關(guān)聯(lián)分析技術(shù)在入侵檢測中的研究與應(yīng)用.pdf

1、隨著網(wǎng)絡(luò)的發(fā)展，黑客入侵日益猖獗，嚴(yán)重威脅著人們的安全。單純的被動(dòng)的靜態(tài)安全防御策略已經(jīng)無法滿足現(xiàn)實(shí)需要。人們開始采用動(dòng)態(tài)安全防御的思想來進(jìn)行安全防護(hù)，入侵檢側(cè)系統(tǒng)(IDS)是動(dòng)態(tài)安全防御里的重要環(huán)節(jié)。但是，現(xiàn)有的入侵檢測系統(tǒng)存在一個(gè)致命的缺陷：誤報(bào)率、漏報(bào)率居高不下。同時(shí)，現(xiàn)有的IDS無法展現(xiàn)警報(bào)間的邏輯關(guān)系，結(jié)果用戶很難了解警報(bào)背后隱藏的攻擊策略或邏輯步驟。因此，在實(shí)際應(yīng)用中，不僅大量的誤報(bào)混雜在正確的警報(bào)中，同時(shí)警報(bào)本身由于數(shù)目太

2、大，沒有明確的邏輯關(guān)系，很難管理，這些缺陷嚴(yán)重影響了IDS的應(yīng)用。在對(duì)入侵檢測系統(tǒng)進(jìn)行改進(jìn)的研究中，關(guān)聯(lián)分析技術(shù)成為研究的熱點(diǎn)，這些研究大多是在IDS系統(tǒng)中設(shè)計(jì)一個(gè)報(bào)警關(guān)聯(lián)分析引擎，對(duì)IDS檢測輸出的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，然后根據(jù)關(guān)聯(lián)分析的結(jié)果進(jìn)行報(bào)警，這樣可以大大降低入侵檢測的誤報(bào)率、漏報(bào)率。然而，該方法也不是萬全之策，因?yàn)樵撽P(guān)聯(lián)分析引擎始終擺脫不了IDS規(guī)則庫的限制。所以，只有訓(xùn)練出好的規(guī)則庫，才能從根本上解決IDS存在的問題。

3、 本文在深入研究Apriori算法的基礎(chǔ)上，根據(jù)入侵檢測數(shù)據(jù)源的特點(diǎn)對(duì)關(guān)聯(lián)挖掘算法進(jìn)行改進(jìn)，首先根據(jù)攻擊屬性找到最大頻繁項(xiàng)集，由Apriori算法的性質(zhì)得出其所有非空子集都是頻繁的，然后作進(jìn)一步計(jì)算，求出所有的頻繁項(xiàng)集，進(jìn)而推出關(guān)聯(lián)規(guī)則集，存放到入侵檢測規(guī)則庫中，最后把該規(guī)則庫應(yīng)用到基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型中。由于入侵檢測的數(shù)據(jù)源存在數(shù)量龐大、攻擊數(shù)據(jù)比例小、正常數(shù)據(jù)比例大且各種攻擊分布不均、數(shù)據(jù)復(fù)雜等特點(diǎn)，所以在使用改進(jìn)算法時(shí)，研究

4、了怎樣確定最小支持度，因?yàn)樽钚≈С侄鹊倪x取直接關(guān)系到入侵檢測的誤報(bào)率和漏報(bào)率。另外系統(tǒng)介紹了本文設(shè)計(jì)的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型，包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、規(guī)則庫訓(xùn)練、模式匹配等各模塊的設(shè)計(jì)與實(shí)現(xiàn)。 文章最后采用模擬的網(wǎng)絡(luò)數(shù)據(jù)源進(jìn)行訓(xùn)練，首先選擇一種攻擊類型進(jìn)行訓(xùn)練，實(shí)驗(yàn)結(jié)果顯示，在統(tǒng)一數(shù)據(jù)規(guī)模下，改進(jìn)算法的檢測率比經(jīng)典的Apriori算法高，并且所需時(shí)間和空間明顯減少；數(shù)據(jù)規(guī)模改變后的實(shí)驗(yàn)結(jié)果表明，當(dāng)數(shù)據(jù)規(guī)模較大時(shí)，采用改進(jìn)的