返回
数据挖掘算法在入侵检测中的应用研究

数据挖掘算法在入侵检测中的应用研究

ID:9620817

大小:53.50 KB

页数:4页

时间:2018-05-04

数据挖掘算法在入侵检测中的应用研究_第1页
数据挖掘算法在入侵检测中的应用研究_第2页
数据挖掘算法在入侵检测中的应用研究_第3页
数据挖掘算法在入侵检测中的应用研究_第4页
资源描述:

《数据挖掘算法在入侵检测中的应用研究》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、数据挖掘算法在入侵检测中的应用研究摘要该文对入侵检测的现状进行了分析,在此基础上重点研究了数据挖掘算法在异常检测和误用检测中的具体应用。对于异常检测,主要研究了分类算法;对于误用检测,主要研究了模式比较和聚类算法,在模式比较中又以关联规则和序列规则为重点研究对象。最后对目前数据挖掘算法在入侵检测中应用所面临的难点进行了分析,并指明了今后的研究方向。关键字入侵检测;数据挖掘;异常检测;误用检测;分类算法;关联规则;序列规则;聚类算法0引言随着网络技术的发展,现在越来越多的人通过丰富的网络资源学会各种攻击的手法,通过简单的操作就可以实施极具破坏力的攻

2、击行为,如何有效的检测并阻止这些攻击行为的发生成了目前计算机行业普遍关注的一个问题。用于加强网络安全的手段目前有很多,如加密,VPN,防火墙等,但这些技术都是静态的,不能够很好的实施有效的防护。而入侵检测(IntrusionDetection)技术是一种动态的防护策略,它能够对网络安全实施监控、攻击与反攻击等动态保护,在一定程度上弥补了传统静态策略的不足。1入侵检测中数据挖掘技术的引入1.1入侵检测技术介绍入侵检测技术是对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。从检测数据目标

3、的角度,我们可以把入侵检测系统分为基于主机、基于网络、基于内核和基于应用等多种类型。本文主要分析基于网络的入侵检测系统的构造。根据数据分析方法(也就是检测方法)的不同,我们可以将入侵检测系统分为两类:(1)误用检测(MisuseDetection)。又称为基于特征的检测,它是根据已知的攻击行为建立一个特征库,然后去匹配已发生的动作,如果一致则表明它是一个入侵行为。它的优点是误报率低,但是由于攻击行为繁多,这个特征库会变得越来越大,并且它只能检测到已知的攻击行为。(2)异常检测(AnomalyDetection)。又称为基于行为的检测,它是建立一个

4、正常的特征库,根据使用者的行为或资源使用状况来判断是否入侵。它的优点在于与系统相对无关,通用性较强,可能检测出以前从未出现过的攻击方法。但由于产生的正常轮廓不可能对整个系统的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高。将这两种分析方法结合起来,可以获得更好的性能。异常检测可以使系统检测新的、未知的攻击或其他情况;误用检测通过防止耐心的攻击者逐步改变行为模式使得异常检测器将攻击行为认为是合法的,从而保护异常检测的完整性。入侵检测的数据源可以通过一些专用的抓包工具来获取,在Windop和Arp.2.算法

5、在入侵检测中的具体使用2.1基于误用的检测模型误用检测中的基本思路是:首先我们从网络或是主机上获取原始二进制的数据文件,再把这些数据进行处理,转换成ASCII码表示的数据分组形式。再经过预处理模块将这些网络数据表示成连接记录的形式,每个连接记录都是由选定的特征属性表示的,比如连接建立的时间,所使用的端口服务,连接结束的状态等等数据特征。再进行完上面的工作后,对上述的由特征属性组成的模式记录进行处理,总结出其中的统计特征,包括在一时间段内与目标主机相同的连接记录的次数、发生SYN错误的连接百分比、目标端口相同的连接所占的百分比等等一系列的统计特征。

6、最后,我们就可以进行下面的检测分析工作,利用分类算法,比如RIPPER、C4.5等建立分类模型。当然,在这其中,统计特征以及分类特征的选择和构建都是我们必须要反复总结的过程,最后才能根据各种不同的攻击方式或是不同的网络服务确定最终的分类数据。只有这样才能建立一个实用性较强、效果更好的分类模型。·ID3、C4.5算法ID3算法是一种基本的决策树生成算法,该算法不包括规则剪除部分。C4.5算法作为ID3算法的后继版本,就加入了规则剪除部分,使用训练样本来估计每个规则的准确率。也是分类模型的主要运用算法。对于已知的攻击类型的检测,分类模型具有较高的检准

7、率,但是对于未知的、新的攻击,分类模型效果就不是很理想。这个是由误用检测本身的特点所决定的,误用检测误报率低,但是它在对已知攻击模式特征属性构建和选取上往往要花费大量的精力,这也是分类检测的难点所在。所以这种检测模型只能有限的检测已知的攻击,而要更好的检测未知的攻击,就要使用到异常检测技术,但是,异常检测却比误用检测负责的多,因为对于系统正常使用模式的构建本身就是一件非常复杂的事情。2.2基于异常的入侵模型异常检测的主要工作就是通过构造正常活动集合,然后利用得到的一组观察数值的偏离程度来判断用户行为的变化,以此来觉得是否属于入侵的一种检测技术。异

8、常检测的优点在于它具有检测未知攻击模式的能力,不论攻击者采用什么样的攻击策略,异常检测模型依然可以通过检测它与已知模式集合之间的差异来判

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。