基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)

4 系統(tǒng)測試
以Snort為例，在規(guī)則匹配方面擴展系統(tǒng)保持Snort的工作原理，實驗分析具有代表性，分析攻擊模式數(shù)據(jù)庫大小與匹配時間的關(guān)系。
實驗環(huán)境：IP地址為192．168．1．2的主機配置為PIV1．8G，內(nèi)存512 M，操作系統(tǒng)為Windows XP；3臺分機的IP地址分別為192．168．1．23，192．168．1．32，192．168．1．45。實驗方法：隨機通過TcpDump抓取一組網(wǎng)絡(luò)數(shù)據(jù)包，通過該系統(tǒng)記錄約20 min傳送來的數(shù)據(jù)包，3臺分機分別對主機不同攻擊類型的數(shù)據(jù)包進行測試。
異常分析器采用K-Means算法作為聚類分析算法，試驗表明．誤檢率隨閾值的增大而迅速增大，而隨閾值的減小而逐漸減小。由于聚類半徑R的增大會導致攻擊數(shù)據(jù)包與正常數(shù)包被劃分到同一個聚類，因此誤檢率必然會隨著閾值的增大而增大。另一方面，當某一種新類型的攻擊數(shù)據(jù)包數(shù)目達到閾值時，系統(tǒng)會將其判定為正常類，因此閾值越小必然導致誤檢率越高。當聚類半徑R=6時，該系統(tǒng)比Snort原始版本檢測的速度快，并且誤檢率也較低。
特征提取器采用關(guān)聯(lián)分析的Apriori算法，置信度設(shè)置為100％，閾值設(shè)為1 000，支持度50％，最后自動生成以下3條新的入侵檢測規(guī)則：
alert tcp 192．168．1．23 2450->192．168．1．2 80(msg：”poli-cy：externalnet attempt to access 192.168.1.2”；classtype：at-temptesd-recon；)
alert tcp 192．168．1．32 1850->192．168．1．2 21(msg：”poli-cy：extemalnet attempt to access 192．168．1．2”；classtype：at-tempted-recon；)
alert tcp 192．168．1．45 2678->192．168．1．2 1080(msg：”policy：extemalnet attempt to access 192．168.1.2”；classtype：at-tempted-reeon；)
該試驗結(jié)果說明經(jīng)采用特征提取器對異常日志進行分析，系統(tǒng)挖掘出檢測新類型攻擊的規(guī)則，并具備檢測新類型攻擊的能力。

5 結(jié)束語
提出一種基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)模型，借助數(shù)據(jù)挖掘技術(shù)在處理大量數(shù)據(jù)特征提取方面的優(yōu)勢，可使入侵檢測更加自動化，提高檢測效率和檢測準確度。基于數(shù)據(jù)挖掘的入侵檢測己得到快速發(fā)展，但離投入實際使用還有距離，尚未具備完善的理論體系。因此，解決數(shù)據(jù)挖掘的入侵檢測實時性、正確檢測率、誤警率等方面問題是當前的主要任務(wù)，及豐富和發(fā)展現(xiàn)有理論，完善入侵檢測系統(tǒng)使其投入實際應(yīng)用。