论文研究-数据挖掘算法在入侵检测系统中的应用.pdf

所需积分/C币:5 2019-07-22 19:02:15 120KB .PDF

数据挖掘可以利用各种分析工具从海量数据中发现模型和数据间的关系并做出预测。针对入侵检测系统的特点,将关联规则算法与序列模式算法应用于入侵检测系统中,介绍了将适当改进的关联规则Apriori算法与序列模式GSP算法相结合挖掘原始审计数据中频繁模式的过程,并着重研究了这两种算法结合扩展关联规则的算法应用。
计算机应用研究 2004年 hosS_byte,Det_bys,Flag,Bu,Adk,Win等。 从关联规则和序列模式的挖掘屮总结山历史正常行为模 数据仓库中以 SYN Flood对 WindoWs nt系统攻击的网络式(表7),并得到相应的身份判断,用户Chan可能是程序员。 连接记录(表2)为例。这里,攻击者在很短的时间内使用许多 表7Shel命令审计记求的序列模式 欺骗源地址发出许多SN连接(表明只发出了第一个SYN小烹序列式数「列式 模式说明 ⅵi.c->gcc-g-0->gdb用户Chen通曾执行的命令序列 包)到受攻击主机HTTP端口 盲先用ⅵ编C程序,然,用gc 编译,冂使用gb进行型序的词试 表2 SYN Flood攻击的网络连接记录 Timestamp Duration Service Sc_hast Dest_ hast Src_bytes Dest_bytes Flag 因此,在挖掘出频繁嫫式的基础上,找出序列模式;可以根 1.1 000 Http Spoofed_1 Victim SYN 据训练集的不同分别建立误用检测模型和异常檢测模型,然后 Http Spoofed Victim 使用专家系统或模式匹配算法检测实吋数据。 Http Spoofed Victim NNN .1 D FIN ABABD 4结束语 D smtp A 300 FⅣ 本文将适当改进的 Apriori算法、GSP算法相结合应用在 15.2 入侵检测系统中,并进行了有益的尝试。在应用算法挖掘原始 关联规则算法用」提取出同一糸网络连接记录中不同特审计数据的过程中如何有效地得到相应的频繁模式问题是研 征属性间存在的相关性(表3) 究的关键。今后将在如何调整最小支持度最小置信度等参数 袤3网络连按记录的关联规则 设置;选取数量合适且具有代表性的原始审计数据,精确去除 务器为HP月标主列 Vicom fla 无用规则等方面开展深入地研究。 tm÷SYN,在同一条阿络连接记录经常 参考文献 序列模式算法用丁提取出不同阏终连接记录中存在的相〔1胡华平,陈海涛,黄辰林,入侵检测系统研究现状及发展趋势 关性(表4)。 冂].计算机工程与科学,2001,2(1) 袤4网络连接记录的序列模式 [2 enke Lee. A Data Mining for Constructing Feature and Model for In 应列模式 式识口 (service=httpflag=syn,Desthost trusion Detection System[ D. Paper of the Degree of Doctor of Phi Victim),(Service=HTTP,sg=SN,在为5N,目标三机为vm的内 Det_hat=Ⅵem)·(Service=HTTP,个HTP连接之后,在2S之,有86% losophy in the Graduate School of Arts and Sciences, COLUMBIA U- 的可能性出第三个一拦的连接。这对 Fag=SYN, Dest host=Ⅵim)[0.86,式发生的慨率为2% 0.02,2] NIVERSITY.1999,59-62. 以上挖掘出的的序列模式即为所需 SYN Flood的频繁片 [3 enke Lee, et al. Algorithms for Mining System Audit Data[ C]. Pro 段模式,并在数据仓库中建立对应的数据集市,结合其他的频 ceedings of, IEEE Symposium on Security and Privacy, 1999 繁片段模式,对击进行特征分析。 [4 Agrawal, et al. Mining Assosiation Rules between Sets of Items in Large Datab ase[ c]. Proc. of the ACM SIGMOD Conference on Ma 3.2挖掘主机会话记录 nagement of Data, Washin gton D. C,1993.207-216 基主机的数据源主要来自主机的各种日志,包括:操作[5] Agrawal,etal. Minin g Sequential Pattems[(]. Proceedings of the 系统审计记录、系统日志、基」应用的审计信息和基」日标的 11 th Intemational Conference on Data ngineering. 1995.3-10 对象信息。通过用户提交的每一条命令结合与之相关的其他L6^gawa, riant. Mining Sequential Patterns: generalizations anc 属性,形成一条审计记录,每条审计记录巾一组固定的特征属 Performance Improements[ C. Proceeding of the Fifth Int I Confe 性纠成: Username(用户名)、 Timestamp(吋间戳)、 HostIP(主机 rence on E xtending Database Techn ol oy( EDBT),1996.3-17 IP)、 UserID(用户IP)、 Command(命令)、 Paran(命令参数)。 [7 Agrawal, et al. The Quest Data Mining System[ C]. Proc. of the 2nd Int' l Con ference on k nowled ye discovery in Databases and Data mi 以数据仓库中Tene会话中的Shel命令审计记录(表5 ning, Portland, Ore gon, August, 1996 为例,我们将用户向Tdne主机递交的所有Shel命令作进 [8 Agrawal, R Srikant Mining Generalized Assosiation Rules[ C]. Pro 步预处理,去除编辑状态下用广输入的内容,命令参数仅保留 eeding of the 21 st Intl Con ference on Very Large Dat abase. Zurich 文件的后缀名和敏感文件名。 Switzerland, 1 995 表5Ten会话中的Se命令审计记录 [9 Agrawal, et al. Fast Algorithms for Mining Association Rules[ C] Username Timestamp HastIE Cammand Param Proceedings of the 20 th VLDB Conference, Santiago, Chile, 1994 192.168.0.123192.168.0.15 192.168.0.123192.168.0.85 [10] iawei Han, Jian Pei. Simon Fraser Sequential Pattern Mining: From P, M 192.168.0.123192.168.0.15 Shopping his tory Analysis to weblog and DNA Mining[ Z. Universi Chen P. M 192.168.0.123192.168.0.15gdb(0.4) ty. Canada 关联规则算法用于提取出同一条会话记录中不同特征属 [ 11 awei Han Michchenline Kamber:数据挖掘概念与技术[M].范 明,孟小峰,等.北京:机械工业出版社,2001.149-158 性间存在的相关性(表6)。 [12]连一峰,等.基于模式挖掘的用户行为异常检测[.计算机学 表6 shell i命令审计记录的关联规则 报,2002,3(3):1-2 小支清度关联规则数 50% HosP=192.168.0.123白Ch通常在天卜午登 作者简介 UserId=192.168.0.1 主机192.168.0.123,登录时IP 訊址是1 胡笑蕾(1974-),女,研究生,研究方向为网络与信息安全;胡华平(1967-) 序列模式算法用于提取出不同会话记录中户所执行命男副研究员博士后研究方向为信息安全计算机系统性能评测可靠性 令存在的相关性 建模与分析;宋世杰(1970-),男,博士生,研究方向为网络与信息安全

...展开详情
img
  • 至尊王者

    成功上传501个资源即可获取

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐