一種新的基于數(shù)據(jù)挖掘技術(shù)的異常入侵檢測系統(tǒng)研
3 模型
ANEIDSDM模型的框架如圖1所示。本框架由以下幾部分組成:(1)數(shù)據(jù)信息。數(shù)據(jù)信息既有基于網(wǎng)絡(luò)流量的,也有基于主機(jī)的,亦有混合型數(shù)據(jù)信息。(2)數(shù)據(jù)采集。數(shù)據(jù)采集包括數(shù)據(jù)獲取,數(shù)據(jù)去噪和數(shù)據(jù)預(yù)處理3個部分。數(shù)據(jù)信息的采集是數(shù)據(jù)挖掘的基礎(chǔ)階段,采集數(shù)據(jù)質(zhì)量的好壞直接影響到數(shù)據(jù)挖掘質(zhì)量的優(yōu)劣。(3)數(shù)據(jù)分析。數(shù)據(jù)采集后需要對其進(jìn)行模式分析,根據(jù)模式分析的方式選取合適的規(guī)則庫算法,形成規(guī)則庫挖掘。對數(shù)據(jù)挖掘產(chǎn)生的規(guī)則庫進(jìn)行二次挖掘,產(chǎn)生分類規(guī)則庫。(4)數(shù)據(jù)評估。對數(shù)據(jù)挖掘的結(jié)果需要進(jìn)行數(shù)據(jù)評估,為了提高數(shù)據(jù)匹配算法的實時性和高效性,引入了在線滑動窗口和相似度匹配思想,對于數(shù)據(jù)挖掘產(chǎn)生的規(guī)則庫根據(jù)相似度匹配算法快速分類,然后通過滑動窗口在線對規(guī)則庫進(jìn)行匹配檢測。(5)事件響應(yīng)。對數(shù)據(jù)評估的結(jié)果進(jìn)行決策,如果確定為異常數(shù)據(jù)記錄,則啟動預(yù)警系統(tǒng),更新規(guī)則庫。規(guī)則庫作為數(shù)據(jù)去噪和數(shù)據(jù)挖掘的一個參考衡量標(biāo)準(zhǔn),可以提高數(shù)據(jù)純凈度和數(shù)據(jù)挖掘質(zhì)量。(6)用戶。用戶對事件響應(yīng)有決策權(quán),事件響應(yīng)反映給用戶時,用戶可根據(jù)自己設(shè)置的系統(tǒng)安全等級選擇是否預(yù)警。本文引用地址:http://m.butianyuan.cn/article/157028.htm
4 算法分析
ANEIDSDM模型的算法流程圖如圖2所示。ANEIDSDM模型采用滑動窗口和相似度技術(shù),窗口大小為T,步長為t0(t0T),相似度為m,具體方案如下:
(1)數(shù)據(jù)信息訓(xùn)練算法
輸入:數(shù)據(jù)信息E,滑動窗口T,時間t,相似度m,窗口個數(shù)k,步長t0。
輸出:數(shù)據(jù)挖掘規(guī)則庫K。
將數(shù)據(jù)規(guī)則集中重復(fù)度小于最小閾值的規(guī)則舍去,輸出規(guī)則庫K;
評論