入侵檢測中的數據集生成和使用技術研究.pdf

1、基于數據挖掘的入侵檢測技術是當前網絡安全研究的一個熱點.基于數據挖掘的入侵檢測系統(tǒng)面臨的很重要的問題就是如何生成和使用數據集,即如何生成和使用訓練數據集和測試數據集.在基于數據挖掘的入侵檢測系統(tǒng)中,其特征模式庫是通過對訓練數據集進行數據挖掘建立起來的.訓練數據集質量的高低直接影響特征模式庫的質量,從而影響入侵檢測系統(tǒng)的檢測效果.準確地評測一個入侵檢測系統(tǒng)對使用者和開發(fā)者都是很有意義的,它可以提供使用者一個選擇入侵檢測系統(tǒng)的標準;也可以作

2、為開發(fā)者輔助開發(fā)和調試的工具.一個良好的測試數據集對于系統(tǒng)評測的影響是不言而喻的.但是由于具體環(huán)境和各個開發(fā)系統(tǒng)的巨大差異,目前這兩個方面的研究都還只是初步性的,沒有形成行業(yè)規(guī)范.網絡中的流量數據被分為正常數據和攻擊數據兩個部分.首先假定一個正常網絡中的流量數據是正常數據,對它們進行截獲以作為正常數據;然后按照一定的方法模擬攻擊行為,生成攻擊數據;接著按照一定的比例混合構成混合數據.數據集生成以后再根據具體使用的入侵檢測算法確定數據屬性

3、項,以轉換成格式化的記錄數據.按一定的比例和方法選取數據集中適當的數據項作訓練數據集,并對其進行優(yōu)化,去除噪音和非典型數據.優(yōu)化方法采用的是k-NN的改近算法k-NN for IDS.這樣生成的訓練數據集可以隨時添加新的數據量,易于擴充,并且能較好的接近現實環(huán)境.測試數據集的生成基本和訓練數據集的生成方法相同,但其數據項可以直接從混合數據中選取而得到.由于具體網絡環(huán)境等的限制,很多攻擊可能很難在具體的網絡中實現.分段混合評測根據不同階段