基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)解決方案

　　特征提取器的工作過(guò)程可分為數(shù)據(jù)預(yù)處理和產(chǎn)生關(guān)聯(lián)規(guī)則。

　　(1)數(shù)據(jù)預(yù)處理特征提取器的輸入為日志記錄．包含很多字段，但并非所有字段都適用于關(guān)聯(lián)分析。在此僅選擇和Snort規(guī)則相關(guān)的字段，如SrcIP，SrcPort，DstIP，DstPort，Protocol，Dsize，F(xiàn)lags和CID等。

　　(2)產(chǎn)生關(guān)聯(lián)規(guī)則首先根據(jù)設(shè)定的支持度找出所有頻繁項(xiàng)集，一般支持度設(shè)置得越低，產(chǎn)生的頻繁項(xiàng)集就會(huì)越多；而設(shè)置得越高，產(chǎn)生的頻繁項(xiàng)集就越少。接著由頻繁項(xiàng)集產(chǎn)生關(guān)聯(lián)規(guī)則，一般置信度設(shè)置得越低，產(chǎn)生的關(guān)聯(lián)規(guī)則數(shù)目越多但準(zhǔn)確度不高；反之置信度設(shè)置得越高。產(chǎn)生的關(guān)聯(lián)規(guī)則數(shù)目越少但是準(zhǔn)確度較高。

　　3．4系統(tǒng)模型特點(diǎn)

　　該系統(tǒng)在實(shí)際應(yīng)用時(shí)，既可以事先存入已知入侵規(guī)則，以降低在開(kāi)始操作時(shí)期的漏報(bào)率，也可以不需要預(yù)先的背景知識(shí)。雖然該系統(tǒng)有較強(qiáng)的自適應(yīng)性，但在操作初期會(huì)有較高的誤報(bào)率。因此該系統(tǒng)模型有如下特點(diǎn)：(1)利用數(shù)據(jù)挖掘技術(shù)進(jìn)行入侵檢測(cè)；(2)利用先進(jìn)的挖掘算法，使操作接近實(shí)時(shí)；(3)具有自適應(yīng)性，能根據(jù)當(dāng)前的環(huán)境更新規(guī)則庫(kù)；(4)不但可檢測(cè)到已知的攻擊，而且可檢測(cè)到未知的攻擊。

　　4系統(tǒng)測(cè)試

　　以Snort為例，在規(guī)則匹配方面擴(kuò)展系統(tǒng)保持Snort的工作原理，實(shí)驗(yàn)分析具有代表性，分析攻擊模式數(shù)據(jù)庫(kù)大小與匹配時(shí)間的關(guān)系。

　　實(shí)驗(yàn)環(huán)境：IP地址為192．168．1．2的主機(jī)配置為PIV1．8G，內(nèi)存512M，操作系統(tǒng)為WindowsXP；3臺(tái)分機(jī)的IP地址分別為192．168．1．23，192．168．1．32，192．168．1．45。實(shí)驗(yàn)方法：隨機(jī)通過(guò)TcpDump抓取一組網(wǎng)絡(luò)數(shù)據(jù)包，通過(guò)該系統(tǒng)記錄約20min傳送來(lái)的數(shù)據(jù)包，3臺(tái)分機(jī)分別對(duì)主機(jī)不同攻擊類(lèi)型的數(shù)據(jù)包進(jìn)行測(cè)試。

　　異常分析器采用K-Means算法作為聚類(lèi)分析算法，試驗(yàn)表明．誤檢率隨閾值的增大而迅速增大，而隨閾值的減小而逐漸減小。由于聚類(lèi)半徑R的增大會(huì)導(dǎo)致攻擊數(shù)據(jù)包與正常數(shù)包被劃分到同一個(gè)聚類(lèi)，因此誤檢率必然會(huì)隨著閾值的增大而增大。另一方面，當(dāng)某一種新類(lèi)型的攻擊數(shù)據(jù)包數(shù)目達(dá)到閾值時(shí)，系統(tǒng)會(huì)將其判定為正常類(lèi)，因此閾值越小必然導(dǎo)致誤檢率越高。當(dāng)聚類(lèi)半徑R=6時(shí)，該系統(tǒng)比Snort原始版本檢測(cè)的速度快，并且誤檢率也較低。

　　特征提取器采用關(guān)聯(lián)分析的Apriori算法，置信度設(shè)置為100％，閾值設(shè)為1000，支持度50％，最后自動(dòng)生成以下3條新的入侵檢測(cè)規(guī)則：

　　alerttcp192．168．1．232450->192．168．1．280(msg：”poli-cy：externalnetattempttoaccess192。168。1。2”；classtype：at-temptesd-recon；)

　　alerttcp192．168．1．321850->192．168．1．221(msg：”poli-cy：extemalnetattempttoaccess192．168．1．2”；classtype：at-tempted-recon；)

　　alerttcp192．168．1．452678->192．168．1．21080(msg：”policy：extemalnetattempttoaccess192．168。1。2”；classtype：at-tempted-reeon；)

　　該試驗(yàn)結(jié)果說(shuō)明經(jīng)采用特征提取器對(duì)異常日志進(jìn)行分析，系統(tǒng)挖掘出檢測(cè)新類(lèi)型攻擊的規(guī)則，并具備檢測(cè)新類(lèi)型攻擊的能力。

　　5結(jié)束語(yǔ)

　　提出一種基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)模型，借助數(shù)據(jù)挖掘技術(shù)在處理大量數(shù)據(jù)特征提取方面的優(yōu)勢(shì)，可使入侵檢測(cè)更加自動(dòng)化，提高檢測(cè)效率和檢測(cè)準(zhǔn)確度?；跀?shù)據(jù)挖掘的入侵檢測(cè)己得到快速發(fā)展，但離投入實(shí)際使用還有距離，尚未具備完善的理論體系。因此，解決數(shù)據(jù)挖掘的入侵檢測(cè)實(shí)時(shí)性、正確檢測(cè)率、誤警率等方面問(wèn)題是當(dāng)前的主要任務(wù)，及豐富和發(fā)展現(xiàn)有理論，完善入侵檢測(cè)系統(tǒng)使其投入實(shí)際應(yīng)用。