《数据挖掘及时间序列分析在NIDS中的应用.ppt》由会员分享,可在线阅读,更多相关《数据挖掘及时间序列分析在NIDS中的应用.ppt(18页珍藏版)》请在三一办公上搜索。
1、数据挖掘及时间序列分析在NIDS中的应用,开题报告报告人 高飞导师 孙济洲,内容提要,现有检测方法及其不足研究目标研究意义研究方案工作进度,现有检测方法及其不足,检测方法单一,基本上是基于规则的模式匹配阶段(此处的规则含义比较窄,如“特征字符串”.与后面提到的规则不同)。可扩展性差自动化能力低适应变种能力差没有分析数据行为模式能力,NIDS的体系结构及研究对象定位,研究对象,可以依据以下3个特征进行检测的对象:网络连接特征连接的内容特征连接的统计特征主要针对除了漏洞攻击外的4类入侵行为:探测拒绝服务远程攻击本地用户非法获得根用户权限,研究主题,规则自动发现(包括攻击模式发现和正常模式相关发现)
2、行为模式分析与建模(结合黑客心理),研究主题的预期目标,不但要能发现参数值具体的规则,而且要能对规则进行合并和泛化处理,形成一些非常数参量的规则所发现规则尽量是时间独立、与趋势或变化率相关的,研究意义,如何能够在大量的报警信息中,与其他关联的信息进行比照和分析,进行有效的归纳总结,得出攻击者意图,攻击目的和攻击心理,并有效锁定攻击者。规则自动发现解决了人工建立知识库的困难。行为分析是IDS技术的最高境界,是NIDS技术目前所面临的巨大瓶颈所在。从学术研究向应用转化。,研究方案数据挖掘,聚类算法(ISODATA)关联分析(与信息熵结合)序列分析,聚类方法,可以自动按数据内在的规律性自组织分类,再
3、对之进行规律的分析,是一种知识的发现过程ISODATA算法基本描述优点,关联分析,原理:Apriori 算法的核心使用(k 1)-项频繁集生成 候选k-项频繁集对数据库扫描计数候选集项计数基本算法的瓶颈巨大的候选集数量多次扫描数据库,序列分析,算法原理基本描述用途,研究方案时间序列分析,ARMA(自回归滑动平均)模型,非平稳序列的平稳化处理,非平稳序列的平稳化处理示例,工作进度(1),1.2002.10-2002.12 调研,阅读相关参考文献,准备各方面资料和数据2.2003.1-2003.4 对网络数据和攻击行为的分析与模拟。3.2003.5-2003.7 检测规则的自动化生成及通用分析引擎的实现。,工作进度(2),4.2003.8-2003.11 用户行为模式建模与预测的实现。5.2003.12-2004.1 毕业论文及答辩。,结束,谢谢!,
