新聞中心

EEPW首頁(yè) > 測(cè)試測(cè)量 > 設(shè)計(jì)應(yīng)用 > 基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)解決方案

基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)解決方案

作者: 時(shí)間:2009-09-23 來(lái)源:網(wǎng)絡(luò) 收藏

  3.1模塊功能簡(jiǎn)述

  (1)嗅探器主要進(jìn)行數(shù)據(jù)收集,它只是一個(gè)簡(jiǎn)單的抓取信息的接口。嗅探器所在位置決定的局部處理程度。

  (2)解碼器解碼分析捕獲的數(shù)據(jù)包。并把分析結(jié)果存到一個(gè)指定的數(shù)據(jù)結(jié)構(gòu)中。

  (3)數(shù)據(jù)預(yù)處理負(fù)責(zé)將網(wǎng)絡(luò)數(shù)據(jù)、連接數(shù)據(jù)轉(zhuǎn)換為挖掘方法所需的數(shù)據(jù)格式,包括:進(jìn)一步的過(guò)濾、噪聲的消除、第三方檢測(cè)工具檢測(cè)到的已知攻擊。利用誤用檢測(cè)方法對(duì)已知的入侵行為與規(guī)則庫(kù)的入侵規(guī)則進(jìn)行匹配,直接找到入侵行為,進(jìn)行報(bào)警。

  (4)異常分析器通過(guò)使用關(guān)聯(lián)分析和序列分析找到新的攻擊,利用異常檢測(cè)方法將這些異常行為送往規(guī)則庫(kù)。

  (5)日志記錄保存2種記錄:未知網(wǎng)絡(luò)正常行為產(chǎn)生的數(shù)據(jù)包信息和未知入侵行為產(chǎn)生的數(shù)據(jù)包信息。

  (6)規(guī)則庫(kù)保存規(guī)則,為誤用檢測(cè)提供依據(jù)。

  (7)報(bào)警器當(dāng)偏離分析器報(bào)告有異常行為時(shí),報(bào)警器通過(guò)人機(jī)界面向管理員發(fā)出通知,其形式可以是E-mail??刂婆_(tái)報(bào)警、日志條目、可視化的工具。

  (8)特征提取器對(duì)日志中的數(shù)據(jù)記錄進(jìn)行關(guān)聯(lián)分析,得出關(guān)聯(lián)規(guī)則,添加到規(guī)則庫(kù)中。

  3.2異常分析器

  異常分析器使用聚類分析模型產(chǎn)生的網(wǎng)絡(luò)或主機(jī)正常模型檢測(cè)數(shù)據(jù)包。它采用K-Means算法作為聚類分析算法。圖2為異常分析的流程。

  異常分析器的檢測(cè)過(guò)程為:(1)網(wǎng)絡(luò)或主機(jī)數(shù)據(jù)包標(biāo)準(zhǔn)化;(2)計(jì)算網(wǎng)絡(luò)數(shù)據(jù)包與主類鏈表中聚類中心的相似度:(3)若該網(wǎng)絡(luò)數(shù)據(jù)包與某一主類的相似度小于聚類半徑R,則表明其是正常的網(wǎng)絡(luò)數(shù)據(jù)包,將其丟棄;(4)若該網(wǎng)絡(luò)數(shù)據(jù)包與所有主類的相似度大于聚類半徑R,則表明其是異常的網(wǎng)絡(luò)數(shù)據(jù)包。

  3.3特征提取器

  特征提取器用于分析未知的異常數(shù)據(jù)包,挖掘網(wǎng)絡(luò)異常數(shù)據(jù)包中潛在的入侵行為模式,產(chǎn)生相應(yīng)的關(guān)聯(lián)規(guī)則集.添加到規(guī)則庫(kù)中。該模塊采用Apriori算法進(jìn)行關(guān)聯(lián)規(guī)則的挖掘,其工作流程如圖3所示。



評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉