微波EDA网,见证研发工程师的成长!
首页 > 测试测量 > 测试测量技术文库 > 基于数据挖掘技术的入侵检测系统解决方案

基于数据挖掘技术的入侵检测系统解决方案

时间:09-23 来源:互联网 点击:

取器的输入为日志记录.包含很多字段,但并非所有字段都适用于关联分析。在此仅选择和Snort规则相关的字段,如SrcIP,SrcPort,DstIP,DstPort,Protocol,Dsize,Flags和CID等。

  (2)产生关联规则首先根据设定的支持度找出所有频繁项集,一般支持度设置得越低,产生的频繁项集就会越多;而设置得越高,产生的频繁项集就越少。接着由频繁项集产生关联规则,一般置信度设置得越低,产生的关联规则数目越多但准确度不高;反之置信度设置得越高。产生的关联规则数目越少但是准确度较高。

  3.4系统模型特点

  该系统在实际应用时,既可以事先存入已知入侵规则,以降低在开始操作时期的漏报率,也可以不需要预先的背景知识。虽然该系统有较强的自适应性,但在操作初期会有较高的误报率。因此该系统模型有如下特点:(1)利用数据挖掘技术进行入侵检测;(2)利用先进的挖掘算法,使操作接近实时;(3)具有自适应性,能根据当前的环境更新规则库;(4)不但可检测到已知的攻击,而且可检测到未知的攻击。

  4系统测试

  以Snort为例,在规则匹配方面扩展系统保持Snort的工作原理,实验分析具有代表性,分析攻击模式数据库大小与匹配时间的关系。

  实验环境:IP地址为192.168.1.2的主机配置为PIV1.8G,内存512M,操作系统为WindowsXP;3台分机的IP地址分别为192.168.1.23,192.168.1.32,192.168.1.45。实验方法:随机通过TcpDump抓取一组网络数据包,通过该系统记录约20min传送来的数据包,3台分机分别对主机不同攻击类型的数据包进行测试。

  异常分析器采用K-Means算法作为聚类分析算法,试验表明.误检率随阈值的增大而迅速增大,而随阈值的减小而逐渐减小。由于聚类半径R的增大会导致攻击数据包与正常数包被划分到同一个聚类,因此误检率必然会随着阈值的增大而增大。另一方面,当某一种新类型的攻击数据包数目达到阈值时,系统会将其判定为正常类,因此阈值越小必然导致误检率越高。当聚类半径R=6时,该系统比Snort原始版本检测的速度快,并且误检率也较低。

  特征提取器采用关联分析的Apriori算法,置信度设置为100%,阈值设为1000,支持度50%,最后自动生成以下3条新的入侵检测规则:

  alerttcp192.168.1.232450->192.168.1.280(msg:”poli-cy:externalnetattempttoaccess192。168。1。2”;classtype:at-temptesd-recon;)

  alerttcp192.168.1.321850->192.168.1.221(msg:”poli-cy:extemalnetattempttoaccess192.168.1.2”;classtype:at-tempted-recon;)

  alerttcp192.168.1.452678->192.168.1.21080(msg:”policy:extemalnetattempttoaccess192.168。1。2”;classtype:at-tempted-reeon;)

  该试验结果说明经采用特征提取器对异常日志进行分析,系统挖掘出检测新类型攻击的规则,并具备检测新类型攻击的能力。

  5结束语

  提出一种基于数据挖掘的入侵检测系统模型,借助数据挖掘技术在处理大量数据特征提取方面的优势,可使入侵检测更加自动化,提高检测效率和检测准确度。基于数据挖掘的入侵检测己得到快速发展,但离投入实际使用还有距离,尚未具备完善的理论体系。因此,解决数据挖掘的入侵检测实时性、正确检测率、误警率等方面问题是当前的主要任务,及丰富和发展现有理论,完善入侵检测系统使其投入实际应用。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top