<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁(yè) > 測(cè)試測(cè)量 > 設(shè)計(jì)應(yīng)用 > 基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)

          基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)

          作者: 時(shí)間:2009-09-22 來(lái)源:網(wǎng)絡(luò) 收藏

          1 引言
          隨著計(jì)算機(jī)網(wǎng)絡(luò)不斷發(fā)展,各種問(wèn)題也隨之產(chǎn)生,網(wǎng)絡(luò)安全問(wèn)題尤為突出。傳統(tǒng)的入侵檢測(cè)技術(shù)包括濫用檢測(cè)和異常檢測(cè)。其中,濫用檢測(cè)是分析各種類(lèi)型的攻擊手段,找出可能的“攻擊特征”集合,可有效檢測(cè)到已知攻擊,產(chǎn)生誤報(bào)較少,但只能檢測(cè)到已知的入侵類(lèi)型,而對(duì)未知的入侵類(lèi)型無(wú)能為力,需要不斷更新攻擊特征庫(kù);而異常檢測(cè)的假設(shè)條件是通過(guò)觀察當(dāng)前活動(dòng)與系統(tǒng)歷史正常活動(dòng)情況之間的差異可實(shí)現(xiàn)攻擊行為的檢測(cè)。其優(yōu)點(diǎn)是可檢測(cè)到未知攻擊,缺點(diǎn)是誤報(bào)和漏報(bào)較多。針對(duì)現(xiàn)有網(wǎng)絡(luò)的一些不足,將應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè),以Snort模型為基礎(chǔ),提出一種新的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)模型。

          本文引用地址:http://www.ex-cimer.com/article/195716.htm

          2 數(shù)據(jù)挖掘在入侵檢測(cè)系統(tǒng)中的應(yīng)用
          在入侵檢測(cè)系統(tǒng)(IDS)中的應(yīng)用,主要是通過(guò)挖掘?qū)徲?jì)數(shù)據(jù)以獲得行為模式,從中分離出入侵行為,有效實(shí)現(xiàn)入侵檢測(cè)規(guī)則。審計(jì)數(shù)據(jù)由經(jīng)預(yù)處理、帶有時(shí)間戳的審計(jì)記錄組成。每條審計(jì)記錄都包含一些屬性(也稱(chēng)為特征),例如,一個(gè)典型的審計(jì)日志文件包括源IP地址、目的IP地址、服務(wù)類(lèi)型、連接狀態(tài)等屬性。挖掘?qū)徲?jì)數(shù)據(jù)是一項(xiàng)重要任務(wù),直接影響入侵檢測(cè)的精確性和可用性,常用的挖掘方法有關(guān)聯(lián)性分析、分類(lèi)、序列分析等。
          (1)關(guān)聯(lián)性分析關(guān)聯(lián)分析就是要發(fā)現(xiàn)關(guān)聯(lián)規(guī)則,找出數(shù)據(jù)庫(kù)中滿(mǎn)足最小支持度與最小確信度約束的規(guī)則,即給定一組Item和一個(gè)記錄集合,通過(guò)分析記錄集合推導(dǎo)出Item間的相關(guān)性。一般用信任度(confidence)和支持度(support)描述關(guān)聯(lián)規(guī)則的屬性。關(guān)聯(lián)分析的目的是從已知的事務(wù)集W中產(chǎn)生數(shù)據(jù)集之間的關(guān)聯(lián)規(guī)則,即同一條審計(jì)記錄中不同字段之間存在的關(guān)系,同時(shí)保證規(guī)則的支持度和信任度大于用戶(hù)預(yù)先指定的最小支持度和最小信任度。
          (2)分類(lèi)映射一個(gè)數(shù)據(jù)項(xiàng)到其中一個(gè)預(yù)定義的分類(lèi)集中,它輸出“分類(lèi)器”,表現(xiàn)形式是決策樹(shù)或規(guī)則。在入侵檢測(cè)中一個(gè)典型的應(yīng)用就是,收集足夠多的審計(jì)數(shù)據(jù)送交用戶(hù)或程序,然后應(yīng)用分類(lèi)算法去學(xué)習(xí)分類(lèi)器,標(biāo)記或預(yù)測(cè)新的正常或異常的不可見(jiàn)審計(jì)數(shù)據(jù)。分類(lèi)算法要解決的重點(diǎn)是規(guī)則學(xué)習(xí)問(wèn)題。
          (3)序列分析用于構(gòu)建序列模式,以發(fā)現(xiàn)審計(jì)事件中經(jīng)常存在的時(shí)間序列。這些經(jīng)常發(fā)生的事件模式有助于將時(shí)間統(tǒng)計(jì)方法應(yīng)用于入侵檢測(cè)模型。例如,如果審計(jì)數(shù)據(jù)中包含基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊DOS(Denial of Service Attack)行為.由此得到的模式就要對(duì)在這一時(shí)間段內(nèi)工作的每個(gè)主機(jī)和每項(xiàng)服務(wù)進(jìn)行檢測(cè)。


          上一頁(yè) 1 2 3 下一頁(yè)

          評(píng)論


          相關(guān)推薦

          技術(shù)專(zhuān)區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();