新聞中心

EEPW首頁 > 模擬技術 > 設計應用 > 基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的改進與實現(xiàn)

基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的改進與實現(xiàn)

作者：時間：2009-09-21 來源：網(wǎng)絡

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

3 挖掘結果分析
以Apriori_lift算法挖掘數(shù)據(jù)集udppro為例，挖掘過程如下：
過程一：挖掘數(shù)據(jù)源的生成。
Udppro數(shù)據(jù)集經(jīng)過數(shù)據(jù)預處理后生成了挖掘數(shù)據(jù)源Udpsource．txt，共計7 585條描述網(wǎng)絡連接的記錄，其記錄格式如下：

本文引用地址：http://www.104case.com/article/188614.htm

pro：UDP sip：192．168．0．1
sport：67 dip：255．255．255．255 dport：68 lenth：315ttl：128
過程二：算法挖掘
(1)find association rules with the apriori algorithm (2)reading f：＼mining＼udpsource．txt…[163 item(s)，7585 transaction(s)]done[0．13s]．
(3)sorting and recoding items…[21 item(s)]done[0．01s]．
(4)creating transaction tree…done[0．04s]．
(5)checking subsets of size 1 2 3 4 5 done[0．00s]．
(6)writing f：＼mining＼apriori．txt…[540 rule(s)]done[0．37s]．
過程三：挖掘結果分析
挖掘出540條規(guī)則，經(jīng)過規(guī)則合并以及多屬性并存的原則過濾之后篩選出17條規(guī)則如下：
Apriori_lift挖掘結果

(1)lenth：58 sport：137 dip：202．198．178．255 ttl：128 dport：137 pro：UDP
(2)sip：192．168．0．22 dport：161 ttl：128pro：UDP dip：202．198．181．65
(3)dport：138 sport：138 dip：202．198．178．255 ttl：128 pro：UDP
(4)dip：202．198．181．65 ttl：127 sip：202．198．178．131 dport：161 pro：UDP
(5)sport：4126 sip：192．168．0．22 dip：202．198．181．65dport：161 ttl：128
(6)sport：2039 ttl：127 sip：202．198．178．131 dip：202．198．181．65 dport：161 ttl：127
(7)lenth：58 sport：137 dip：202．198．178．255 dport：137
(8)sip：192．168．0．22 dip：202．198．181．65 dport：161ttl：128
(9)sport：138 dip：202．198．178．255 dport：138 ttl：128 pro：UDP
(10)sip：202．198．178．131 sport：4126 dip：202．198．181．65ttl：127 dport：161 pro：UDP
(11)sip：202．198．178．131 sport：2039 dip：202．198．181．65dport：161 ttl：127 pro:UDP
(12)sport：137 dip：202．198．178．255 dport：137 lenth：58ttl：128
(13)sip：192．168．0．22 dip：202．198．181．65 dport：161 ttl：128 pro：UDP
(14)sport：138 dip：202．198．178．255 dport：138 lenth：58ttl：128
(15)sip：202．198．178．131 dip：202．198．181．65 dport；161ttl：127 pro：UDP
(16)sport：4126 sip：192．168．0．22 dip：202．198．181．65dport：161 ttl：128 pro：UDP
(17)sip：202．198．1 78．65 sport：2039 dip：202．198．178．131dport：161 ttl：127 pro：UDP
對于以上挖掘結果歸類如下：
規(guī)則歸類：
類一：規(guī)則1，3，7，9，12，14。
類別特征：dip：202．198．178．255 sport：137／138dport：137／138(sport=dport)
pro：udp ttl：127／128 lenth：58
類二：規(guī)則4，6，10，11，15，17。
類別特征：sip／dip：202．198．178．131 sport：2300／4126 dip／sip：202．198．181．65
dport：161 ttl：128／127 pro：udp
類三：規(guī)則2，5，8，13，16。
類別特征：sip／dip：192．168．0．22 sport：4126 dip／sip：202．198．181．65 dport：161
ttl：128／127 pro：udp
根據(jù)圖1網(wǎng)絡實驗環(huán)境可知202．198．178．131是IP192．168．0．22的網(wǎng)關，故規(guī)則類二與類三可以合并為一類規(guī)則。
過程四：挖掘結果說明
規(guī)則類一說明：137，138是UDP端口，當通過網(wǎng)上鄰居傳輸文件時用這兩個端口，137端口是NetBIOS名稱UDP。138端口是NetBIOS數(shù)據(jù)報UDP
規(guī)則類二說明：子網(wǎng)主機192．168．0．22通過網(wǎng)關202．198．178．131與外部網(wǎng)主機202．198．181．65進行SNMP通信。

4 結語
對基于支持度一信任度挖掘的關聯(lián)規(guī)則有效性進行了分析，指出在挖掘過程中僅考慮支持度和信任度的不足．產(chǎn)生的關聯(lián)規(guī)則不一定是有效有趣的，甚至可能是欺騙性的，具有誤導作用。因此引入相關性分析來衡量規(guī)則，大大增強了規(guī)則的有效性。

<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=114&cb=INSERT_RANDOM_NUMBER_HERE&n=a7a83b30' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=115&cb=INSERT_RANDOM_NUMBER_HERE&n=a3d98779' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=116&cb=INSERT_RANDOM_NUMBER_HERE&n=abca108c' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=117&cb=INSERT_RANDOM_NUMBER_HERE&n=a1775170' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=118&cb=INSERT_RANDOM_NUMBER_HERE&n=a449048b' border='0' alt='' /></a>

關鍵詞： 數(shù)據(jù)挖掘 入侵檢測系統(tǒng)

焦點

更多>>

技術專區(qū)

關閉

新聞中心

基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的改進與實現(xiàn)

評論

相關推薦

技術專區(qū)