基于序列模式挖掘的入侵检测技术研究.docVIP

基于序列模式挖掘的入侵检测技术研究 　　摘要:随着计算机的发展,网络安全在现代社会中扮演着越来越关键的角色,并成为比较严重的问题。该文详细分析了基于序列模式的数据挖掘技术,并且在挖掘过程中提出了一种新的序列模式算法。 　　关键词:入侵检测;数据挖掘;序列模式挖掘 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10254-03 　　Research of Intrusion Detection System Based on Sequential Pattern Mining 　　PAN Jian-sheng1,2, HU Kong-fa1 　　(1.College of Information Engineering, Yangzhou University, Yangzhou 225009, China; 2.School of Computer Science Technology, Nantong University, Nantong 226007, China) 　　Abstract: With the increasing growth of computer, the networks security play increasingly vital roles in modern society. The network security has become a serious problem. This paper analyzes intrusion detection system based on sequential pattern mining. In the mining process,we present a new algorithm of the sequential pattern mining based on bitmap representation. 　　Key words: intrusion detection; data mining; sequential pattern mining 　　信息社会的到来,给全世界带来了技术和经济飞速发展的契机。但是,随着网络技术在世界包括中国在内的各个领域应用的深入开展,人们在进行资源共享的同时,也感受到信息安全问题的日益凸显。由于计算机系统中硬件设备、操作系统、应用软件不可避免地会存在一些安全方面的漏洞,而且Internet自身协议和结构的初始设计也存在一些缺陷,所有这些都使“黑客”侵犯和操纵一些重要信息和数据成为可能。 　　1 网络入侵检测技术 　　入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,进行入侵检测的软件与硬件的组合就是入侵检测系统。入侵检测系统执行的主要任务包括:监视、分析用户及系统活动,审计系统构造和弱点识别,反映已知进攻的活动模式,向相关人士报警,统计分析异常行为模式,评估重要系统和数据文件的完整性,审计、跟踪管理操作系统,识别用户违反安全策略的行为。 　　入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应(被动响应和主动响应)。入侵检测系统可以从不同角度分类,包括检测方法、检测对象、反应机制、体系结构、分析时间等。一般来说,主要从检测对象、检测方法来分类。根据检测对象的不同可以分成基于主机的入侵检测系统和基于网络的入侵检测系统;根据检测方法的不同可以分成误用检测系统和异常检测系统。 　　2 数据挖掘技术 　　数据挖掘过程一般需要经历确定挖掘对象、数据准备、模型建立、数据挖掘、结果分析和知识应用这样几个阶段。目前数据挖掘技术在网络安全领域的主要应用有:对安全检测对象的海量的审计数据的分析、对安全检测对象的行为数据分析、对安全系统报警事件的数据分析等。目前数据挖掘分析方法中常用的有:关联分析、序列分析、分类分析、聚类分析。 　　3 基于数据挖掘的入侵检测系统 　　入侵检测系统的任务就是在提取到的庞大的检测数据中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测规则进行比较,从而发现入侵行为。 　　本文设计的入侵检测系统其系统模块如图1所示。 　　4 序列模式挖掘的研究 　　序列模式挖掘可以分为五个具体阶段,分别是排序阶段、大项集阶段、换阶段、序列阶段以及选最大阶段。目前主要的序列模式挖掘算法包括:AprioriAll、SPADE、PrefixSpan、SPAM等算法。本文提出一种改进的基于位图的序列模式挖掘算法(sequential patterns mining based on bitmap representation, SMBR),与SP