[转载]基于数据挖掘技术入侵检测系统研究

最新推荐文章于 2024-09-22 14:19:44 发布
最新推荐文章于 2024-09-22 14:19:44 发布
阅读量137 收藏 1
点赞数
文章标签: 网络 操作系统

 [---  资料是从免费网站上获取的,上载在这里,只为交流学习目的,文章原作者保留所有权力,
如本博客的内容侵犯了你的权益,请与以下地址联系,本人获知后,马上删除。同时本人深表歉意,并致以崇高的谢意!
erwin_609@msn.com  ---]

基于数据挖掘技术入侵检测系统研究

随着网络在现代社会中发挥愈来愈重要的作用,利用计算机网络犯罪也呈现出明显的上升趋势。如何建立安全而又健壮的网络系统,保证重要信息的安全性,已经成为研究的焦点。以往采用的方式多是防火墙的策略,它可以防止利用协议漏洞、源路由、地址仿冒等多种攻击手段,并提供安全的数据通道,但是它对于应用层的后门,内部用户的越权操作等导致的攻击或窃取,破坏信息却无能为力。另外,由于防火墙的位置处在网络中的明处,自身的设计缺陷也难免会暴露给众多的攻击者,所以仅仅凭借防火墙是难以抵御多种多样层出不穷的攻击的。

       因此,为了保证网络系统的安全,就需要有一种能够及时发现并报告系统中未授权或异常现象的技术,即入侵检测技术。

       1 入侵检测系统简介

       入侵检测技术可以分为两类:

     
   (1)滥用检测(Misuse Detection)滥用检测是利用已知的入侵方法和系统的薄弱环节识别非法入侵。该方法的主要缺点为:由于所有已知的入侵模式都被植入系统中,所以,一旦出现任何未知形式的入侵,都无法检测出来。但该方法的检测效率较高。

  (2)异常检测(Anomaly Detection)异常检测是通过检查当前用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或越权操作。该方法的优点是无需了解系统缺陷,适应性较强。但发生误报的可能性较高。

       入侵检测系统中的用户行为主要表现为数据形式。根据数据的来源不同,入侵检测系统可以分为基于主机的和基于网络的两种。前者的数据来自操作系统的审计数据,后者来自网络中流经的数据包。由于用户的行为都表现为数据,因此,解决问题的核心就是如何正确高效地处理收集到的数据,并从中得出结论。

       2 基于数据挖掘技术的入侵检测系统

       在入侵检测系统中使用数据挖掘技术,通过分析历史数据可以提取出用户的行为特征、总结入侵行为的规律,从而建立起比较完备的规则库来进行入侵检测[1]。该过程主要分为以下几步[2]:

       数据收集基于网络的检测系统数据来源于网络,可用的工具有TCPDUMP等。

       数据的预处理在数据挖掘中训练数据的好坏直接影响到提取的用户特征和推导出的规则的准确性。如果在入侵检测系统中,用于建立模型的数据中包含入侵者的行为,那么以后建立起的检测系统将不能对此入侵行为做出任何反应,从而造成漏报。由此可见,用于训练的数据必须不包含任何入侵,并且要格式化成数据挖掘算法可以处理的形式。

       数据挖掘从预处理过的数据中提取用户行为特征或规则等,再对所得的规则进行归并更新,建立起规则库。

       入侵检测依据规则库的规则对当前用户的行为进行检测,根据得到的结果采取不同的应付手段。

       本文构建了一个基于数据挖掘关联分析方法的入侵检测系统,该系统主要用于异常检测。

       该系统的数据来源是基于网络的,通过在网络中安放嗅探器来获取用户的数据包,然后采用协议分析的方法,丢弃有效负荷,仅保留包头部分,按特定的方法预处理后得到的数据包含7个字段:时间、源IP、源端口、目的IP、目的端口、连接的ID、连接状态。

       由于TCP的连接建立包含3次握手过程,所以在所有收集的训练数据中会包括一些未能成功建立的连接,它们将对后面的数据挖掘过程产生负面影响,故应当去掉,仅保留那些反映网络正常情况的数据。对于UDP则不存在此问题,只需将每个UDP包都视为一次连接即可。  采用APRIORI算法[3]对数据进行挖掘。

   APRIORI算法常用在购物篮分析中,它用于发现“90%的客户在购买商品A时也会购买商品B”之类的规则。它通常的输入分为两列:

       规则输出的形式为I1&12aI5(support=2%,confidence=60%)。其中support是支持度,confidence是可信度。

       将前面收集到的网络流量数据格式化成为APRIORI算法的输入形式,用连接ID代替客户ID,其他属性替代购买的商品。在给定了支持度和可信度之后,可以得到一组规则,形式为

       192.168.0.50&202.117.80.8a80(support=6%,confidence=95%)

       规则的含义为源IP为192.168.0.50且目的IP为202.117.80.8则目的端口是80,该规则的支持度为6%,可信度为95%。

 
      一段时间的采样不能够完全代表用户的行为,因此有必要多次采样,并重复上述过程,然后用归并的方法将多次得到的规则集合并起来,直至不再产生新的规则为止。笔者采用此方法从大量的网络流量数据(28.8M)中可以提取出100多条规则(支持度2%,可信度85%),发现其中有很多是明显无意义的,这就需要管理员通过个人经验加以精简,最终得到可以用于检验的规则集。至此,产生的规则集已经可以比较完整地描述用户的行为特征了。将得出的规则集用于入侵检测。例如,规则库中的一条规则为

       192.168.0.50&202.117.80.8a80(support=6%,confidence=95%)

       而在检测的过程中发现网络数据中的一个连接源IP地址是192.168.0.50且目的IP地址为202.117.80.8,访问的端口为1000,则说明违反规则的小概率事件发生,该连接的可疑度随之增加。在实际过程中,来自同一IP地址的异常的连接可能会违反多条规则,当多个可疑度之和超过一个阈值时系统就产生报警。

       采用了两组数据(实验数据来源于http:∥iris. cs.uml.edu:8080/)对此系统进行了实验。一组是已知不含任何攻击的正常数据(约30M,包含35万余条记录),该数据用于训练系统,采用以上介绍的方法,在设定支持度为1%,可信度为85%情况下,得到了17条检验规则。然后将得到的规则用于检测另一组已知包含攻击的数据(约54M,包含63万条记录),实验结果证明此方法可以有效的发现PROBING攻击。

       3 结束语

       随着网络的带宽迅速增长,黑客攻击手段的日趋多样,现有的入侵检测系统在网络遭受入侵时,反应较慢,实时性较差。因此,如何实时的处理网络中海量的数据,并及时的发现攻击将成为入侵检测系统下一步研究的重点。

weixin_33766805
关注
神经网络在异常入侵检测系统中的应用综述
04-03
Abstract— With the increasing number of computers being connected to the Internet, security of an information system has never been more urgent. Because no system can be absolutely secure, the timely and accurate detection of intrusions is necessary. This is the reason of an entire area of research, called Intrusion Detection Systems (IDS). Anomaly systems detect intrusions by searching for an abnormal system activity. But the main problem of anomaly detection IDS is that; it is very difficult to build, because of the difficulty in defining what is normal and what is abnormal. Neural network with its ability of learning has become one of the most promising techniques to solve this problem. This paper presents an overview of neural networks and their use in building anomaly intrusion systems. Keywords- Intrusion Detection Systems; Neural Network; Anomaly Detection I. INTRODUCTION Companies and government agencies dependence on computer networks has never been more critical, and probability of attacks with devastating consequences has never been higher, hence the need for protection is becoming no less critical. Good network security suite should not only be able to detect attacks or recover from attack but should also have fast reactionary capabilities. Hacker, attacking from inside as an authorized user or from outside as an intruder, uses vulnerabilities or flaws on a system. It is therefore important to have a tool that monitors activity of users with intent of detecting malicious activities. This important part of network security is called Intrusion Detection System (IDS).
基于机器学习的攻击检测(二)下-lstm实现
jliang3的博客
03-10 2316
基于机器学习的攻击检测(二)下-lstm实现 ReLuQ 交叉学科就像交叉特征一样有趣 1 人赞同了该文章 上一篇我们讲了一下lstm的简单结构以及正向传播的过程,那么这一期回归我们的目标,使用lstm来检测攻击 我们知道,循环神经网络的一大优势就是他能够保存一些结构化数据的序列信息并对对其作较好的理解,那么对于我们的攻击,是否也可以这样做呢? 看看我们在:基于机器学习的攻击检测(...
基于数据挖掘技术入侵检测系统
01-30
设计一个基于数据挖掘技术入侵检测系统模型。该模型针对现有入侵检测系统在处理大量数据时,挖掘速度慢,自适应能力差的缺点,引入数据挖掘技术使其能从大量数据中发现入侵特征和模式。介绍其核心模块工作流程。...
基于数据挖掘技术入侵检测系统解决方案
11-10
1引言  随着计算机网络不断发展,各种问题也随之产生...针对现有网络入侵检测系统的一些不足,将数据挖掘技术用于网络入侵检测,以Snort入侵检测系统模型为基础,提出一种新的基于数据挖掘网络入侵检测系统模型。
基于数据挖掘入侵检测系统研究.pdf
07-14
数据挖掘技术在入侵检测中的应用主要是通过分析网络流量、系统日志等数据,来提取能够反映攻击行为特征的信息。在入侵检测过程中,数据挖掘能够帮助系统识别出数据中的异常模式,从而有效地检测出入侵行为。 关联...
基于数据挖掘的入侵检测技术研究.pdf
07-14
传统的入侵检测系统(IDS)存在误警率高的问题,而基于数据挖掘的入侵检测技术为解决这一问题提供了新的思路和方法数据挖掘技术是通过算法从大量数据中提取信息和知识的过程。在入侵检测领域,它可以帮助系统自动...
kubernetes网络(一)之calico详解
鲜少为的博客
09-22 872
本文介绍Kubernetes最流行的网络解决方案calico。
linux-网络相关概念
zdd56789的博客
09-17 752
linux-网络相关概念
USB 的工作原理:枚举和配置(第 3 部分)
qq_37255138的博客
09-18 1019
在上一个教程中,我们了解了 USB 设备如何与主机控制器通信。现在,我们将在本教程中了解 USB 描述符的妙处及其在枚举和配置过程中的作用,这使得 USB 设备可热插拔,因此事不宜迟,让我们深入研究它。要理解 USB 描述符,首先我们需要很好地理解什么是 USB 请求!它们本质上只是主机发送到 USB 设备以与其通信的数据包。下面提到的是协议支持的 USB 请求类型。这里要注意的关键点是所有请求的结构都保持不变。
2024年三个月自学手册 网络安全(黑客技术
2401_85027424的博客
09-19 2388
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
netty编程之基于websocket发送二进制数据
wang0907的博客
09-20 450
本文看下基于websocket发送二进制数据。
网络设备登录——《路由与交换技术》实验报告
qq_63926306的博客
09-17 1505
1.通过console端口访问路由器;2.掌握计算机与路由器、交换机的连接方法;3.理解路由器和交换机在启动过程中输出信息的含义;4.掌握网络设备的基本文件管理。(1)实验设备名称和型号版本数量描述MSR36-201略PCWindows 71安装CRT软件Console 串口线——1略第5类UTP以太网连接线——1交叉线(2)实验拓扑图(实验环境)实验前请保证路由器(交换机)的所有配置已经清空。
linux网络编程5
qq_65818377的博客
09-21 809
将套接字修改为被动,让操作系统给该套接字设置一个连接队伍,用来记录所有连接到该套接字的连接。关闭使用socket函数创建的套接字,会导致服务器无法接收新的连接,但不会影响已经连接的;其是关闭一个代表已经连接套接字,则会出现向另外一端接收到一个长度为0的数据包;关闭accept返回的套接字,则会导致其连接关闭,但不会影响服务器的;backlog:连接队列的长度,即设置服务器最大的连接客服的数量。其返回的是一个已连接的套接字,这个套接字代表当前这个连接。connect建立连接后不会产生新的套接字;
7、论等保的必要性
weixin_43263566的博客
09-21 996
目前,金融、电力、广电、医疗、教育等行业已经下发了相关文件。2007年6月发布的《信息安全等级保护管理办法》(公通字[2007]143号)规定了实施该制度的原则、内容、职责分工、基本要求和实施计划,明确了操作办法。梳理不同等级的系统后,应对其进行相应等级的安全防护建设,确保重要信息系统在遭受攻击时能够有效抵御,或在被攻击后快速恢复应用,以避免重大损失或影响。开展等级保护的最重要原因是通过测评工作,发现单位系统内外部的安全风险和脆弱性,整改后提升信息安全防护能力,降低被各种攻击的风险。
CLI示例(V2R8至V2R19C00版本):直连二层组网直接转发【AP+上层网络,增加AP下行口有线接入】
qq_50496467的博客
09-20 840
需要注意,AP1010SN、AP2010DN、AP2030DN、AP2030DN-S、AP2050DN、AP2050DN-E、AP2050DN-S、AP2051DN、AP2051DN-E、AP2051DN-S、AP2051DN-L-S和AP5510-W-GP无法修改有线口的工作模式,即使在有线口模板中配置了对其也不会生效。使用ap-reset命令,可以选择重启所有AP、指定AP组的AP、指定ID的AP、指定MAC地址的AP、指定名称的AP、指定类型的AP等。//重启指定AP组(default)的AP。
BLE 协议之链路层
Teminator_的博客
09-20 7796
在BLE 协议之物理层一文中,我简单介绍了 BLE 的物理层。接下来就是链路层(Link Layer)了,它主要的功能,就是在这些上收发数据,与此同时,不可避免的需要控制 RF 收发相关的参数。通道共享仅仅提供了有限的 40 个,而 BLE 中参与通信的实体的数量,肯定不是这个数量级。Link Layer需要解决的共享问题抽象出逻辑链路:通信是两个实体之间的事情,对这两个实体来说,它们希望看到一条为自己独享的传输通道(就是我们所熟悉的 逻辑链路,这也是Link Layer需要解决的可靠传输。
【计算机网络 - 基础问题】每日 3 题(十七)
Newin2020的博客
09-21 513
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏中,我将会分享 C++ 面试中常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
网络编程】网页的显示过程
最新发布
YQ20210216的博客
09-22 293
首先我们知道网页经过网络总共有应用层,传输层,网络层,数据链路层,物理层。
数据挖掘技术入侵检测系统中的应用研究
"这篇硕士学位论文由吕智勇撰写,王燕教授指导,于2006年在哈尔滨工程大学完成,主题聚焦于基于数据挖掘入侵检测系统研究。论文探讨了如何利用数据挖掘技术来有效地检测网络入侵行为,强调了在网络安全中的重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值