数据挖掘及时间序列分析在NIDS中的应用.pptVIP

数据挖掘及时间序列分析在NIDS中的应用 —— 开题报告 报告人 高飞 导师 孙济洲 内容提要 现有检测方法及其不足 研究目标 研究意义 研究方案 工作进度 现有检测方法及其不足 检测方法单一，基本上是基于规则的模式匹配阶段(此处的规则含义比较窄，如“特征字符串”.与后面提到的规则不同)。 可扩展性差 自动化能力低 适应变种能力差 没有分析数据行为模式能力 NIDS的体系结构及研究对象定位 研究对象 可以依据以下3个特征进行检测的对象： 网络连接特征 连接的内容特征 连接的统计特征 主要针对除了漏洞攻击外的4类入侵行为: 探测 拒绝服务 远程攻击 本地用户非法获得根用户权限 研究主题 规则自动发现（包括攻击模式发现和正常模式相关发现） 行为模式分析与建模（结合黑客心理） 研究主题的预期目标 不但要能发现参数值具体的规则，而且要能对规则进行合并和泛化处理，形成一些非常数参量的规则 所发现规则尽量是时间独立、与趋势或变化率相关的 研究意义 如何能够在大量的报警信息中，与其他关联的信息进行比照和分析，进行有效的归纳总结，得出攻击者意图，攻击目的和攻击心理，并有效锁定攻击者。 规则自动发现解决了人工建立知识库的困难。 行为分析是IDS技术的最高境界,是NIDS技术目前所面临的巨大瓶颈所在。从学术研究向应用转化。 研究方案——数据挖掘 聚类算法(ISODATA) 关联分析(与信息熵结合) 序列分析 聚类方法 可以自动按数据内在的规律性自组织分类，再对之进行规律的分析,是一种知识的发现过程 ISODATA算法基本描述 优点 关联分析 原理: Apriori 算法的核心 使用 (k – 1)-项频繁集生成 候选k-项频繁集 对数据库扫描计数候选集项计数 基本算法的瓶颈 巨大的候选集数量 多次扫描数据库 序列分析 算法原理基本描述 用途 研究方案——时间序列分析 ARMA (自回归滑动平均)模型 非平稳序列的平稳化处理 工作进度(1) 1.2002.10-2002.12 调研，阅读相关参考文献，准备各方面资料和数据 2.2003.1-2003.4 对网络数据和攻击行为的分析与模拟。 3.2003.5-2003.7 检测规则的自动化生成及通用分析引擎的实现。 工作进度(2) 4.2003.8-2003.11 用户行为模式建模与预测的实现。 5.2003.12-2004.1 毕业论文及答辩。 结束 * * 2003.1.18 人机交互 事件 规则 规则 规则 已知规则 对抗措施 事件序列生成器 移动代理 事件库 规则发现及行为分析引擎 检测引擎 规则库 决策引擎 活动监测代理 互联网 活动监测代理 非平稳序列的平稳化处理示例