基于snort的混合式入侵檢測系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、針對當(dāng)前主要入侵檢測系統(tǒng)(IDS)因檢測模式單一所帶來的不足，本文結(jié)合誤用檢測和異常檢測兩種檢測模式建立混合式入侵檢測系統(tǒng)，以其綜合利用這兩種檢測方法的優(yōu)點(diǎn)。
　　本文構(gòu)建的混合式入侵檢測系統(tǒng)包含三個子模塊：誤用檢測模塊、異常檢測模塊(ADS)和特征產(chǎn)生模塊。誤用檢測模塊的實(shí)現(xiàn)基于開源的入侵檢測系統(tǒng)snort，異常檢測模塊和特征產(chǎn)生模塊則分別使用頻繁情景規(guī)則(FER)挖掘算法和Apriori的變形算法構(gòu)建。
　　ADS模塊的

2、構(gòu)建分為訓(xùn)練和檢測兩個階段。在ADS訓(xùn)練階段，先使用頻繁情景挖掘算法從正常訓(xùn)練數(shù)據(jù)集中挖掘出描述正常連接的頻繁情景。再從頻繁情景中產(chǎn)生頻繁情景規(guī)則FER，來刻畫正常連接的特征，獲得初步的頻繁情景規(guī)則集。最后從這個頻繁情景規(guī)則集中篩選出高效的FER規(guī)則，形成正常的頻繁情景規(guī)則集。
　　在ADS檢測階段，先從測試數(shù)據(jù)中產(chǎn)生FER，產(chǎn)生FER的具體步驟和ADS訓(xùn)練階段相同。為了對新產(chǎn)生的FER賦異常值，把這個新產(chǎn)生的FER和正常FER規(guī)

3、則庫中的FER比較。利用新FER規(guī)則的異常值，對測試數(shù)據(jù)集里的連接事件賦異常值。根據(jù)事件異常值的大小，檢測出異常攻擊事件。
　　在ADS模塊對測試數(shù)據(jù)集每一個連接都賦有異常值的基礎(chǔ)上，特征產(chǎn)生模塊采用Apriori變形算法，對已賦值的測試數(shù)據(jù)集進(jìn)行挖掘。一個連接的各屬性及屬性對應(yīng)的值構(gòu)成項(xiàng)集。根據(jù)所有連接的異常值，可以獲得某一個項(xiàng)集在測試數(shù)據(jù)集中的權(quán)值：等于擁有相同屬性值的所有連接的異常值之和。設(shè)定項(xiàng)集的閾值，即可獲得頻繁項(xiàng)集。并

4、且考察的連接屬性不同，獲得的頻繁項(xiàng)集也不同。不斷變換待考察的屬性集，可以獲得頻繁項(xiàng)集的集合。在此基礎(chǔ)上，把那些具有較高異常值的頻繁項(xiàng)集確定為特征，形成特征集合。再根據(jù)這些特征的屬性和snort規(guī)則關(guān)鍵字之間的對應(yīng)關(guān)系，把特征集合映射為snort規(guī)則，加入到snort的特征規(guī)則庫中。
　　最后在上述思想基礎(chǔ)上，在Debian GNU/Linux操作系統(tǒng)上實(shí)現(xiàn)了混合式入侵檢測系統(tǒng)。使用MySQL存儲事件，KDD99 IDS數(shù)據(jù)集作為實(shí)