資源描述:
《數(shù)據(jù)挖掘算法在入侵檢測(cè)中的應(yīng)用研究》由會(huì)員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)��。
1��、數(shù)據(jù)挖掘算法在入侵檢測(cè)中的應(yīng)用研究摘要該文對(duì)入侵檢測(cè)的現(xiàn)狀進(jìn)行了分析�,在此基礎(chǔ)上重點(diǎn)研究了數(shù)據(jù)挖掘算法在異常檢測(cè)和誤用檢測(cè)中的具體應(yīng)用。對(duì)于異常檢測(cè)�����,主要研究了分類算法���;對(duì)于誤用檢測(cè)�����,主要研究了模式比較和聚類算法,在模式比較中又以關(guān)聯(lián)規(guī)則和序列規(guī)則為重點(diǎn)研究對(duì)象。最后對(duì)目前數(shù)據(jù)挖掘算法在入侵檢測(cè)中應(yīng)用所面臨的難點(diǎn)進(jìn)行了分析�����,并指明了今后的研究方向�����。關(guān)鍵字入侵檢測(cè)���;數(shù)據(jù)挖掘���;異常檢測(cè);誤用檢測(cè)����;分類算法;關(guān)聯(lián)規(guī)則���;序列規(guī)則����;聚類算法0引言隨著網(wǎng)絡(luò)技術(shù)的發(fā)展��,現(xiàn)在越來(lái)越多的人通過(guò)豐富的網(wǎng)絡(luò)資源學(xué)會(huì)各種攻擊的手法,通過(guò)簡(jiǎn)單的操作就可以實(shí)施極具破壞力的攻
2���、擊行為���,如何有效的檢測(cè)并阻止這些攻擊行為的發(fā)生成了目前計(jì)算機(jī)行業(yè)普遍關(guān)注的一個(gè)問(wèn)題。用于加強(qiáng)網(wǎng)絡(luò)安全的手段目前有很多�,如加密,VPN�����,防火墻等���,但這些技術(shù)都是靜態(tài)的���,不能夠很好的實(shí)施有效的防護(hù)。而入侵檢測(cè)(IntrusionDetection)技術(shù)是一種動(dòng)態(tài)的防護(hù)策略�,它能夠?qū)W(wǎng)絡(luò)安全實(shí)施監(jiān)控、攻擊與反攻擊等動(dòng)態(tài)保護(hù)���,在一定程度上彌補(bǔ)了傳統(tǒng)靜態(tài)策略的不足��。1入侵檢測(cè)中數(shù)據(jù)挖掘技術(shù)的引入1.1入侵檢測(cè)技術(shù)介紹入侵檢測(cè)技術(shù)是對(duì)(網(wǎng)絡(luò))系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視���,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果����,以保證系統(tǒng)資源的機(jī)密性、完整性與可用性��。從檢測(cè)數(shù)據(jù)目標(biāo)
3���、的角度�,我們可以把入侵檢測(cè)系統(tǒng)分為基于主機(jī)��、基于網(wǎng)絡(luò)����、基于內(nèi)核和基于應(yīng)用等多種類型。本文主要分析基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的構(gòu)造��。根據(jù)數(shù)據(jù)分析方法(也就是檢測(cè)方法)的不同�����,我們可以將入侵檢測(cè)系統(tǒng)分為兩類:(1)誤用檢測(cè)(MisuseDetection)����。又稱為基于特征的檢測(cè)�����,它是根據(jù)已知的攻擊行為建立一個(gè)特征庫(kù),然后去匹配已發(fā)生的動(dòng)作����,如果一致則表明它是一個(gè)入侵行為�。它的優(yōu)點(diǎn)是誤報(bào)率低,但是由于攻擊行為繁多,這個(gè)特征庫(kù)會(huì)變得越來(lái)越大��,并且它只能檢測(cè)到已知的攻擊行為��。(2)異常檢測(cè)(AnomalyDetection)����。又稱為基于行為的檢測(cè),它是建立一個(gè)
4�、正常的特征庫(kù),根據(jù)使用者的行為或資源使用狀況來(lái)判斷是否入侵�。它的優(yōu)點(diǎn)在于與系統(tǒng)相對(duì)無(wú)關(guān),通用性較強(qiáng),可能檢測(cè)出以前從未出現(xiàn)過(guò)的攻擊方法�����。但由于產(chǎn)生的正常輪廓不可能對(duì)整個(gè)系統(tǒng)的所有用戶行為進(jìn)行全面的描述,況且每個(gè)用戶的行為是經(jīng)常改變的,所以它的主要缺陷在于誤檢率很高�。將這兩種分析方法結(jié)合起來(lái),可以獲得更好的性能����。異常檢測(cè)可以使系統(tǒng)檢測(cè)新的����、未知的攻擊或其他情況;誤用檢測(cè)通過(guò)防止耐心的攻擊者逐步改變行為模式使得異常檢測(cè)器將攻擊行為認(rèn)為是合法的����,從而保護(hù)異常檢測(cè)的完整性。入侵檢測(cè)的數(shù)據(jù)源可以通過(guò)一些專用的抓包工具來(lái)獲取��,在Windop和Arp.2.算法
5����、在入侵檢測(cè)中的具體使用2.1基于誤用的檢測(cè)模型誤用檢測(cè)中的基本思路是:首先我們從網(wǎng)絡(luò)或是主機(jī)上獲取原始二進(jìn)制的數(shù)據(jù)文件,再把這些數(shù)據(jù)進(jìn)行處理���,轉(zhuǎn)換成ASCII碼表示的數(shù)據(jù)分組形式���。再經(jīng)過(guò)預(yù)處理模塊將這些網(wǎng)絡(luò)數(shù)據(jù)表示成連接記錄的形式�����,每個(gè)連接記錄都是由選定的特征屬性表示的���,比如連接建立的時(shí)間,所使用的端口服務(wù)�����,連接結(jié)束的狀態(tài)等等數(shù)據(jù)特征�����。再進(jìn)行完上面的工作后���,對(duì)上述的由特征屬性組成的模式記錄進(jìn)行處理�����,總結(jié)出其中的統(tǒng)計(jì)特征�,包括在一時(shí)間段內(nèi)與目標(biāo)主機(jī)相同的連接記錄的次數(shù)�、發(fā)生SYN錯(cuò)誤的連接百分比、目標(biāo)端口相同的連接所占的百分比等等一系列的統(tǒng)計(jì)特征��。
6、最后�,我們就可以進(jìn)行下面的檢測(cè)分析工作,利用分類算法��,比如RIPPER���、C4.5等建立分類模型�。當(dāng)然�����,在這其中�,統(tǒng)計(jì)特征以及分類特征的選擇和構(gòu)建都是我們必須要反復(fù)總結(jié)的過(guò)程���,最后才能根據(jù)各種不同的攻擊方式或是不同的網(wǎng)絡(luò)服務(wù)確定最終的分類數(shù)據(jù)�����。只有這樣才能建立一個(gè)實(shí)用性較強(qiáng)�、效果更好的分類模型�。·ID3�、C4.5算法ID3算法是一種基本的決策樹(shù)生成算法��,該算法不包括規(guī)則剪除部分�。C4.5算法作為ID3算法的后繼版本�,就加入了規(guī)則剪除部分,使用訓(xùn)練樣本來(lái)估計(jì)每個(gè)規(guī)則的準(zhǔn)確率�。也是分類模型的主要運(yùn)用算法。對(duì)于已知的攻擊類型的檢測(cè)����,分類模型具有較高的檢準(zhǔn)
7、率��,但是對(duì)于未知的���、新的攻擊�����,分類模型效果就不是很理想���。這個(gè)是由誤用檢測(cè)本身的特點(diǎn)所決定的,誤用檢測(cè)誤報(bào)率低����,但是它在對(duì)已知攻擊模式特征屬性構(gòu)建和選取上往往要花費(fèi)大量的精力����,這也是分類檢測(cè)的難點(diǎn)所在��。所以這種檢測(cè)模型只能有限的檢測(cè)已知的攻擊����,而要更好的檢測(cè)未知的攻擊,就要使用到異常檢測(cè)技術(shù)��,但是�����,異常檢測(cè)卻比誤用檢測(cè)負(fù)責(zé)的多����,因?yàn)閷?duì)于系統(tǒng)正常使用模式的構(gòu)建本身就是一件非常復(fù)雜的事情���。2.2基于異常的入侵模型異常檢測(cè)的主要工作就是通過(guò)構(gòu)造正?��;顒?dòng)集合,然后利用得到的一組觀察數(shù)值的偏離程度來(lái)判斷用戶行為的變化,以此來(lái)覺(jué)得是否屬于入侵的一種檢測(cè)技術(shù)����。異
8、常檢測(cè)的優(yōu)點(diǎn)在于它具有檢測(cè)未知攻擊模式的能力��,不論攻擊者采用什么樣的攻擊策略���,異常檢測(cè)模型依然可以通過(guò)檢測(cè)它與已知模式集合之間的差異來(lái)判
