基于概念格的入侵检测系统0921.docVIP

基于概念格的入侵检测 谷雨,张天军2,范菁2,何磊2 （1. 西安交通大学电子与信息工程学院, 西安 710049; 2. 云南民族大学网络中心, 昆明650031） 摘 要 概念格是近年来获得飞速发展的数据分析的有力工具. 在本文中, 作者将概念格应用于入侵检测系统中, 构造了一个基于规则分类判决的入侵检测模型; 提出了决策规则格和决策规则格约简的概念, 获得了入侵检测的分类规则集. 实验表明此方法能较好地缩减规则集中规则的数目, 且有较高的分类正确率. 关键词 入侵检测；概念格；决策规则格；约简 中图法分类号 TP309 Intrusion Detection Basing on Concept?Lattice Gu yu1, Zhang Tianjun2, Fan Jing2, He Lei2 (1. Electron and Information Engineering Institute of Xi’an Jiaotong University, Xi’an 710049; 2. Network and Information Center of Yunnan Nationalities University, Kunming 650031) Abstract Concept Lattice is a kind of powerful data analytic tool, which is developing quickly in recent years. In this thesis, author applies Concept Lattice to Intrusion Detection System, and constructs an intrusion detection model basing on classifying ruling. The concept of decision-making rule lattice and decision-making rule lattice reduction are brought forward; an intrusion detection classifying rule assembly is acquired. Conclusion from experiment, the method could curtail the number of the rules in the rule assembly, and could get more exact classifying ratio. Key words Intrusion Detection; Concept Lattice; Decision-making rule lattice; Reduction 1 引言 随着网络技术和网络规模的不断发展, 其应用领域正在不断拓展, 电子商务、公用网站、金融电子化等新兴事物的出现极大地改变了人们传统的生活和学习方式, 互联网络已经成为当今信息社会不可或缺的一部份. 但是随着社会网络化程度的增加, 安全性隐患日益明显地开始暴露出来. 入侵检测（Intrusion Detection, 简称ID）是对（网络）系统的运行状态进行监视, 发现各种攻击企图、攻击行为或者攻击结果, 以保证系统资源的机密性、完整性与可用性. 入侵检测系统（Intrusion Detection System, 简称IDS）能有效地检测各种形式的入侵行为并及时响应, 是构筑网络系统安全防御体系的一个重要组成部分. 一般地, 入侵检测的方法可分为异常检测方法和滥用检测方法两种. 异常检测（Anomaly Detection）的思想是：入侵行为通常和正常行为存在严重的差异, 通过检查这些差异可以检测出入侵. 异常检测针对某个特定的对象, 学习其行为特征, 产生这个对象的行为概貌, 并通过其后的监视对比学习到的行为概貌来检测出该对象的异常行为, 产生警告并做出相应的反应. 随着计算机网络技术的发展, 新型的攻击方法层出不穷, 由于异常检测系统具有检测未知入侵场景的能力, 可以发现一些未知的入侵行为, 近年来倍受瞩目. 滥用检测（Misuse Detection）主要是通过某种模式或信号预先定义入侵行为, 然后监视系统的运行, 并从中找出符合预先定义规则的入侵行为. 其优点是检测的准确度高, 缺点是只能对一些已知的入侵行为进行标识. 从本质上讲, 入侵检测实际上是一个分类问题, 就是要通过检测把正常数据和异常数据分开. 为此作者构造了一个基于规则分类判决的入侵检测模型, 如图1所示. 模型采用TCPDUMP收集网络数据包, 首先进行过滤和格式转换,