孤立点挖掘技术在入侵检测系统中的应用(6)
5.2 系统关键技术
Snort调用Libpcap库函数从网络上捕获数据包,该库函数可以应用程序提供直接从链路层捕获数据包的接口函数并可以设置数据包的过滤器捕获指定的数据,数据包解析引擎采用Libpcap库函数捕获数据链路层的分组进行协议栈分析,以便交给检测引擎进行规则匹配。
入侵检测引擎是Snort自带的协议分析模块,它只是把原始数据包解析成Snort自己需要的格式,并储存到相应的数据结构中,作为模式匹配算法的输入数据集。为了快速准确的进行检测,Snort的检测规则采用一个二文链表来存储,一文成为规则头,另一文成为规则选项。检测引擎将Snort规则分解为链表头和链表选项进行引用。检测引擎按照Snort规则文件中定义的规则依次分析每个数据包,当数据包满足一条规则时,就会触发在规则定义中指定的相应动作。凡是与规则不匹配的数据包都会被丢弃。
另外Snort系统灵活的插件形式来组织规则库,即按照入侵行为规则插件分类,每一类插件大致包括数十条的检测规则,分别代表同一类型的不同入侵行为。Snort启动时,沿链表的两个方向同时加载规则,根据设置的规则选项对每个数据包进行模式匹配。当检测引擎检测到被解码的包与规则相匹配时,检测引擎便触发相应的动作并提交给响应模块。
Snort采用插件机制,具有良好的扩展性和可移植性,非常适合通过在标准版本基础上加载新的插件来改进系统。系统可以调用这个插件,使孤立点检测与传动的模块匹配并行运行,对捕获到的网络数据实时分析,检测入侵行为。
要提高孤立点挖掘的准确率,数据预处理是不可忽视的一步。考虑网络领域知识,预处理将安排在网络数据包低层解码之后,孤立点分析之前进行。根据入侵检测的需要对已经低层协议解码过的数据包进行必要的预处理,以便进一步分析和解决入侵检测中的一些问题。
总之,本文提出的混合型入侵检测系统能够较好的满足实现需要,经过适当改进后的两种孤立点检测算法能够较好的协同工作,有效的保证系统检测的实时性,其误报率也达到预期要求,这种方案可以更加有效的保障网络安全。
6.结论
6.1 论文总结
入侵检测今年来受到人们高度重视,作为一种积极主动的安全防护技术,提供了针对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。本文阐述了入侵检测系统的现状和发展趋势,主要针对孤立点技术在入侵检测中的应用展开研究,结合领域知识,考虑实际网络环境,在前人研究的基础上尝试改进孤立点挖掘算法并对网络数据包进行分析。
论文主要完成一下内容:
分析了当前主要的入侵检测技术和检测模型的优缺点,阐述入侵检测系统当前有待解决的问题;引入数据挖掘技术,在通用入侵检测模型的基础上提出一个混合误用检测和异常检测两种检测技术的入侵检测体系结构;探讨数据挖掘的重要分支——孤立点技术,着重分析孤立点算法在入侵检测的应用前景。
对CLARANS算法做了改进,提高算法在检测孤立点中的准确度;提出一个结合领域知识,采用改进后的CLARANS算法,实现孤立点数据挖掘的新方案。该方案有效的提高入侵检测系统性能,降低误报率,检测出变种或未知入侵行为。
考虑孤立点挖掘在网络环境中的实际应用,在详细分析基于密度的局部关联识别算法后,提出一种改进算法——DLOCI算法。该算法利用原有挖掘的中间结果,有效减少计算量,快速挖掘数据更新后的新孤立点,具有很高的使用价值。