一种新的基于数据挖掘技术的异常入侵检测系统研
3 模型
ANEIDSDM模型的框架如图1所示。本框架由以下几部分组成:(1)数据信息。数据信息既有基于网络流量的,也有基于主机的,亦有混合型数据信息。(2)数据采集。数据采集包括数据获取,数据去噪和数据预处理3个部分。数据信息的采集是数据挖掘的基础阶段,采集数据质量的好坏直接影响到数据挖掘质量的优劣。(3)数据分析。数据采集后需要对其进行模式分析,根据模式分析的方式选取合适的规则库算法,形成规则库挖掘。对数据挖掘产生的规则库进行二次挖掘,产生分类规则库。(4)数据评估。对数据挖掘的结果需要进行数据评估,为了提高数据匹配算法的实时性和高效性,引入了在线滑动窗口和相似度匹配思想,对于数据挖掘产生的规则库根据相似度匹配算法快速分类,然后通过滑动窗口在线对规则库进行匹配检测。(5)事件响应。对数据评估的结果进行决策,如果确定为异常数据记录,则启动预警系统,更新规则库。规则库作为数据去噪和数据挖掘的一个参考衡量标准,可以提高数据纯净度和数据挖掘质量。(6)用户。用户对事件响应有决策权,事件响应反映给用户时,用户可根据自己设置的系统安全等级选择是否预警。本文引用地址:http://www.eepw.com.cn/article/157028.htm
4 算法分析
ANEIDSDM模型的算法流程图如图2所示。ANEIDSDM模型采用滑动窗口和相似度技术,窗口大小为T,步长为t0(t0T),相似度为m,具体方案如下:
(1)数据信息训练算法
输入:数据信息E,滑动窗口T,时间t,相似度m,窗口个数k,步长t0。
输出:数据挖掘规则库K。
将数据规则集中重复度小于最小阈值的规则舍去,输出规则库K;
评论