新聞中心

EEPW首頁(yè) > 測(cè)試測(cè)量 > 設(shè)計(jì)應(yīng)用 > 基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)解決方案

基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)解決方案

作者: 時(shí)間:2009-09-23 來(lái)源:網(wǎng)絡(luò) 收藏

  特征提取器的工作過(guò)程可分為數(shù)據(jù)預(yù)處理和產(chǎn)生關(guān)聯(lián)規(guī)則。

  (1)數(shù)據(jù)預(yù)處理特征提取器的輸入為日志記錄.包含很多字段,但并非所有字段都適用于關(guān)聯(lián)分析。在此僅選擇和Snort規(guī)則相關(guān)的字段,如SrcIP,SrcPort,DstIP,DstPort,Protocol,Dsize,F(xiàn)lags和CID等。

  (2)產(chǎn)生關(guān)聯(lián)規(guī)則首先根據(jù)設(shè)定的支持度找出所有頻繁項(xiàng)集,一般支持度設(shè)置得越低,產(chǎn)生的頻繁項(xiàng)集就會(huì)越多;而設(shè)置得越高,產(chǎn)生的頻繁項(xiàng)集就越少。接著由頻繁項(xiàng)集產(chǎn)生關(guān)聯(lián)規(guī)則,一般置信度設(shè)置得越低,產(chǎn)生的關(guān)聯(lián)規(guī)則數(shù)目越多但準(zhǔn)確度不高;反之置信度設(shè)置得越高。產(chǎn)生的關(guān)聯(lián)規(guī)則數(shù)目越少但是準(zhǔn)確度較高。

  3.4系統(tǒng)模型特點(diǎn)

  該系統(tǒng)在實(shí)際應(yīng)用時(shí),既可以事先存入已知入侵規(guī)則,以降低在開(kāi)始操作時(shí)期的漏報(bào)率,也可以不需要預(yù)先的背景知識(shí)。雖然該系統(tǒng)有較強(qiáng)的自適應(yīng)性,但在操作初期會(huì)有較高的誤報(bào)率。因此該系統(tǒng)模型有如下特點(diǎn):(1)利用進(jìn)行;(2)利用先進(jìn)的挖掘算法,使操作接近實(shí)時(shí);(3)具有自適應(yīng)性,能根據(jù)當(dāng)前的環(huán)境更新規(guī)則庫(kù);(4)不但可檢測(cè)到已知的攻擊,而且可檢測(cè)到未知的攻擊。

  4系統(tǒng)測(cè)試

  以Snort為例,在規(guī)則匹配方面擴(kuò)展系統(tǒng)保持Snort的工作原理,實(shí)驗(yàn)分析具有代表性,分析攻擊模式數(shù)據(jù)庫(kù)大小與匹配時(shí)間的關(guān)系。

  實(shí)驗(yàn)環(huán)境:IP地址為192.168.1.2的主機(jī)配置為PIV1.8G,內(nèi)存512M,操作系統(tǒng)為WindowsXP;3臺(tái)分機(jī)的IP地址分別為192.168.1.23,192.168.1.32,192.168.1.45。實(shí)驗(yàn)方法:隨機(jī)通過(guò)TcpDump抓取一組網(wǎng)絡(luò)數(shù)據(jù)包,通過(guò)該系統(tǒng)記錄約20min傳送來(lái)的數(shù)據(jù)包,3臺(tái)分機(jī)分別對(duì)主機(jī)不同攻擊類型的數(shù)據(jù)包進(jìn)行測(cè)試。

  異常分析器采用K-Means算法作為聚類分析算法,試驗(yàn)表明.誤檢率隨閾值的增大而迅速增大,而隨閾值的減小而逐漸減小。由于聚類半徑R的增大會(huì)導(dǎo)致攻擊數(shù)據(jù)包與正常數(shù)包被劃分到同一個(gè)聚類,因此誤檢率必然會(huì)隨著閾值的增大而增大。另一方面,當(dāng)某一種新類型的攻擊數(shù)據(jù)包數(shù)目達(dá)到閾值時(shí),系統(tǒng)會(huì)將其判定為正常類,因此閾值越小必然導(dǎo)致誤檢率越高。當(dāng)聚類半徑R=6時(shí),該系統(tǒng)比Snort原始版本檢測(cè)的速度快,并且誤檢率也較低。

  特征提取器采用關(guān)聯(lián)分析的Apriori算法,置信度設(shè)置為100%,閾值設(shè)為1000,支持度50%,最后自動(dòng)生成以下3條新的規(guī)則:

  alerttcp192.168.1.232450->192.168.1.280(msg:”poli-cy:externalnetattempttoaccess192。168。1。2”;classtype:at-temptesd-recon;)

  alerttcp192.168.1.321850->192.168.1.221(msg:”poli-cy:extemalnetattempttoaccess192.168.1.2”;classtype:at-tempted-recon;)

  alerttcp192.168.1.452678->192.168.1.21080(msg:”policy:extemalnetattempttoaccess192.168。1。2”;classtype:at-tempted-reeon;)

  該試驗(yàn)結(jié)果說(shuō)明經(jīng)采用特征提取器對(duì)異常日志進(jìn)行分析,系統(tǒng)挖掘出檢測(cè)新類型攻擊的規(guī)則,并具備檢測(cè)新類型攻擊的能力。

  5結(jié)束語(yǔ)

  提出一種基于數(shù)據(jù)挖掘的系統(tǒng)模型,借助在處理大量數(shù)據(jù)特征提取方面的優(yōu)勢(shì),可使入侵檢測(cè)更加自動(dòng)化,提高檢測(cè)效率和檢測(cè)準(zhǔn)確度?;跀?shù)據(jù)挖掘的入侵檢測(cè)己得到快速發(fā)展,但離投入實(shí)際使用還有距離,尚未具備完善的理論體系。因此,解決數(shù)據(jù)挖掘的入侵檢測(cè)實(shí)時(shí)性、正確檢測(cè)率、誤警率等方面問(wèn)題是當(dāng)前的主要任務(wù),及豐富和發(fā)展現(xiàn)有理論,完善入侵檢測(cè)系統(tǒng)使其投入實(shí)際應(yīng)用。


上一頁(yè) 1 2 3 下一頁(yè)

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉