數(shù)據(jù)挖掘及時間序列分析在NIDS中的應用課件

數(shù)據(jù)挖掘及時間序列分析在NIDS中的應用

—— 開題報告報告人高飛導師孫濟洲2003.1.18數(shù)據(jù)挖掘及時間序列分析在NIDS中的應用—— 開題報告201內(nèi)容提要現(xiàn)有檢測方法及其不足研究目標研究意義研究方案工作進度內(nèi)容提要現(xiàn)有檢測方法及其不足2現(xiàn)有檢測方法及其不足檢測方法單一，基本上是基于規(guī)則的模式匹配階段(此處的規(guī)則含義比較窄，如“特征字符串”.與后面提到的規(guī)則不同)。可擴展性差自動化能力低適應變種能力差沒有分析數(shù)據(jù)行為模式能力現(xiàn)有檢測方法及其不足檢測方法單一，基本上是基于規(guī)則的模式匹配3NIDS的體系結構及

研究對象定位人機交互事件規(guī)則規(guī)則規(guī)則已知規(guī)則對抗措施事件序列生成器移動代理事件庫規(guī)則發(fā)現(xiàn)及行為分析引擎檢測引擎規(guī)則庫決策引擎活動監(jiān)測代理互聯(lián)網(wǎng)活動監(jiān)測代理NIDS的體系結構及

研究對象定位人機交互事件規(guī)則規(guī)則規(guī)則已4研究對象可以依據(jù)以下3個特征進行檢測的對象：網(wǎng)絡連接特征連接的內(nèi)容特征連接的統(tǒng)計特征主要針對除了漏洞攻擊外的4類入侵行為:探測拒絕服務遠程攻擊本地用戶非法獲得根用戶權限研究對象可以依據(jù)以下3個特征進行檢測的對象：5研究主題規(guī)則自動發(fā)現(xiàn)（包括攻擊模式發(fā)現(xiàn)和正常模式相關發(fā)現(xiàn)）行為模式分析與建模（結合黑客心理）研究主題規(guī)則自動發(fā)現(xiàn)（包括攻擊模式發(fā)現(xiàn)和正常模式相關發(fā)現(xiàn)）6研究主題的預期目標不但要能發(fā)現(xiàn)參數(shù)值具體的規(guī)則，而且要能對規(guī)則進行合并和泛化處理，形成一些非常數(shù)參量的規(guī)則所發(fā)現(xiàn)規(guī)則盡量是時間獨立、與趨勢或變化率相關的研究主題的預期目標不但要能發(fā)現(xiàn)參數(shù)值具體的規(guī)則，而且要能對規(guī)7研究意義如何能夠在大量的報警信息中，與其他關聯(lián)的信息進行比照和分析，進行有效的歸納總結，得出攻擊者意圖，攻擊目的和攻擊心理，并有效鎖定攻擊者。規(guī)則自動發(fā)現(xiàn)解決了人工建立知識庫的困難。行為分析是IDS技術的最高境界,是NIDS技術目前所面臨的巨大瓶頸所在。從學術研究向應用轉(zhuǎn)化。研究意義如何能夠在大量的報警信息中，與其他關聯(lián)的信息進行比照8研究方案——數(shù)據(jù)挖掘聚類算法(ISODATA)關聯(lián)分析(與信息熵結合)序列分析研究方案——數(shù)據(jù)挖掘聚類算法(ISODATA)9聚類方法可以自動按數(shù)據(jù)內(nèi)在的規(guī)律性自組織分類，再對之進行規(guī)律的分析,是一種知識的發(fā)現(xiàn)過程ISODATA算法基本描述優(yōu)點聚類方法可以自動按數(shù)據(jù)內(nèi)在的規(guī)律性自組織分類，再對之進行規(guī)律10關聯(lián)分析原理:Apriori算法的核心使用(k–1)-項頻繁集生成候選k-項頻繁集對數(shù)據(jù)庫掃描計數(shù)候選集項計數(shù)基本算法的瓶頸巨大的候選集數(shù)量多次掃描數(shù)據(jù)庫關聯(lián)分析原理:11序列分析算法原理基本描述用途序列分析算法原理基本描述12研究方案——時間序列分析ARMA(自回歸滑動平均)模型研究方案——時間序列分析ARMA(自回歸滑動平均)模型13非平穩(wěn)序列的平穩(wěn)化處理非平穩(wěn)序列的平穩(wěn)化處理14非平穩(wěn)序列的平穩(wěn)化處理示例非平穩(wěn)序列的平穩(wěn)化處理示例15工作進度(1)1.2002.10-2002.12調(diào)研，閱讀相關參考文獻，準備各方面資料和數(shù)據(jù)2.2003.1-2003.4對網(wǎng)絡數(shù)據(jù)和攻擊行為的分析與模擬。3.2003.5-2003.7檢測規(guī)則的自動化生成及通用分析引擎的實現(xiàn)。工作進度(1)1.2002.10-2002.12調(diào)研，閱讀16工作進度(2)4.2003.8-2003.11用戶行為模式建模與預測的實