基于Apriori算法一种改进异常入侵检测模型探究.docVIP

基于Apriori算法一种改进异常入侵检测模型探究摘要： 近年来网络入侵检测系统成为计算机系统安全架构的关键性问题。异常攻击检测效果差是现有系统目前遇到的首要问题。因此，基于数据挖掘技术提出一种模型来预测新颖的攻击并实时生成防火墙规则。运用了Apriori算法来创建一个自动防火墙规则发生器用以监测新的异常攻击。结果表明改进后的算法高效的提高异常入侵检测系统的性能。 Abstract: In recent years, network intrusion detection system has become the key issues of computer system security architecture. Abnormal attack detection effect difference between the existing system is currently experiencing the most important issue. Therefore, proposed a model based on data mining to predict novel attacks and real-time generation of firewall rules. Use Apriori algorithm to create an automatic firewall rule generator for the monitoring of new abnormal attack. The results show that the improved algorithm is efficient to improve abnormal intrusion detection system performance. 关键词： 入侵检测系统；异常检测；关联规则；Apriori算法；数据挖掘 Key words: intrusion detection systems；anomaly detection；association rules；Apriori algorithm；data mining 中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2012）21-0018-02 0 引言 “入侵”是指企图破坏资源整体性、保密性或可用性行为。入侵检测分为误用入侵检测和异常入侵检测两种[1]。误用检测是基于已知攻击行为而进行的。通过该方法可从已知入侵里提取有关特征并预设规则。但是，该方法无法检测到新的或未知攻击。异常检测是基于主体的正常行为而进行的检测，导致明显偏离正常行为的任何活动均被视为是入侵。有时，训练校审数据不包括入侵数据。但异常检测存在一个问题即会发出许多误报[2]。 1 入侵检测系统 入侵检测系统（IDS）是一种可以实时识别网络攻击和威胁并采取合理措施应对这些攻击和威胁的系统。IDS被用来检测破坏系统安全的恶意行为。每个IDS有三个必不可少的关键因素：①被保护的资源；②资源方面的合法行为的界定；③有效针对这些模型的实时行为并报告可能的入侵活动。[3-4] 2 数据挖掘技术 数据挖掘是从不同角度进行数据分析，然后总结成有效信息的过程。Apriori算法是[5]利用宽度优先搜索和哈希树结构对每个候选项集的出现频率进行计数。出现频率较最小支持阀值要高的候选项集才有资格选为频繁项集。本文通过Apriori算法来改进异常检测系统。 3 入侵检测模型应用 任何入侵会导致由历史数据记录的大型数据库的校验数据丢失。因而，关联规则是解决该应用最佳选择[6]。Snort是网络入侵检测软件[7]，可以进行检测各种攻击。本文结合Snort应用，通过用记录大量的用户活动（先验训练数据集的URLs、访问网站、端口）创建一种模型，依据当前活动计算出警报发出的概率，若概率超出预定义阀值，系统会生成一条规则添加到防火墙，以便阻止这个概率。图1给出了该方案说明。 为了检测所提出的模型，使用Snort来收集2周内10人信息和活动，包括IP地址，传输层协议如传输控制协议（TCP）和用户数据报协议（UDP）。当输入数据包的目的地端口号和IP目的地地址均与绑定端口相配时，绑定端口便会接收传入数据包；当源端口号被设成绑定端口时，绑定端口便会发送传出数据包。TPC/IP软件将接收来自驱动软件的数据包并拷贝到程序地址空间。端口号包括在传输协议数据包标题里，可以通过发送、接收基础设施的其它组件随时读取。防火墙通常被设计成根据源端口号或目的地端口号进行不同数据包的区分。默认情况下，HTTP端口80，HTTPS端口443，但URL像http://www.省略:8000/test