离群点挖掘技术在入侵检测中的研究.pdfVIP

信I息l科I学 科 离群点挖掘技术在入侵检测中的研究 金洪杰 (中共哈 尔滨市呼兰 区委党校 ，黑龙江 哈 尔滨 150500) 摘 要：随着电子商务的迅速发展，越来越多的关键业务 已经移植到网络上，网络安全越来越引起人们的关注。入侵检测作为防御体系中的重 要组成部分，成为当前网络安全理论的研究热点。将数据挖掘与入侵检测相结合，能够增强入侵检测系统对海量数据的处理能力，使得入侵检测系 统具有可扩展性和 自学习能力，增强入侵检测 系统的检测功能。主要针对离群点挖掘技术在入侵检测系统中的应用展开研究，使传统入侵检测系统 具有异常检测能力。 关键词：入侵检测；数据挖掘 ；离群点 前言 库函数来捕获数据链路层的分组并进行协议栈 验时，先禁止使用 Snort的传统检测引擎 ，使用 目前 ，计算机中的网络入侵事件频繁发 分析 ，以便交给检测引擎进行规则匹配。检测引 本文的离群点挖掘算法。从实验可以看出，当新 生，为了提高系统的安全性，在线实时检测入侵 擎是 snort的核心，对入侵行为特征码提取的精 的网络数据记录不断加人，基于离群点挖掘算 行为成为安全检测技术之一。本文将数据挖掘 确性和规则撰写的简洁实用性能够提高系统的 法的引擎优越性较明显，更适合高速网络的动 中离群点的检测算法运用于入侵检测系统中， 精度和速度。为了快速准确的进行检测，Snort 态环境 。 研究其性能。 检测规则采用一个二维链表来存储，一维称为 为了对算法进行正确而全面的评估，根据 1入侵检测技术与离群点挖掘 规则头，另一维称为规则选项。检测 引擎将 基于离群点技术的入侵检测应用的特点，从实 所谓实时在线入侵检测技术是根据实时 Snort规则分解为链表头 (存放源，目标 IP地址 验模型的检测率和误报率两个方面度量基于离 在线检测网络入侵行为或探测未知的疑似入侵 及端 口号)和链表选项(定义一些更详细的信息 群点技术的IDS性能。结果表明：未注册离群点 行为。并可通过智能学习和智能分析入侵手段 ， 如TCP标志、ICMP代码类型、特定的内容类 插件的Snort系统是误用人侵检测系统，是建立 及时调整系统安全策略以提高系统的安全性。 型、负载容量等)进行引用。 在对过去各种已知入侵方法和系统缺陷的知识 近些年来，人们将人侵检测技术与人工智 检测引擎按照Snort规则文件中定义的规 积累的基础之上，不能检测变种或未知人侵，检 能、数据挖掘等技术结合起来 ，出现了一些新的 则依次分析每个数据包。当数据包满足一条规 测率相对低。基于离群点技术的入侵检测系统 研究成果 。提出利用数据挖掘中的离群点检 则时，就会触发在规则定义中指定的相应动作。 较好地解决了基于简单模式匹配技术检测率低 测技术来实现入侵检测。 凡是与规则不匹配的数据包都会被丢弃。 的弱点，而且规则库可以不断有新的入侵规则 Hawkins对离群点的定义为 ：“离群点的 另外Snort系统灵活的插件形式来组织规 添加进去，实现 自动更新。 表现与其它点如此不同，不禁让人怀疑它是由 则库，即按照入侵行为将规则插件分类，用户可 离群点技术改善检测率的同时，入侵检测 不同机制产生的。”离群点检测的任务是从大量 以根据需要选取对应的插件进行检测 ，也可以 系统的误报率明显提高，它是由新型入侵行为 网络侦听审计数据中发现小部分异常数据 ，然 根据 自己的需要很方便地在规则链表中添加所 识别能力带来的副作用。这种技术把大量的离 后根据这些数据所隐含的、与常规数据模式显 需要的规则模块。每一类插件大致包括数十条 群点数据当成人侵行为，不可避免存在一定概 著不同的数据特征来判断网络入侵行为。研究 的检测规则 ，分别代表同一类型的不同入侵行 率的误操作。 人员提出了大量的离群检测算法，大致可以把 为。 4结论 它们归纳为以下几类I|1：基于统计的方法、基于 Snort启动时，根据设置的规则