基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)
(2)產(chǎn)生關(guān)聯(lián)規(guī)則首先根據(jù)設(shè)定的支持度找出所有頻繁項(xiàng)集,一般支持度設(shè)置得越低,產(chǎn)生的頻繁項(xiàng)集就會(huì)越多;而設(shè)置得越高,產(chǎn)生的頻繁項(xiàng)集就越少。接著由頻繁項(xiàng)集產(chǎn)生關(guān)聯(lián)規(guī)則,一般置信度設(shè)置得越低,產(chǎn)生的關(guān)聯(lián)規(guī)則數(shù)目越多但準(zhǔn)確度不高;反之置信度設(shè)置得越高。產(chǎn)生的關(guān)聯(lián)規(guī)則數(shù)目越少但是準(zhǔn)確度較高。
3.4 系統(tǒng)模型特點(diǎn)
該系統(tǒng)在實(shí)際應(yīng)用時(shí),既可以事先存入已知入侵規(guī)則,以降低在開(kāi)始操作時(shí)期的漏報(bào)率,也可以不需要預(yù)先的背景知識(shí)。雖然該系統(tǒng)有較強(qiáng)的自適應(yīng)性,但在操作初期會(huì)有較高的誤報(bào)率。因此該系統(tǒng)模型有如下特點(diǎn):(1)利用數(shù)據(jù)挖掘技術(shù)進(jìn)行入侵檢測(cè);(2)利用先進(jìn)的挖掘算法,使操作接近實(shí)時(shí);(3)具有自適應(yīng)性,能根據(jù)當(dāng)前的環(huán)境更新規(guī)則庫(kù);(4)不但可檢測(cè)到已知的攻擊,而且可檢測(cè)到未知的攻擊。本文引用地址:http://www.ex-cimer.com/article/195716.htm
4 系統(tǒng)測(cè)試
以Snort為例,在規(guī)則匹配方面擴(kuò)展系統(tǒng)保持Snort的工作原理,實(shí)驗(yàn)分析具有代表性,分析攻擊模式數(shù)據(jù)庫(kù)大小與匹配時(shí)間的關(guān)系。
實(shí)驗(yàn)環(huán)境:IP地址為192.168.1.2的主機(jī)配置為PIV1.8G,內(nèi)存512 M,操作系統(tǒng)為Windows XP;3臺(tái)分機(jī)的IP地址分別為192.168.1.23,192.168.1.32,192.168.1.45。實(shí)驗(yàn)方法:隨機(jī)通過(guò)TcpDump抓取一組網(wǎng)絡(luò)數(shù)據(jù)包,通過(guò)該系統(tǒng)記錄約20 min傳送來(lái)的數(shù)據(jù)包,3臺(tái)分機(jī)分別對(duì)主機(jī)不同攻擊類(lèi)型的數(shù)據(jù)包進(jìn)行測(cè)試。
異常分析器采用K-Means算法作為聚類(lèi)分析算法,試驗(yàn)表明.誤檢率隨閾值的增大而迅速增大,而隨閾值的減小而逐漸減小。由于聚類(lèi)半徑R的增大會(huì)導(dǎo)致攻擊數(shù)據(jù)包與正常數(shù)包被劃分到同一個(gè)聚類(lèi),因此誤檢率必然會(huì)隨著閾值的增大而增大。另一方面,當(dāng)某一種新類(lèi)型的攻擊數(shù)據(jù)包數(shù)目達(dá)到閾值時(shí),系統(tǒng)會(huì)將其判定為正常類(lèi),因此閾值越小必然導(dǎo)致誤檢率越高。當(dāng)聚類(lèi)半徑R=6時(shí),該系統(tǒng)比Snort原始版本檢測(cè)的速度快,并且誤檢率也較低。
特征提取器采用關(guān)聯(lián)分析的Apriori算法,置信度設(shè)置為100%,閾值設(shè)為1 000,支持度50%,最后自動(dòng)生成以下3條新的入侵檢測(cè)規(guī)則:
alert tcp 192.168.1.23 2450->192.168.1.2 80(msg:”poli-cy:externalnet attempt to access 192.168.1.2”;classtype:at-temptesd-recon;)
alert tcp 192.168.1.32 1850->192.168.1.2 21(msg:”poli-cy:extemalnet attempt to access 192.168.1.2”;classtype:at-tempted-recon;)
alert tcp 192.168.1.45 2678->192.168.1.2 1080(msg:”policy:extemalnet attempt to access 192.168.1.2”;classtype:at-tempted-reeon;)
該試驗(yàn)結(jié)果說(shuō)明經(jīng)采用特征提取器對(duì)異常日志進(jìn)行分析,系統(tǒng)挖掘出檢測(cè)新類(lèi)型攻擊的規(guī)則,并具備檢測(cè)新類(lèi)型攻擊的能力。
5 結(jié)束語(yǔ)
提出一種基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)模型,借助數(shù)據(jù)挖掘技術(shù)在處理大量數(shù)據(jù)特征提取方面的優(yōu)勢(shì),可使入侵檢測(cè)更加自動(dòng)化,提高檢測(cè)效率和檢測(cè)準(zhǔn)確度?;跀?shù)據(jù)挖掘的入侵檢測(cè)己得到快速發(fā)展,但離投入實(shí)際使用還有距離,尚未具備完善的理論體系。因此,解決數(shù)據(jù)挖掘的入侵檢測(cè)實(shí)時(shí)性、正確檢測(cè)率、誤警率等方面問(wèn)題是當(dāng)前的主要任務(wù),及豐富和發(fā)展現(xiàn)有理論,完善入侵檢測(cè)系統(tǒng)使其投入實(shí)際應(yīng)用。
評(píng)論