基于數據挖掘技術(shù)的入侵檢測系統解決方案

　　3．1模塊功能簡(jiǎn)述

　　(1)嗅探器主要進(jìn)行數據收集，它只是一個(gè)簡(jiǎn)單的抓取信息的接口。嗅探器所在位置決定入侵檢測的局部處理程度。

　　(2)解碼器解碼分析捕獲的數據包。并把分析結果存到一個(gè)指定的數據結構中。

　　(3)數據預處理負責將網(wǎng)絡(luò )數據、連接數據轉換為挖掘方法所需的數據格式，包括：進(jìn)一步的過(guò)濾、噪聲的消除、第三方檢測工具檢測到的已知攻擊。利用誤用檢測方法對已知的入侵行為與規則庫的入侵規則進(jìn)行匹配，直接找到入侵行為，進(jìn)行報警。

　　(4)異常分析器通過(guò)使用關(guān)聯(lián)分析和序列分析找到新的攻擊，利用異常檢測方法將這些異常行為送往規則庫。

　　(5)日志記錄保存2種記錄：未知網(wǎng)絡(luò )正常行為產(chǎn)生的數據包信息和未知入侵行為產(chǎn)生的數據包信息。

　　(6)規則庫保存入侵檢測規則，為誤用檢測提供依據。

　　(7)報警器當偏離分析器報告有異常行為時(shí)，報警器通過(guò)人機界面向管理員發(fā)出通知，其形式可以是E-mail?？刂婆_報警、日志條目、可視化的工具。

　　(8)特征提取器對日志中的數據記錄進(jìn)行關(guān)聯(lián)分析，得出關(guān)聯(lián)規則，添加到規則庫中。

　　3．2異常分析器

　　異常分析器使用聚類(lèi)分析模型產(chǎn)生的網(wǎng)絡(luò )或主機正常模型檢測數據包。它采用K-Means算法作為聚類(lèi)分析算法。圖2為異常分析的流程。

　　異常分析器的檢測過(guò)程為：(1)網(wǎng)絡(luò )或主機數據包標準化；(2)計算網(wǎng)絡(luò )數據包與主類(lèi)鏈表中聚類(lèi)中心的相似度：(3)若該網(wǎng)絡(luò )數據包與某一主類(lèi)的相似度小于聚類(lèi)半徑R，則表明其是正常的網(wǎng)絡(luò )數據包，將其丟棄；(4)若該網(wǎng)絡(luò )數據包與所有主類(lèi)的相似度大于聚類(lèi)半徑R，則表明其是異常的網(wǎng)絡(luò )數據包。

　　3．3特征提取器

　　特征提取器用于分析未知的異常數據包，挖掘網(wǎng)絡(luò )異常數據包中潛在的入侵行為模式，產(chǎn)生相應的關(guān)聯(lián)規則集．添加到規則庫中。該模塊采用Apriori算法進(jìn)行關(guān)聯(lián)規則的挖掘，其工作流程如圖3所示。