關(guān)聯(lián)分析技術(shù)在入侵檢測中的研究與應(yīng)用.pdf

1、隨著網(wǎng)絡(luò)的發(fā)展，黑客入侵日益猖獗，嚴(yán)重威脅著人們的安全。單純的被動的靜態(tài)安全防御策略已經(jīng)無法滿足現(xiàn)實需要。人們開始采用動態(tài)安全防御的思想來進(jìn)行安全防護(hù)，入侵檢側(cè)系統(tǒng)(IDS)是動態(tài)安全防御里的重要環(huán)節(jié)。但是，現(xiàn)有的入侵檢測系統(tǒng)存在一個致命的缺陷：誤報率、漏報率居高不下。同時，現(xiàn)有的IDS無法展現(xiàn)警報間的邏輯關(guān)系，結(jié)果用戶很難了解警報背后隱藏的攻擊策略或邏輯步驟。因此，在實際應(yīng)用中，不僅大量的誤報混雜在正確的警報中，同時警報本身由于數(shù)目太

2、大，沒有明確的邏輯關(guān)系，很難管理，這些缺陷嚴(yán)重影響了IDS的應(yīng)用。在對入侵檢測系統(tǒng)進(jìn)行改進(jìn)的研究中，關(guān)聯(lián)分析技術(shù)成為研究的熱點(diǎn)，這些研究大多是在IDS系統(tǒng)中設(shè)計一個報警關(guān)聯(lián)分析引擎，對IDS檢測輸出的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，然后根據(jù)關(guān)聯(lián)分析的結(jié)果進(jìn)行報警，這樣可以大大降低入侵檢測的誤報率、漏報率。然而，該方法也不是萬全之策，因為該關(guān)聯(lián)分析引擎始終擺脫不了IDS規(guī)則庫的限制。所以，只有訓(xùn)練出好的規(guī)則庫，才能從根本上解決IDS存在的問題。

3、 本文在深入研究Apriori算法的基礎(chǔ)上，根據(jù)入侵檢測數(shù)據(jù)源的特點(diǎn)對關(guān)聯(lián)挖掘算法進(jìn)行改進(jìn)，首先根據(jù)攻擊屬性找到最大頻繁項集，由Apriori算法的性質(zhì)得出其所有非空子集都是頻繁的，然后作進(jìn)一步計算，求出所有的頻繁項集，進(jìn)而推出關(guān)聯(lián)規(guī)則集，存放到入侵檢測規(guī)則庫中，最后把該規(guī)則庫應(yīng)用到基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型中。由于入侵檢測的數(shù)據(jù)源存在數(shù)量龐大、攻擊數(shù)據(jù)比例小、正常數(shù)據(jù)比例大且各種攻擊分布不均、數(shù)據(jù)復(fù)雜等特點(diǎn)，所以在使用改進(jìn)算法時，研究

4、了怎樣確定最小支持度，因為最小支持度的選取直接關(guān)系到入侵檢測的誤報率和漏報率。另外系統(tǒng)介紹了本文設(shè)計的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型，包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、規(guī)則庫訓(xùn)練、模式匹配等各模塊的設(shè)計與實現(xiàn)。 文章最后采用模擬的網(wǎng)絡(luò)數(shù)據(jù)源進(jìn)行訓(xùn)練，首先選擇一種攻擊類型進(jìn)行訓(xùn)練，實驗結(jié)果顯示，在統(tǒng)一數(shù)據(jù)規(guī)模下，改進(jìn)算法的檢測率比經(jīng)典的Apriori算法高，并且所需時間和空間明顯減少；數(shù)據(jù)規(guī)模改變后的實驗結(jié)果表明，當(dāng)數(shù)據(jù)規(guī)模較大時，采用改進(jìn)的