當(dāng)前位置：首頁 > 模擬 > 模擬

基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的改進與實現(xiàn)

時間：2009-09-21 09:50:47

關(guān)鍵字：數(shù)據(jù)挖掘 BSP UDP TTL

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀]針對已有Apriori算法存在的問題，設(shè)計新的基于引用作用度的Apriori_lift算法，從而提高關(guān)聯(lián)規(guī)則的挖掘性能。通過實驗仿真，結(jié)果表明Apriori_lift算法在挖掘結(jié)果方面明顯優(yōu)于Aprio ri算法。應(yīng)用Apriori_lift算法對現(xiàn)有的基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)進行改進。改進后的系統(tǒng)在挖掘網(wǎng)絡(luò)數(shù)據(jù)包方面可以有效地發(fā)現(xiàn)數(shù)據(jù)包中各屬性之間的相關(guān)性，利用這一特點并結(jié)合協(xié)議分析、入侵分析等技術(shù)，可以通過挖掘結(jié)果中的規(guī)則去準確而高效地鎖定攻擊者，從提高了系統(tǒng)檢測性能。

0 引言
從Apriori算法執(zhí)行過程可以了解到Apriori算法的缺點：一方面，在每一次產(chǎn)生候選項集時循環(huán)產(chǎn)生的組合過多，沒有具體考慮不符合閾值的組合；另一方面，對每個項集計算支持度時要對整個數(shù)據(jù)庫掃描一遍，對于分析網(wǎng)絡(luò)數(shù)據(jù)包這樣大型的數(shù)據(jù)庫會增加I／O開銷。這種開銷是隨著數(shù)據(jù)庫的記錄的增加呈幾何級數(shù)的增長?，F(xiàn)階段人們開始探索一種能減少系統(tǒng)I／O開銷的更為快捷的算法，相繼提出了許多改進的算法。主要有Park等人提出的基于哈希技術(shù)的DHP算法，Savasere等人提出的基于劃分技術(shù)的Partition算法，Toivonen提出的抽樣算法，Sampling、Zaki等人提出的基于等價類和圖論的MaxCique系列算法，S．Agarwal等人提出的采用有序樹數(shù)據(jù)結(jié)構(gòu)的TreeP-rojection算法以及Orlando等人提出的Apriori增強版的DCP算法等。而對于挖掘數(shù)據(jù)包是網(wǎng)絡(luò)數(shù)據(jù)包時，數(shù)據(jù)源的特征屬性較多而且數(shù)據(jù)包的記錄數(shù)較大，這就需要必須選擇合理的算法才能發(fā)現(xiàn)能描述用戶特征的規(guī)則。

1 引用作用度的Apriori_lift算法
1．1 作用度
作用度是采用相關(guān)分析描述規(guī)則內(nèi)在價值的度量，它描述的是項集X對Y的影響力的大小。作用度越高表示X的出現(xiàn)對Y出現(xiàn)的可能性影響越大，作用度度量的是X與Y之間蘊涵的實際強度。
作用度表示為：

1．2 Aprior=>lift算法的描述
    第一步：大項集的生成；
    第二步：采用作用度找出強關(guān)聯(lián)規(guī)則。
    使用第一步找到的所有頻繁項集產(chǎn)生期望的規(guī)則。為了獲取強有效關(guān)聯(lián)規(guī)則，在使用信任度的基礎(chǔ)上增加作用度計算來度量規(guī)則的有效性。具體描述過程如下：
    (1)對于每個頻繁K(K≥2)項集L，產(chǎn)生L的所有非空子集S；
    (2)對于項集L的每個非空子集S，規(guī)則：
    如果lift[S=>(L-S)]>1，則規(guī)則“S=>(L-S)”是強有效關(guān)聯(lián)規(guī)則，輸出。

2 算法性能比較
在局域網(wǎng)環(huán)境中(如圖1所示)捕獲網(wǎng)絡(luò)數(shù)據(jù)包2 000個，分別采用Apriori，Apriori_lift算法挖掘，其挖掘過程及結(jié)果如下：

表3是實驗采用的兩個數(shù)據(jù)集Tcppro，Udppro。

表4是二種算法在不同支持度(Supp)信任度(Conf)下的挖掘結(jié)果統(tǒng)計。

由表4可知，在相同的作用度與支持度的情況下，Apriori，Apriori_lift算法挖掘得到的規(guī)則逐漸遞減；在不同的作用度與支持度情況下，參數(shù)值越低挖掘出的規(guī)則越多，這主要體現(xiàn)在Apriori算法的挖掘上，而對于Apriori_lift算法當(dāng)參數(shù)值達到一定閾值時，改變參數(shù)值對其挖掘結(jié)果影響不大，改善了挖掘規(guī)則遺漏的情況。
由表4可以看出，Apriori算法和Apriori_lift算法的運行時間隨挖掘規(guī)則變化的比較情況。Apriori算法隨著挖掘結(jié)果中規(guī)則數(shù)的增長，時間上有數(shù)量級的提高，而Apriori_lift隨著時間的增長，其挖掘出的規(guī)則數(shù)量增幅不大。而Apriori_lift存在額外的作用度比較的開銷，在高支持度時，由于要處理的頻繁項目及模式數(shù)目都較少，此時從挖掘結(jié)果上看Apriori_lift表現(xiàn)了比Apriori更好的性能。

3 挖掘結(jié)果分析
    以Apriori_lift算法挖掘數(shù)據(jù)集udppro為例，挖掘過程如下：
    過程一：挖掘數(shù)據(jù)源的生成。
    Udppro數(shù)據(jù)集經(jīng)過數(shù)據(jù)預(yù)處理后生成了挖掘數(shù)據(jù)源Udpsource．txt，共計7 585條描述網(wǎng)絡(luò)連接的記錄，其記錄格式如下：

    pro：UDP sip：192．168．0．1
    sport：67 dip：255．255．255．255 dport：68 lenth：315ttl：128
    過程二：算法挖掘
    (1)find association rules with the apriori algorithm    (2)reading f：＼mining＼udpsource．txt…[163 item(s)，7585 transaction(s)]done[0．13s]．
    (3)sorting and recoding items…[21 item(s)]done[0．01s]．
    (4)creating transaction tree…done[0．04s]．
    (5)checking subsets of size 1 2 3 4 5 done[0．00s]．
    (6)writing f：＼mining＼apriori．txt…[540 rule(s)]done[0．37s]．
    過程三：挖掘結(jié)果分析
    挖掘出540條規(guī)則，經(jīng)過規(guī)則合并以及多屬性并存的原則過濾之后篩選出17條規(guī)則如下：
    Apriori_lift挖掘結(jié)果

    (1)lenth：58 sport：137 dip：202．198．178．255 ttl：128 dport：137 pro：UDP
    (2)sip：192．168．0．22 dport：161 ttl：128pro：UDP dip：202．198．181．65
    (3)dport：138 sport：138 dip：202．198．178．255 ttl：128 pro：UDP
    (4)dip：202．198．181．65 ttl：127 sip：202．198．178．131 dport：161 pro：UDP
    (5)sport：4126 sip：192．168．0．22 dip：202．198．181．65dport：161 ttl：128
    (6)sport：2039 ttl：127 sip：202．198．178．131 dip：202．198．181．65 dport：161 ttl：127
    (7)lenth：58 sport：137 dip：202．198．178．255 dport：137
    (8)sip：192．168．0．22 dip：202．198．181．65 dport：161ttl：128
    (9)sport：138 dip：202．198．178．255 dport：138 ttl：128 pro：UDP
    (10)sip：202．198．178．131 sport：4126 dip：202．198．181．65ttl：127 dport：161 pro：UDP
    (11)sip：202．198．178．131 sport：2039 dip：202．198．181．65dport：161 ttl：127 pro:UDP
    (12)sport：137 dip：202．198．178．255 dport：137 lenth：58ttl：128
    (13)sip：192．168．0．22 dip：202．198．181．65 dport：161 ttl：128 pro：UDP
    (14)sport：138 dip：202．198．178．255 dport：138 lenth：58ttl：128
    (15)sip：202．198．178．131 dip：202．198．181．65 dport；161ttl：127 pro：UDP
    (16)sport：4126 sip：192．168．0．22 dip：202．198．181．65dport：161 ttl：128 pro：UDP
    (17)sip：202．198．1 78．65 sport：2039 dip：202．198．178．131dport：161 ttl：127 pro：UDP
    對于以上挖掘結(jié)果歸類如下：
    規(guī)則歸類：
    類一：規(guī)則1，3，7，9，12，14。
    類別特征：dip：202．198．178．255 sport：137／138dport：137／138(sport=dport)
    pro：udp ttl：127／128 lenth：58
    類二：規(guī)則4，6，10，11，15，17。
    類別特征：sip／dip：202．198．178．131 sport：2300／4126 dip／sip：202．198．181．65
    dport：161 ttl：128／127 pro：udp
    類三：規(guī)則2，5，8，13，16。
    類別特征：sip／dip：192．168．0．22 sport：4126 dip／sip：202．198．181．65 dport：161
    ttl：128／127 pro：udp
    根據(jù)圖1網(wǎng)絡(luò)實驗環(huán)境可知202．198．178．131是IP192．168．0．22的網(wǎng)關(guān)，故規(guī)則類二與類三可以合并為一類規(guī)則。
    過程四：挖掘結(jié)果說明
    規(guī)則類一說明：137，138是UDP端口，當(dāng)通過網(wǎng)上鄰居傳輸文件時用這兩個端口，137端口是NetBIOS名稱UDP。138端口是NetBIOS數(shù)據(jù)報UDP
    規(guī)則類二說明：子網(wǎng)主機192．168．0．22通過網(wǎng)關(guān)202．198．178．131與外部網(wǎng)主機202．198．181．65進行SNMP通信。

4 結(jié) 語
對基于支持度一信任度挖掘的關(guān)聯(lián)規(guī)則有效性進行了分析，指出在挖掘過程中僅考慮支持度和信任度的不足．產(chǎn)生的關(guān)聯(lián)規(guī)則不一定是有效有趣的，甚至可能是欺騙性的，具有誤導(dǎo)作用。因此引入相關(guān)性分析來衡量規(guī)則，大大增強了規(guī)則的有效性。

本站聲明：本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布，目的在于傳遞更多信息，并不代表本站贊同其觀點，本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者，如若文章內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系本站刪除。

換一批

平安養(yǎng)老險四川踐行"有溫度的金融" 助力構(gòu)建多層次養(yǎng)老保障體系

成都2022年10月19日 /美通社/ -- 近期，平安養(yǎng)老險積極籌備個人養(yǎng)老金的產(chǎn)品設(shè)計和系統(tǒng)開發(fā)工作，發(fā)展多樣化的養(yǎng)老金融產(chǎn)品，推動商業(yè)養(yǎng)老保險、個人養(yǎng)老金、專屬商業(yè)養(yǎng)老保險等產(chǎn)品供給。搭養(yǎng)老政策東風(fēng) ...

關(guān)鍵字：溫度 BSP 東風(fēng) 大眾

[產(chǎn)業(yè)新聞]