基于數據挖掘技術(shù)的入侵檢測系統解決方案

　　特征提取器的工作過(guò)程可分為數據預處理和產(chǎn)生關(guān)聯(lián)規則。

　　(1)數據預處理特征提取器的輸入為日志記錄．包含很多字段，但并非所有字段都適用于關(guān)聯(lián)分析。在此僅選擇和Snort規則相關(guān)的字段，如SrcIP，SrcPort，DstIP，DstPort，Protocol，Dsize，Flags和CID等。

　　(2)產(chǎn)生關(guān)聯(lián)規則首先根據設定的支持度找出所有頻繁項集，一般支持度設置得越低，產(chǎn)生的頻繁項集就會(huì )越多；而設置得越高，產(chǎn)生的頻繁項集就越少。接著(zhù)由頻繁項集產(chǎn)生關(guān)聯(lián)規則，一般置信度設置得越低，產(chǎn)生的關(guān)聯(lián)規則數目越多但準確度不高；反之置信度設置得越高。產(chǎn)生的關(guān)聯(lián)規則數目越少但是準確度較高。

　　3．4系統模型特點(diǎn)

　　該系統在實(shí)際應用時(shí)，既可以事先存入已知入侵規則，以降低在開(kāi)始操作時(shí)期的漏報率，也可以不需要預先的背景知識。雖然該系統有較強的自適應性，但在操作初期會(huì )有較高的誤報率。因此該系統模型有如下特點(diǎn)：(1)利用數據挖掘技術(shù)進(jìn)行入侵檢測；(2)利用先進(jìn)的挖掘算法，使操作接近實(shí)時(shí)；(3)具有自適應性，能根據當前的環(huán)境更新規則庫；(4)不但可檢測到已知的攻擊，而且可檢測到未知的攻擊。

　　4系統測試

　　以Snort為例，在規則匹配方面擴展系統保持Snort的工作原理，實(shí)驗分析具有代表性，分析攻擊模式數據庫大小與匹配時(shí)間的關(guān)系。

　　實(shí)驗環(huán)境：IP地址為192．168．1．2的主機配置為PIV1．8G，內存512M，操作系統為WindowsXP；3臺分機的IP地址分別為192．168．1．23，192．168．1．32，192．168．1．45。實(shí)驗方法：隨機通過(guò)TcpDump抓取一組網(wǎng)絡(luò )數據包，通過(guò)該系統記錄約20min傳送來(lái)的數據包，3臺分機分別對主機不同攻擊類(lèi)型的數據包進(jìn)行測試。

　　異常分析器采用K-Means算法作為聚類(lèi)分析算法，試驗表明．誤檢率隨閾值的增大而迅速增大，而隨閾值的減小而逐漸減小。由于聚類(lèi)半徑R的增大會(huì )導致攻擊數據包與正常數包被劃分到同一個(gè)聚類(lèi)，因此誤檢率必然會(huì )隨著(zhù)閾值的增大而增大。另一方面，當某一種新類(lèi)型的攻擊數據包數目達到閾值時(shí)，系統會(huì )將其判定為正常類(lèi)，因此閾值越小必然導致誤檢率越高。當聚類(lèi)半徑R=6時(shí)，該系統比Snort原始版本檢測的速度快，并且誤檢率也較低。

　　特征提取器采用關(guān)聯(lián)分析的Apriori算法，置信度設置為100％，閾值設為1000，支持度50％，最后自動(dòng)生成以下3條新的入侵檢測規則：

　　alerttcp192．168．1．232450->192．168．1．280(msg：”poli-cy：externalnetattempttoaccess192。168。1。2”；classtype：at-temptesd-recon；)

　　alerttcp192．168．1．321850->192．168．1．221(msg：”poli-cy：extemalnetattempttoaccess192．168．1．2”；classtype：at-tempted-recon；)

　　alerttcp192．168．1．452678->192．168．1．21080(msg：”policy：extemalnetattempttoaccess192．168。1。2”；classtype：at-tempted-reeon；)

　　該試驗結果說(shuō)明經(jīng)采用特征提取器對異常日志進(jìn)行分析，系統挖掘出檢測新類(lèi)型攻擊的規則，并具備檢測新類(lèi)型攻擊的能力。

　　5結束語(yǔ)

　　提出一種基于數據挖掘的入侵檢測系統模型，借助數據挖掘技術(shù)在處理大量數據特征提取方面的優(yōu)勢，可使入侵檢測更加自動(dòng)化，提高檢測效率和檢測準確度?；跀祿诰虻娜肭謾z測己得到快速發(fā)展，但離投入實(shí)際使用還有距離，尚未具備完善的理論體系。因此，解決數據挖掘的入侵檢測實(shí)時(shí)性、正確檢測率、誤警率等方面問(wèn)題是當前的主要任務(wù)，及豐富和發(fā)展現有理論，完善入侵檢測系統使其投入實(shí)際應用。