基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)

3 基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)模型
針對現(xiàn)有入侵檢測系統(tǒng)挖掘速度慢和挖掘準(zhǔn)確度不高的缺點，提出基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)模型．該模型的結(jié)構(gòu)如圖1所示。

3．1 模塊功能簡述
(1)嗅探器主要進(jìn)行數(shù)據(jù)收集，它只是一個簡單的抓取信息的接口。嗅探器所在位置決定入侵檢測的局部處理程度。
(2)解碼器解碼分析捕獲的數(shù)據(jù)包。并把分析結(jié)果存到一個指定的數(shù)據(jù)結(jié)構(gòu)中。
(3)數(shù)據(jù)預(yù)處理 負(fù)責(zé)將網(wǎng)絡(luò)數(shù)據(jù)、連接數(shù)據(jù)轉(zhuǎn)換為挖掘方法所需的數(shù)據(jù)格式，包括：進(jìn)一步的過濾、噪聲的消除、第三方檢測工具檢測到的已知攻擊。利用誤用檢測方法對已知的入侵行為與規(guī)則庫的入侵規(guī)則進(jìn)行匹配，直接找到入侵行為，進(jìn)行報警。
(4)異常分析器通過使用關(guān)聯(lián)分析和序列分析找到新的攻擊，利用異常檢測方法將這些異常行為送往規(guī)則庫。
(5)日志記錄保存2種記錄：未知網(wǎng)絡(luò)正常行為產(chǎn)生的數(shù)據(jù)包信息和未知入侵行為產(chǎn)生的數(shù)據(jù)包信息。
(6)規(guī)則庫 保存入侵檢測規(guī)則，為誤用檢測提供依據(jù)。
(7)報警器 當(dāng)偏離分析器報告有異常行為時，報警器通過人機(jī)界面向管理員發(fā)出通知，其形式可以是E-mail?？刂婆_報警、日志條目、可視化的工具。
(8)特征提取器對日志中的數(shù)據(jù)記錄進(jìn)行關(guān)聯(lián)分析，得出關(guān)聯(lián)規(guī)則，添加到規(guī)則庫中。
3．2 異常分析器
異常分析器使用聚類分析模型產(chǎn)生的網(wǎng)絡(luò)或主機(jī)正常模型檢測數(shù)據(jù)包。它采用K-Means算法作為聚類分析算法。圖2為異常分析的流程。

異常分析器的檢測過程為：(1)網(wǎng)絡(luò)或主機(jī)數(shù)據(jù)包標(biāo)準(zhǔn)化；(2)計算網(wǎng)絡(luò)數(shù)據(jù)包與主類鏈表中聚類中心的相似度：(3)若該網(wǎng)絡(luò)數(shù)據(jù)包與某一主類的相似度小于聚類半徑R，則表明其是正常的網(wǎng)絡(luò)數(shù)據(jù)包，將其丟棄；(4)若該網(wǎng)絡(luò)數(shù)據(jù)包與所有主類的相似度大于聚類半徑R，則表明其是異常的網(wǎng)絡(luò)數(shù)據(jù)包。
3．3 特征提取器
特征提取器用于分析未知的異常數(shù)據(jù)包，挖掘網(wǎng)絡(luò)異常數(shù)據(jù)包中潛在的入侵行為模式，產(chǎn)生相應(yīng)的關(guān)聯(lián)規(guī)則集．添加到規(guī)則庫中。該模塊采用Apriori算法進(jìn)行關(guān)聯(lián)規(guī)則的挖掘，其工作流程如圖3所示。

特征提取器的工作過程可分為數(shù)據(jù)預(yù)處理和產(chǎn)生關(guān)聯(lián)規(guī)則。
(1)數(shù)據(jù)預(yù)處理 特征提取器的輸入為日志記錄．包含很多字段，但并非所有字段都適用于關(guān)聯(lián)分析。在此僅選擇和Snort規(guī)則相關(guān)的字段，如SrcIP，SrcPort，DstIP，DstPort，Protocol，Dsize，F(xiàn)lags和CID等。