??????? 通過(guò)分析現(xiàn)有入侵檢測(cè)技術(shù)，提出了一種建立入侵檢測(cè)系統(tǒng)的新方法。該方法結(jié)合誤用檢測(cè)技術(shù)和異常檢測(cè)技術(shù)，利用數(shù)據(jù)挖掘能高效地從大量的審計(jì)數(shù)據(jù)中挖掘出代表行為特征的頻繁模式和本體可以對(duì)對(duì)象的本質(zhì)進(jìn)行描述的特點(diǎn)，并加入相似度以判斷是否發(fā)生入侵，同時(shí)決定是否更新規(guī)則本體庫(kù)。經(jīng)分析該系統(tǒng)可以有效地提高檢測(cè)的效率。
關(guān)鍵字: 數(shù)據(jù)挖掘；本體；入侵檢測(cè)；頻繁模式增長(zhǎng)
??????? ?隨著科學(xué)技術(shù)的發(fā)展，網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，網(wǎng)絡(luò)環(huán)境變得越來(lái)越復(fù)雜，使得人們對(duì)網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越關(guān)注。入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）因可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)系統(tǒng)提供實(shí)時(shí)的入侵檢測(cè)以及必要的防護(hù)手段，如記錄證據(jù)、跟蹤入侵、恢復(fù)或斷開(kāi)網(wǎng)絡(luò)連接等[1]，受到了人們的重視成為研究的熱點(diǎn)。但是目前的入侵檢測(cè)系統(tǒng)在可適應(yīng)性，可擴(kuò)展性、可靠性、容錯(cuò)性、可用性、可檢驗(yàn)性等方面不能盡如人意。數(shù)據(jù)挖掘(Data Mining)是從大量的、不完全的、模糊的、有噪聲的以及隨機(jī)的數(shù)據(jù)中提取隱含在其中的潛在有用的信息和知識(shí)。與單純的統(tǒng)計(jì)方法相比, 數(shù)據(jù)挖掘的優(yōu)勢(shì)在于它能從數(shù)據(jù)中發(fā)現(xiàn)未知的知識(shí)和規(guī)律[3]。本體是描述概念及概念之間關(guān)系的概念模型,通過(guò)概念之間的關(guān)系來(lái)描述概念的語(yǔ)義。
基于此本文提出了一種基于數(shù)據(jù)挖掘和本體的入侵檢測(cè)系統(tǒng)。該系統(tǒng)采用數(shù)據(jù)挖掘技術(shù)
從主機(jī)和網(wǎng)絡(luò)的歷史數(shù)據(jù)中發(fā)現(xiàn)知識(shí)，用本體建立規(guī)則模式庫(kù)，并在其中加入相似度。在實(shí)時(shí)檢測(cè)時(shí)系統(tǒng)從實(shí)時(shí)信息中挖掘出當(dāng)前的行為模式，產(chǎn)生規(guī)則，通過(guò)規(guī)則匹配器與規(guī)則本體庫(kù)中的規(guī)則進(jìn)行匹配，由相似度判斷出是正常還是異常，并將結(jié)果體供給結(jié)果顯示接口，如果發(fā)現(xiàn)新的正常規(guī)則或異常規(guī)則就通過(guò)更新器和本體生成器存將其到規(guī)則本體庫(kù)中。