基于數據挖掘技術的入侵檢測系統
加入技術交流群
(2)產生關聯規則首先根據設定的支持度找出所有頻繁項集,一般支持度設置得越低,產生的頻繁項集就會越多;而設置得越高,產生的頻繁項集就越少。接著由頻繁項集產生關聯規則,一般置信度設置得越低,產生的關聯規則數目越多但準確度不高;反之置信度設置得越高。產生的關聯規則數目越少但是準確度較高。
3.4 系統模型特點
該系統在實際應用時,既可以事先存入已知入侵規則,以降低在開始操作時期的漏報率,也可以不需要預先的背景知識。雖然該系統有較強的自適應性,但在操作初期會有較高的誤報率。因此該系統模型有如下特點:(1)利用數據挖掘技術進行入侵檢測;(2)利用先進的挖掘算法,使操作接近實時;(3)具有自適應性,能根據當前的環境更新規則庫;(4)不但可檢測到已知的攻擊,而且可檢測到未知的攻擊。本文引用地址:http://www.104case.com/article/195716.htm
4 系統測試
以Snort為例,在規則匹配方面擴展系統保持Snort的工作原理,實驗分析具有代表性,分析攻擊模式數據庫大小與匹配時間的關系。
實驗環境:IP地址為192.168.1.2的主機配置為PIV1.8G,內存512 M,操作系統為Windows XP;3臺分機的IP地址分別為192.168.1.23,192.168.1.32,192.168.1.45。實驗方法:隨機通過TcpDump抓取一組網絡數據包,通過該系統記錄約20 min傳送來的數據包,3臺分機分別對主機不同攻擊類型的數據包進行測試。
異常分析器采用K-Means算法作為聚類分析算法,試驗表明.誤檢率隨閾值的增大而迅速增大,而隨閾值的減小而逐漸減小。由于聚類半徑R的增大會導致攻擊數據包與正常數包被劃分到同一個聚類,因此誤檢率必然會隨著閾值的增大而增大。另一方面,當某一種新類型的攻擊數據包數目達到閾值時,系統會將其判定為正常類,因此閾值越小必然導致誤檢率越高。當聚類半徑R=6時,該系統比Snort原始版本檢測的速度快,并且誤檢率也較低。
特征提取器采用關聯分析的Apriori算法,置信度設置為100%,閾值設為1 000,支持度50%,最后自動生成以下3條新的入侵檢測規則:
alert tcp 192.168.1.23 2450->192.168.1.2 80(msg:”poli-cy:externalnet attempt to access 192.168.1.2”;classtype:at-temptesd-recon;)
alert tcp 192.168.1.32 1850->192.168.1.2 21(msg:”poli-cy:extemalnet attempt to access 192.168.1.2”;classtype:at-tempted-recon;)
alert tcp 192.168.1.45 2678->192.168.1.2 1080(msg:”policy:extemalnet attempt to access 192.168.1.2”;classtype:at-tempted-reeon;)
該試驗結果說明經采用特征提取器對異常日志進行分析,系統挖掘出檢測新類型攻擊的規則,并具備檢測新類型攻擊的能力。
5 結束語
提出一種基于數據挖掘的入侵檢測系統模型,借助數據挖掘技術在處理大量數據特征提取方面的優勢,可使入侵檢測更加自動化,提高檢測效率和檢測準確度。基于數據挖掘的入侵檢測己得到快速發展,但離投入實際使用還有距離,尚未具備完善的理論體系。因此,解決數據挖掘的入侵檢測實時性、正確檢測率、誤警率等方面問題是當前的主要任務,及豐富和發展現有理論,完善入侵檢測系統使其投入實際應用。
評論