数据挖掘技术在基于系统调用的入侵检测中的应用.pdfVIP

第29 卷 第 1期 鞍 山科 技 大学 学 报 Vol.29 No.1 2006 年2 月 Journal of Anshan University of Science and Technology Feb., 2006 高　超, 王丽君 (, 　11 0 ) 数据挖掘是人工智能、机器学习与数据库技 等多学科相结合的产物。 作为当前重要的前沿课题 　: 之一, 研究人员提出了许多数据挖掘理论和方法, 并取得了许多重要的研究成果。 系统调用序列已经成为基 于主机的入侵检测系统重要的数据源之一, 通过对系统调用的分析来判断入侵事件, 具有准确性高、误警率低 和稳定性好等优点。 本文运用统计、比较方法对当前国际上利用数据挖掘技 分析系统调用序列的相关著作 和论文进行了详细讨论和分析, 最后设计 一个基于数据挖掘技 入侵检测的通用模型。 系统调用;入侵检测;数据挖掘 : :TP393.08　:A 　:1672- 10(2006)01-00 5-05 　　[1-3] , 。 , 。 , (/), (/)(/ )。 　　1996 , Forrest IDS , [ -10] 。, , [11, 12] [ 13] [ 1 ] 。, 、 、 , [ 6, 15, 16] 。 1　基于数据挖掘的检测方法 1.1　 　　, , [17] [18, 19] , (KNN, RIPPER) 、(C .5) 。, 。 , [20-2 ] 。 　　Wenke Lee[20, 25, 26] Forrest , , , ;、、、 , 。:K (K =7, 11, 15, …)P 1 P 2 …PK 。, K =7 , :2005-06-11。 :(1980-), , 。 · 6 · 第29 卷 　　　　　　　　　　　　　　　　鞍 山科 技 大学 学 报　　　　　　　　　　　 　　 P 1 P 2 P 3 P P 5 P 6 P 7 2 66 66 138 66        5 5 5 59 105 10 　　 RIPPER , K , : 　　Normal:P 2 =10 , P 7 =112 (2 Vtimes, 7 Vtrace, ); Normal:P 2 =10 ,P 7 =10 (2 V times, 7 Vtimes, );……; Abnormal:true()。 　　Lee 2 , K -1K , : 　　38:P 3 = 0, P = (3 1stat, w rite, 7 start);102:P 1 =106, P =101 (1 sigblock, bind, 7 setsockopt);……;5:true (, 7 Open)。 　　, 2L +1 (e.g.7, 9, 11) L , 。 　　K -, [22] 。 :, , 。K -, , 。K , , , 。KNN X , :(1)X , X , ; (2);(2)Pj , sim (X , Pj