基于数据挖掘的分布式网络入侵检测系统设计及实现

作者:傅德胜;周舒;郭萍 刊名:计算机科学 上传者:何长刚

【摘要】提出基于数据挖掘的入侵检测系统模型、改进的FP-Growth的关联分析算法和基于分箱统计的FCM网络入侵检测技术。系统实验结果表明,所开发的网络入侵检测系统可以稳定地工作在以太网络环境下,能够及时发现入侵行为,有效地解决了数据挖掘速度问题,增强了入侵检测系统的检测能力,具备了良好的网络入侵检测性能。

全文阅读

1引言目前推出的商用分布式入侵检测系统一般采用基于已知入侵行为规则的匹配技术,检测引擎分布在需要监控的网络中或主机上,独立进行入侵检测,入侵检测系统中心管理控制平台仅负责平台配置、检测引擎管理和各检测引擎的检测结果显示,对各检测引擎的检测数据缺乏协同分析。同时网络入侵检测系统与防火墙、防病毒软件等之间也是单兵作战,对复杂的攻击行为难以做出正确的判断。因此,研究开发基于数据挖掘的分布式网络入侵协同检测系统具有重要的理论意义和应用价值。国内外在将数据挖掘用于入侵检测方面已取得了良好的进展,提出了一些基于数据挖掘的入侵检测模型。但是这些模型一般都是基于某种方法的研究与应用。实际上,不同的数据挖掘技术适用于不同的入侵检测,如运用关联分析方法可提取出黑客入侵行为之间的关联特征;运用序列模式分析方法能找出黑客入侵行为的序列关系;数据分类多用于辅助入侵检测中的其它数据挖掘方法,进行预处理或后续处理等。此外,各数据挖掘方法有其自身的局限性。联合使用几种数据挖掘方法要比单独使用一种挖掘方法效果好,例如,将聚类分析用于关联分析的预处理以及规则产生之后的分类,将显著提高关联分析的效果;将粗糙集理论以及基于仿生物技术的遗传算法、免疫算法同其它数据挖掘技术融合起来,将会改善入侵检测的普适性、实时性、准确性。本文提出基于数据挖掘的分布式网络入侵检测系统结构模型,对算法进行讨论,分析了相关实验结果。2系统结构基于数据挖掘的分布式入侵检测系统模型如图1所示。本地层包括数据采集解析器和数据挖掘检测器,网络层包括报警优化器,系统层包括日志记录器和中心控制平台。数据采集解析器和数据挖掘检测器分布于各个局域网的关键节点上,负责监视所在网段的网络数据,对入侵行为做出响应并发送报警信息至报警优化器。报警优化器位于广域网上,负责收集各局域网内检测引擎发出的警告信息,并将其存储至日志记录器。中心控制平台位于系统层,给管理员提供可视的友好的控制界面。图1系统总体结构模型图3改进的FP-Growth算法本文系统数据审计采用FP-Growth(frequent-patterngrowth)改进算法。FP-Growth算法由JiaweiHan,JianPei和YiwenYin提出,是一种不产生候选项集而采用模式增长的方式挖掘频繁模式的算法:将提供频繁项集的数据库压缩到一颗频繁模式树,但仍保留项集关联信息,然后将这种压缩后的数据库分成一组条件数据库,每个关联一个频繁项,并分别挖掘每个数据库。FP-Growth算法在挖掘频繁模式时,它需要递归地生成条件FP-tree,每产生一个频繁模式就要生成一个条件FP-tree。在最小支持度较小时,即使对于很小的数据库,也将产生数以十万计的频繁模式,动态地生成和释放数以十万计的条件FP-tree,将耗费大量系统时间和空间。此外,FP-tree和条件FP-tree需要自顶向下生成,而频繁模式的挖掘需要自底向上处理。由于FP-Growth算法时空效率仍然不够高,因此本文对FP-Growth算法进行改进,引入聚合链的单链表结构。改进后的FP树是单向的,每个结点只保留指向父结点的指针,节省了树空间;相同项的不同节点的路径信息压缩进聚合链中,避免了生成节点链和条件模式库,明显提高了挖掘效率。实验表明,在相同最小支持度的情况下,改进算法的执行效率较FP-Growth算法明显提高。这是由于随着最小支持度的减小,产生的节点链和条件模式库的个数飞速增长,FP-Growth算法花费在这方面的时间就会很多。FP-Growth改进算法具有较高的效率,非常适用于实时网络入侵检测系统。4基于分箱

参考文献

引证文献

问答

我要提问