基于数据挖掘技术的入侵检测技术是近年来研究的热点,目前有不少入侵检测系统中都采用了关联分析和聚类分析的数据挖掘方法,然而很多攻击难以从单个网络连接来判别,如果对多个连接进行分析势必会产生大量的统计信息。介绍了一种包含统计信息的数值属性关联规则挖掘方法,给出了采用此方法进行入侵检测的实验结果,并对实验结果进行了分析,提出了进一步的改进方向。

维普资讯 http://doc.xuehai.net

第2 3卷第 1期 1

20 0 6年 1 1月

计算机应用与软件

Co u e plc t n nd S fwa e mp t rAp ia i s a ot r o

Vo. 3, . 1 1 2 No 1 NO . 00 V2 6

数值型关联规则挖掘在网络入侵检测系统中的应用研究

于枫王敏 _翔向 . x - -

(西北工业大学计算机系陕西西安 70 7 ) 0 2 1 (空军工程大学信息对抗系陕西西安 70 6 10 8)

摘要

基于数据挖掘技术的入侵检测技术是近年来研究的热点，目前有不少入侵检测系统中都采用了关联分析和聚类分析的

数据挖掘方法，而很多攻击难以从单个网络连接来判别，然如果对多个连接进行分析势必会产生大量的统计信息。介绍了一种包含

统计信息的数值属性关联规则挖掘方法，出了采用此方法进行入侵检测的实验结果，给并对实验结果进行了分析，出了进一步的提

改进方向。

关键词

数据挖掘入侵检测关联分析

T E E RC oF MI I HE R S A H N NG QUA I AT VE AS oC A I NT T I S I T oN

RULES FoR NTRUSI I oN DETECTI oN SYSTEM

Yu Fe g n

Wa n ng Mi

Ga a g o Xi n

( eat n o o p t, otws r 0 eh i l nvrt, inS a ni 10 2 C i D p r tfC m ue N r ee P cnc i sy X' h ax 0 7, hn me r h tn a U ei a 7 a)。 Deat etfI om t nA tgns A F reE g￣ei n esyX ' ha x 108,hn ) ( p r n n r ai na oi m o f o m, oc n i r g U iri,i nS an i 0 6 C ia n v t a 7

Ab t a t sr c I i i c e s gy n c s ay t rv d ewo k s c r y a a n t h f o fr t n I t so ee t n s se i a me n n t s n r a i l e e s r p o i e n t r e u t g i s e f n o mai . n r in d ci y tm s n e￣i g a d n o i t t i o u t o

p o sn e u i a u e b t g is u a

t o z d i tr a i t so n s efci e p o e t n a an t a k r n a d t n t r wa1 T e r mi g s b rt me s r, oh a an t n u h r e n en l n r in a d a f t r t ci g is c es i d i o of e l. h i y i u e v o h i i p p rd s rb st e me h d o n n u n i t e a s cai n r ls fr i t s n d t ci n T e r s l r m x e me t, s d s r e tt e a e e c e h t o fmii g q a t ai s o it u e o n r i ee t . i t v o u o o h e u t fo e p r n s a e c i d a h s i b e d o e t n 2 s o p e i n rl h t t e s s m a e u e o e e t g n t o k at c s At t e e d o h a e, e a ay i h n fs ci , h w r l o mi a i t a h y t y e c n b s d f r d t ci ew r t k . h n f te p p r w n lss te n a e p r n’ r s l a d d s u s t e i rv me t ft e meh d w r p s d x e me t e u t n ic s h mp o e n t o e p o o e . i S o h Ke wo d y rs D t n n I t s n d tc in As o it n a ay i aa mi ig n r i ee t u o o s ca i n ss o l

而对多个事件的审计必将产生大量的统计信息，例如过去两秒

1引言

随着网络计算机在现代社会中发挥愈来愈重要的作用，网

钟内的目的端口数量，被访问的目的主机数量等，这些统计信息

中是否包含了检验入侵的知识，:本文通过引入数值型关联规则

挖掘方法对此问题进行了探讨。

络安全作为一个无法回避的问题呈现在人们面前。如何建立安

全而又健壮的网络系统，保证重要信息的安全性，已经成为研究

2数值型关联规则挖掘在入侵检测中的应用

2 1实验数据 .

本文实验中采用的数据是 k d9的入侵检测实验数据， d9该实验数据中包含了许多种模拟的攻击，并且给出了每条网络连接记录是否为攻击

,是何种攻击的标志。它总共包含了 4 3个字

段的信息，由于许多字段中包含的是主机方面的信息，笔者仅保留了其中的 6个字段进行研究，形式如下：

P t o Src l Fa『 Cut l r c n l n e ro l o c l e i l on v o t A s r ve g S— u w

的焦点。以往采用的防火墙的策略可以防止许多常见的利用协议漏洞、源路由、地址仿冒等攻击手段，但是它对于应用层的后门，内部用户的越权操作等导致的攻击或窃取修改破坏信息却束手无策因此仅仅凭借防火墙难以抵御来自各方、多种多样、 层出不穷的攻击，入侵检测系统作为防火墙的必要补充，已经成

为网络安全体系中不可或缺的重要组成部分。 数据挖掘是近年来兴起的一个研究领域，数据挖掘的目标就是从大量的、不完全的、噪声的、有随机的数据中，发现隐含在其中的有用信息、知识和规律。将数据挖掘技术应用在入侵检

测系统中，以从系统日志、可网络流量等大量数据中发现有助于

检测攻击的知识和规律。目前，多入侵检测系统中都采用了很

其中 Po cl rt o代表当前网络连接的协议类型，ev e代表 o S ri c当前网络连接的目的端口，l Fa g代表连接的结束状态， o n代 Cut表过去两秒钟内与当前网络连接的目的主机不同的目的主机数量，r—on代表过去两秒钟内与当前网络连接的目的端口不 S cu t v

收稿日期：0 5— 7—1。陕西省自然科学基金 (o 54 )国家自 20 0 5 2 o f3, 然科学基金(目编号 6 53 0 )项 0 7 1 1。于枫，博士生，研领域：主计算机网

络。

挖掘布尔型关联规则的方法来建立用户的行为框架进行网络行

为的异常检测。布尔型关联规则反映了网络流量中单个事件属性之间的关系，它可以发现并报告一些网络中的异常现象，但是

存在误报率和漏报率均较高的缺点，是由于入侵行为产生的这

一

系列事件中，单个事件看来往往都是正常的、合法的。只有通

过对一系列事件的关系进行分析才能判定是否发生了入侵。然