基于多维数据流挖掘技术的入侵检测模型与算法

被引：25

作者：

毛国君

宗东军

机构：

[1] 北京工业大学计算机学院

来源：

计算机研究与发展 | 2009年 / 46卷 / 04期

关键词：

多维数据流; 入侵检测; 异常检测; 误用检测; 最大频繁项集;

D O I：

暂无

中图分类号：

TP393.08 []; TP311.13 [];

学科分类号：

0839 ; 1402 ; 1201 ;

摘要：

网络访问数据有着数据流的高速、无穷达到的特点,所以利用传统多遍扫描数据库的挖掘技术来构建入侵检测模型是不可行的.针对网络访问数据流的特点,提出了一种基于多维数据流挖掘技术的入侵检测模型.此模型将传统的误用检测和异常检测两种入侵检测方法进行有机融合,因此能够克服目前广泛使用的误用检测方法无法检测新的攻击类型的缺点,并且也能够保持检测的高效性.网络访问数据记录的结构是复杂的,一个访问行为总是联系到许多属性,所以分析的难度很大.因此,引入多维频度等概念来解决网络数据流的模式表示和生成问题.同时,针对多维频度模式的特点,提出了一种新型数据结构MaxFP-Tree.在MaxFP-Tree的基础上,给出了一种高效的挖掘网络访问数据流的学习算法MaxFPinNDS.MaxFPinNDS采用衰减机制挖掘,可以快速地形成一个数据流的最近时期数据所隐含的最大频繁项目集.实验表明,设计的入侵检测模型是有效的.

引用

页码：602 / 609

页数：8

共 6 条

[1] 数据流中频繁闭项集的近似挖掘算法 [J].

刘旭 ;

毛国君 ;

孙岳 ;

刘椿年 .

电子学报, 2007, (05) :900-905

[2] 入侵检测在线规则生成模型 [J].

郭山清 ;

谢立 ;

曾英佩 .

计算机学报, 2006, (09) :1523-1532

[3] 基于数据流方法的大规模网络异常发现 [J].

郑军 ;

胡铭曾 ;

云晓春 ;

郑仲 .

通信学报 , 2006, (02) :1-8

[4]

入侵检测[M]. 北京邮电大学出版社 , 罗守山主编, 2004

[5]

A framework for constructing features and models for intrusion detection systems[J] . Wenke Lee,Salvatore J. Stolfo.ACM Transactions on Information and System Security (TISSEC) . 2000 (4)

[6]

Intrusion detection with unlabeled data using clustering .2 Pornoy L. Proc of ACMCSS Workshop on Data Mining Applied to Security . 2001

← 1 →