基于分布式数据挖掘得入侵检测系统.ppt

基于分布式数据挖掘的入侵检测系统 -----控制台的设计与实现 学位申请人：张 倩 学 科 专 业 ：计算机科学与技术 指 导 教 师 ：韩宗芬教授 答 辩 时 间 ：2003年6月19日 提纲 Part I 问题的提出 Part II 系统结构概述 Part III 数据挖掘控制台的设计 Part IV 图形用户界面 Part V 测试与结论 Part VI 未来工作 Part I 问题的提出 入侵检测系统的发展遇到了一些难题： 误报 :不仅令人讨厌而且降低了入侵检测系统的效 率，容易被攻击者利用诱使管理员关闭检测系统； 精巧及有组织的攻击：检测难度大，对未知类型的攻击检测也显得力不从心； 数据采集，数据分析：交换技术和信道加密使得数据采集难度上升，巨大的数据量也给数据分析提出了新的要求，这都增加了入侵检测的难度。 入侵检测系统的研究现状 分布式入侵检测：弥补了异构系统及大规模网络检测的不足 智能入侵检测：提高入侵检测系统的自学习与自适应能力，使得能够检测出复杂，未知的攻击模式。 数据挖掘技术的应用：将数据挖掘技术应用在入侵检测系统中，可以从系统日志、网络流量等大量原始数据中发现有助于检测攻击的知识和规律。 Part II 系统结构概述 系统组织结构： 数据挖掘控制台 数据挖掘客户端 局部数据挖掘 全局数据挖掘 局部数据库 数据挖掘技术在本系统中的应用 通过将数据挖掘技术应用在入侵检测系统中，可以从系统日志、网络流量等大量原始数据中发现用于检测未知攻击模式的知识和规律。本系统将误用检测技术和数据挖掘技术相结合，提高了系统的检测能力。 数据挖掘所需的数据源是受保护节点的网络信息，这些信息分布在各个节点上，随着网络的迅猛发展，原始数据量也急速增长。本系统采用分布式的数据挖掘解决了两大弊端：一是数据传输占用大量带宽，二是控制台资源有限，难以保证挖掘的实时性。 系统工作流程 Part III 数据挖掘控制台的设计 数据挖掘控制台的功能介绍： 提供客户端的注册与注销 提供客户端的信息，如主机名称，主机IP地址，主机通讯端口，客户端运行过程（内存的使用情况，运行的步骤），记录所有客户端运行情况的日志（事件的内容和发生的时间）。 控制客户端的数据收集与数据挖掘，负责向所有客户端发送start ,restart ,pause和quit命令 分窗口显示客户端数据挖掘的结果，提供入侵报警。 监听端口，接收来自客户端的数据传送 更新所有客户端的入侵规则库  数据挖掘控制台的工作流程 数据挖掘控制台核心类的设计 ConfigFileMgr ：该类为控制台端的主类，负责控制台的各种操作，其主要功能为显示客户端的信息，提供客户端的注册与注销，显示网络与主机数据挖掘结果，提供入侵报警，控制客户端的数据收集与数据挖掘过程，从而对整个全局数据收集与数据挖掘进行有效控制。 StartMining ：该类主要的作用为实现控制台主控界面上各个按钮的功能。其中包括发送Start命令，Restart命令，Pause命令和Quit命令。与此同时，保持客户端的同步。 数据挖掘控制台核心类的设计 Cards ：该类完成数据挖掘控制台界面的绘制。单独为界面绘制设计类使得主程序流程清晰可读。 printLog ：打印控制台端的日志信息。 Sendnewrule ：负责接收新的入侵规则。 UpdateLib ：更新各个客户端的入侵规则库 Part IV 图形用户界面 控制台启动界面－正确与出错  客户端主机注册界面 入侵规则库更新界面－发现新规则报警  入侵规则库更新界面－更新提示 基于主机的数据挖掘结果显示  基于网络的数据挖掘结果显示 Part V 测试与结论 功能测试：数据挖掘控制台的功能测试主要包括测试客户端注册是否正常，客户端信息的提取是否正确，对各个客户端的命令控制，例如：Start，Restart，Pause，Update和Quit命令是否奏效，全局数据挖掘结果的显示和日志跟踪是否正常，动态添加新的入侵规则是否在所有客户端取得了一致。 性能测试：控制台性能测试重点放在了控