一种新的基于数据挖掘技术的异常入侵检测系统研

2.2 基础定义
　定义1 滑动窗口。在t时间内，数据匹配检测的范围。 设开始时间为t=nt0，则滑动窗口T的检测范围为t=T+nt0。其中,t0为步长，T为窗口大小，t为时间。一般T是固定值[13]，为用户默认，专家可根据系统安全等级设置其值大小。
　定义2 相似度。数据挖掘规则库与系统检测匹配规则库的相似性度量值。

定义3 数据评估。对数据规则是否符合系统安全的衡量。
设数据评估为W，则W=[正常，异常]，其评估过程为在滑动窗口T内对规则库Ki的相似匹配和检测匹配。
2.3 ANEIDSDM定义
本模型由一个10元组{E，S，O，Q，P，K，W，T，M，L}来表示。其中E表示数据信息，包含基于网络流量，基于主机和混合型的数据信息。当获取数据信息E后，对其形成主属性为采集标准的数据项集S，如在时间、方向、端口号、主机IP地址等属性中，以目的主机IP地址为主属性，采集的所有数据记录经过数据去噪、预处理后形成数据项集。数据项集S经过数据模式分析后形成数据模式集，用O来表示。每种数据模式都对应一种数据规则算法，经过数据挖掘，形成数据规则集，用Q来表示。对数据挖掘的规则集进行分类分析，形成数据分类集，用P来表示。数据挖掘的结果最终形成规则库K。数据挖掘完成后需要对数据挖掘结果进行数据评估，用W来表示。在数据评估过程中引入滑动窗口T和相似度M,数据评估结束后结果添加在决策列表L，提供给用户。用户响应后，规则库K自动更新。
3 模型
　ANEIDSDM模型的框架如图1所示。本框架由以下几部分组成：(1)数据信息。数据信息既有基于网络流量的，也有基于主机的，亦有混合型数据信息。(2)数据采集。数据采集包括数据获取，数据去噪和数据预处理3个部分。数据信息的采集是数据挖掘的基础阶段，采集数据质量的好坏直接影响到数据挖掘质量的优劣。(3)数据分析。数据采集后需要对其进行模式分析，根据模式分析的方式选取合适的规则库算法，形成规则库挖掘。对数据挖掘产生的规则库进行二次挖掘，产生分类规则库。(4)数据评估。对数据挖掘的结果需要进行数据评估，为了提高数据匹配算法的实时性和高效性，引入了在线滑动窗口和相似度匹配思想，对于数据挖掘产生的规则库根据相似度匹配算法快速分类，然后通过滑动窗口在线对规则库进行匹配检测。(5)事件响应。对数据评估的结果进行决策，如果确定为异常数据记录，则启动预警系统，更新规则库。规则库作为数据去噪和数据挖掘的一个参考衡量标准，可以提高数据纯净度和数据挖掘质量。(6)用户。用户对事件响应有决策权，事件响应反映给用户时，用户可根据自己设置的系统安全等级选择是否预警。

4 算法分析
ANEIDSDM模型的算法流程图如图2所示。ANEIDSDM模型采用滑动窗口和相似度技术，窗口大小为T，步长为t0(t0T)，相似度为m，具体方案如下：

(1)数据信息训练算法
　　输入：数据信息E，滑动窗口T，时间t，相似度m，窗口个数k，步长t0。
　　输出：数据挖掘规则库K。
　
　　
将数据规则集中重复度小于最小阈值的规则舍去，输出规则库K；
　(2)检测阶段的数据信息挖掘过程算法
　输入：数据信息E，滑动窗口T，时间t，相似度m，窗口个数k，步长t0，数据挖掘规则库K,待测数据规则为V。

⑤if W={异常}重复②、③、④ //对滑动时间窗口得到数据规则集进行数据评估；
L=W //每次检测结果提交决策列表以供用户决策；
5 实验分析
数据参考MIT林肯实验的DARPA 1999年评测数据集。由于数据信息自身的复杂性，需要对数据信息进行多次训练以降低数据噪音的影响。在本实验中对ANEIDSDM算法进行模拟测试分为两个阶段:
(1)为数据训练阶段：首先收集数据信息，依此数据信息对其抽取特征主属性，挖掘高频度数据项集和低频数据项集，对高频数据项集进行数据模式集，对数据模式集进行数据挖掘，形成数据规则集，最后对数据规则集进行分类，形成标准规则库。实验时分为3个阶段收集，实现3次训练，如表1所示。

(2)数据模拟检测阶段：对待测数据信息进行数据规则集的挖掘，根据与标准规则库中分类规则集的相似度对比，快速分类，通过在线滑动窗口和匹配检测方法，对数据信息进行异常入侵检测。若属于异常信息，则进行预警。实验时通过对7种常见攻击类型的模式进行异常入侵检测，如表2所示。

　 通过模拟攻击实验表明，数据信息经过ANEIDSDM入侵检测能够很好地检测异常数据信息，其误警率和检测率都有了明显的提高。本实验同时可以有效地提高入侵检测系统的检测速度。
本文针对现有异常入侵检测系统存在的问题，建立了一种新的基于数据挖掘技术的异常入侵检测系统模型。该模型包括数据采集、数据分析、数据评估、事件响应等一系列检测过程，利用多次训练、滑动窗口、规则分类和相似度匹配思想，大大降低了系统的误警率，提高了检测速度，提升了检测率，增强了网络系统的安全性能。