文档介绍:数据挖掘技术在网络入侵检测中的应用与研究
[摘 要] 将数据挖掘技术应用到网络入侵检测系统中,一些网络意外情况就能提前进行预防并处理,使用户的网络更加安全。对数据挖掘技术在入侵检测系统中的误用检测和异常检测用数据挖掘技术找出相应模式并进行比较,从入侵数据中找到正常数据中没有出现的模式,临时的统计特征就能通过这些没有出现的入侵模式建立,然后利用分类器建立误用入侵检测模型。
(一)原始数据预处理
网络原始审计数据或者应用程序数据是抓取得到的二进制文本数据,先将这些数据转换成可视化的主机型数据,再将网络连接的信息转变成主机会话记录,之后再加进数据库中。每条记录在数据预处理输出后都有固定的基本特征,对构建网络模型很重要,往往能够决定训练结果,能够给一般的网络分析提供帮助。
(二)关联规则和序列模式
对原始数据预处理后得到大量的网络连接主机会话记录,按照预先设定的支持度和可信度使用关联规则和序列模式进行挖掘,抽取特征频繁模式。关联规则挖掘一般采用Aprior算法,序列模式挖掘采用GSP算法。但是这两种算法在部分优先属性处理上规则不合理,对检测入侵行为没有较大意义,所以要使用拓展的关联规则进行挖掘,即在候选项集生成中增加主属性的测量,如扩展的关联规则包括属性axis和reference,可以满足用户兴趣度的要求。
(三)挖掘纯入侵模式
利用数据挖掘技术获得频繁模式后,通过合并、编码和比较等方法获取的入侵模式就是纯的。频繁模式合并是指在相同数量的项集的前提下将同种类型的模式并为一起,使每一对的项集都有同样的axis属性和相邻非axis属性,并且支持度和可信度的数值大小是接近的。频繁模式编码是准确完整地建造出关联规则和序列模型,然后计算和操作这些规则模型,并对其进行分析和比较。在使用编码方法时需注意模式结构的要求和属性重要级别的顺序。模式比较是要判断模式是否为“纯入侵模式”,在入侵系统进行检测过程中,正常模式有可能也会出现在攻击模式中,假如我们采取已编码的攻击模式和正常模式相互对比,若获得的绝对值比较值很大的话,就能证明此时的攻击模式是“纯入侵模式”。
(四)構建统计特征
在确定模式为纯入侵频繁模式后就能建构数据的统计特征。每一个记录在网络连接的过程中都会存在一些本质的特征,这些特征称为本质特征(如F0),相同属性值个数等和所占的百分比等这些特征是通过计算可以获得的,计算后就可以构建附加特征,使构建的入侵检测模型更加有效。
(五)建立分类模型
分类检测模型就是利用分类器在统计特征构建之后建立的,分类器的本质就是一个函数,每一个或者多个特征的检测都是由一个分类器的条件函数对应的。建立分类器有几种机器学****方法,如决策树、神经网络、支持向量机等。例如,RIPPER分类器可以利用分类算法生成的规则,很好地处理大量噪声数据,而且还能够对已知攻击的微小变化进行分类,并根据分类规则形式快速建立误用入侵检测模型,以便能够及时地处理要求。
三、网络用户行为的异常入侵检测
在网络对检测系统进行入侵时,数据挖掘技术可以搜集数据,并从中找到有用的数据呈献给用户。当一个用户冒充另外一个用户时,他的一些命令、数据包和连接都很正常,所以区分用户