基于数据挖掘和本体的实时入侵检测系统1张玉强2（江苏科技大学电子.PDFVIP

电子发烧友 电子技术论坛 基于数据挖掘和本体的实时入侵检测系统1 张玉强2 （江苏科技大学电子信息学院，江苏 镇江 212003 ） 摘要: 通过分析现有入侵检测技术，提出了一种建立入侵检测系统的新方法。该方法结合误 用检测技术和异常检测技术，利用数据挖掘能高效地从大量的审计数据中挖掘出代表行为特 征的频繁模式和本体可以对对象的本质进行描述的特点，并加入相似度以判断是否发生入 侵，同时决定是否更新规则本体库。经分析该系统可以有效地提高检测的效率。 关键字: 数据挖掘；本体；入侵检测；频繁模式增长 中图分类号：TP393.08 文献标识码: A Data Mining and Ontology Based Intrusion Detection System in Real-time Environment ZHANG Yuqiang (School of Electronics and Information, Jiangsu University of Science and Technology, Zhengjiang Jiangsu 212003) Abstract: Through analyzing the current intrusion detection system, this paper presented a new method of building intrusion detection system. Combining the misuse detection and anomaly detection technology, and making use of the characteristics of data mining can dig out the multifarious mode that representing the behavior feature from a flood of audit data efficiently and ontology that can describe the genius of the object, the method adds similarity in order to estimate whether the intrusion occur or not, at the same time, decide whether the pattern ontology base can be update or not. The analyzing shows that this system can improve the efficiency of detection. Key words: data mining; ontology; intrusion detection; frequent-pattern growth. 引言 随着科学技术的发展，网络的应用越来越广泛，网络环境变得越来越复杂，使得人们对 网络安全问题也越来越关注。入侵检测系统（Intrusion Detection System，IDS ）因可以弥补 防火墙的不足，为网络系统提供实时的入侵检测以及必要的防护手段，如记录证据、跟踪入 侵、恢复或断开网络连接等[1]，受到了人们的重视成为研究的热点。但是目前的入侵检测系 统在可适应性，可扩展性、可靠性、容错性、可用性、可检验性等方面不能尽如人意。数据 挖掘(Data Mining)是从大量的、不完全的、模糊的、有噪声的以及随机的数据中提取隐含在 其中的潜在有用的信息和知识。与单纯的统计方法相比, 数据挖掘的优势在于它能从数据中 发现未知的知识和规律[3] 。本体是描述概念及概念之间关系的概念模型,通过概念之间的关系 来描述概念的语义。 基于此本文提出了一种基于数据挖掘和本体的入侵检测系统。该系统采用数据挖掘技术 从主机和网络的历史数据中发现知识，用本体建立规则模式库，并在其中加入相似度。在实 时检测时系统从实时信息中挖掘出当前的行为模式，产生规则，通过规则匹配器与规则本体 库中的规则进行匹配，由相似度判断出是正常还是异常，并将结