首 页文档资料下载资料维修视频包年699元
请登录  |  免费注册
当前位置:精通维修下载 > 文档资料 > 家电技术 > 单元电路介绍 > 其它电路
基于数据挖掘技术的入侵检测系统
来源:本站整理  作者:佚名  2009-09-22 10:30:59



3 基于数据挖掘的入侵检测系统模型
    针对现有入侵检测系统挖掘速度慢和挖掘准确度不高的缺点,提出基于数据挖掘技术的入侵检测系统模型.该模型的结构如图1所示。

3.1 模块功能简述
    (1)嗅探器主要进行数据收集,它只是一个简单的抓取信息的接口。嗅探器所在位置决定入侵检测的局部处理程度。
    (2)解码器解码分析捕获的数据包。并把分析结果存到一个指定的数据结构中。
    (3)数据预处理 负责将网络数据、连接数据转换为挖掘方法所需的数据格式,包括:进一步的过滤、噪声的消除、第三方检测工具检测到的已知攻击。利用误用检测方法对已知的入侵行为与规则库的入侵规则进行匹配,直接找到入侵行为,进行报警。
    (4)异常分析器通过使用关联分析和序列分析找到新的攻击,利用异常检测方法将这些异常行为送往规则库。
    (5)日志记录保存2种记录:未知网络正常行为产生的数据包信息和未知入侵行为产生的数据包信息。
    (6)规则库 保存入侵检测规则,为误用检测提供依据。
    (7)报警器 当偏离分析器报告有异常行为时,报警器通过人机界面向管理员发出通知,其形式可以是E-mail。控制台报警、日志条目、可视化的工具。
    (8)特征提取器对日志中的数据记录进行关联分析,得出关联规则,添加到规则库中。
3.2 异常分析器
    异常分析器使用聚类分析模型产生的网络或主机正常模型检测数据包。它采用K-Means算法作为聚类分析算法。图2为异常分析的流程。

    异常分析器的检测过程为:(1)网络或主机数据包标准化;(2)计算网络数据包与主类链表中聚类中心的相似度:(3)若该网络数据包与某一主类的相似度小于聚类半径R,则表明其是正常的网络数据包,将其丢弃;(4)若该网络数据包与所有主类的相似度大于聚类半径R,则表明其是异常的网络数据包。
3.3 特征提取器
    特征提取器用于分析未知的异常数据包,挖掘网络异常数据包中潜在的入侵行为模式,产生相应的关联规则集.添加到规则库中。该模块采用Apriori算法进行关联规则的挖掘,其工作流程如图3所示。

    特征提取器的工作过程可分为数据预处理和产生关联规则。
    (1)数据预处理 特征提取器的输入为日志记录.包含很多字段,但并非所有字段都适用于关联分析。在此仅选择和Snort规则相关的字段,如SrcIP,SrcPort,DstIP,DstPort,Protocol,Dsize,Flags和CID等。

上一页  [1] [2] [3] 

关键词:

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分)

推荐阅读

图文阅读

热门阅读

Copyright © 2007-2017 down.gzweix.Com. All Rights Reserved .
页面执行时间:52,156.25000 毫秒