基于序列模式的入侵檢測(cè)研究.pdf

1、入侵檢測(cè)技術(shù)是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護(hù)措施之后的新一代安全保障技術(shù)。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量急劇增加，傳統(tǒng)的基于人工建模的入侵檢測(cè)技術(shù)已無法適應(yīng)新的網(wǎng)絡(luò)環(huán)境。為從海量數(shù)據(jù)中提取出有用信息，人們提出了基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)。由于入侵手段的不斷提高，許多入侵行為往往沒有明顯的字符串匹配特征，其中任何單獨(dú)的一條報(bào)文或命令看似正常，但一系列按時(shí)間順序排列的報(bào)文或命令就構(gòu)成一次攻擊。為了找出這種攻擊的規(guī)律，本文將序列模式挖掘技術(shù)引

2、入入侵檢測(cè)系統(tǒng)。序列模式挖掘算法以某種序列攻擊的多個(gè)樣本作為訓(xùn)練數(shù)據(jù)，挖掘出在一個(gè)樣本中只出現(xiàn)一次，而在多個(gè)樣本中頻繁出現(xiàn)的攻擊行為特征序列，并依次建立檢測(cè)模型。序列模式挖掘算法克服了關(guān)聯(lián)規(guī)則算法中不能反映事件在時(shí)間順序上的前后相關(guān)性的缺點(diǎn)，可以檢測(cè)出應(yīng)用層R2L(remote to local)和U2R(User to root)攻擊，這是目前入侵檢測(cè)中的一個(gè)難點(diǎn)，從而有效地提高了攻擊的檢測(cè)率。 論文首先介紹了入侵檢測(cè)和數(shù)據(jù)挖

3、掘起源、發(fā)展及研究現(xiàn)狀。然后闡述了傳統(tǒng)的序列模式基本概念，并分析了這些算法的優(yōu)缺點(diǎn)。 接著討論Jay Ayres， Johanrles Gehrke等于2002年在SIGKDD國(guó)際會(huì)議上提出的新型的序列模式算法SPAM。該算法采用位圖表示數(shù)據(jù)便于有效地計(jì)數(shù)，快速計(jì)算支持度。 為進(jìn)一步提高SPAM算法在計(jì)算支持度過程的時(shí)間、空間效率，對(duì)SPAM進(jìn)行改進(jìn)。當(dāng)?shù)谝淮螔呙钄?shù)據(jù)庫時(shí)，構(gòu)建1-length的Sequence-exte

4、nted序列的項(xiàng)的最后位置列表，對(duì)每個(gè)顧客序列可將項(xiàng)的最后位置與前綴邊界位置比較，直接判斷該項(xiàng)能否追加到前綴序列后。如果候選項(xiàng)的最后位置大于前綴邊界位置，則該候選項(xiàng)的支持度加1。采用位圖表示策略避免這樣的比較過程。當(dāng)?shù)谝淮螔呙钄?shù)據(jù)庫記錄序列最后位置信息時(shí)，構(gòu)建每一位顧客序列的項(xiàng)在當(dāng)前位置后是否存在表，檢查該表可確定一個(gè)候選序列是否在當(dāng)前位置后，積累候選序列的支持度時(shí)只需檢查相應(yīng)項(xiàng)在項(xiàng)是否存在表中的位向量，從而避免比較和邏輯與運(yùn)算。這些修

5、改僅僅用在sequence-extented過程。在本論文中，改進(jìn)的SPAM算法稱為MY-SPAM。 進(jìn)一步，構(gòu)建并詳細(xì)敘述基于序列模式算法MY-SPAM的入侵檢測(cè)模型。 最后，文章對(duì)提出的基于序列模式算法MY-SPAM的入侵檢測(cè)模型進(jìn)行了實(shí)驗(yàn)，MY-SPAM運(yùn)行在KDD CUP 99數(shù)據(jù)集的環(huán)境中，且輸入不同的最小支持度。并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行了分析。實(shí)驗(yàn)結(jié)果表明MY-SPAM在序列模式算法的效率，以及應(yīng)用在入侵檢測(cè)模型的可