65進行SNMP通信。

4 結語
對基于支持度一信任度挖掘的關聯規則有效性進行了分析，指出在挖掘過程中僅考慮支持度和信任度的不足．產生的關聯規則不一定是有效有趣的，甚至可能是欺騙性的，具有誤導作用。因此引入相關性分析來衡量規則，大大增強了規則的有效性。

<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=114&cb=INSERT_RANDOM_NUMBER_HERE&n=a7a83b30' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=115&cb=INSERT_RANDOM_NUMBER_HERE&n=a3d98779' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=116&cb=INSERT_RANDOM_NUMBER_HERE&n=abca108c' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=117&cb=INSERT_RANDOM_NUMBER_HERE&n=a1775170' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=118&cb=INSERT_RANDOM_NUMBER_HERE&n=a449048b' border='0' alt='' /></a>

關鍵詞： 數據挖掘 入侵檢測系統

焦點

更多>>

技術專區

關閉

新聞中心

基于數據挖掘的入侵檢測系統的改進與實現

評論

相關推薦

技術專區