1、数据挖掘及时间序列分析在数据挖掘及时间序列分析在NIDS中的应用中的应用 开题报告报告人 高飞导师 孙济洲2003.1.18内容提要n现有检测方法及其不足n研究目标n研究意义n研究方案n工作进度现有检测方法及其不足n检测方法单一,基本上是基于规则的模式匹配阶段(此处的规则含义比较窄,如“特征字符串”.与后面提到的规则不同)。n可扩展性差n自动化能力低n适应变种能力差n没有分析数据行为模式能力NIDS的体系结构及研究对象定位人机交互事件规则规则规则已知规则对抗措施事件序列生成器移动代理事件库规则发现及行为分析引擎检测引擎规则库决策引擎活 动 监 测代理互联网活 动 监 测代理研究对象n可以依据以
2、下3个特征进行检测的对象:n网络连接特征n连接的内容特征n连接的统计特征n主要针对除了漏洞攻击外的4类入侵行为:n探测n拒绝服务n远程攻击n本地用户非法获得根用户权限研究主题n规则自动发现(包括攻击模式发现和正常模式相关发现)n行为模式分析与建模(结合黑客心理)研究主题的预期目标n不但要能发现参数值具体的规则,而且要能对规则进行合并和泛化处理,形成一些非常数参量的规则n所发现规则尽量是时间独立、与趋势或变化率相关的研究意义n如何能够在大量的报警信息中,与其他关联的信息进行比照和分析,进行有效的归纳总结,得出攻击者意图,攻击目的和攻击心理,并有效锁定攻击者。n规则自动发现解决了人工建立知识库的困
3、难。n行为分析是IDS技术的最高境界,是NIDS技术目前所面临的巨大瓶颈所在。从学术研究向应用转化。研究方案数据挖掘n聚类算法(ISODATA)n关联分析(与信息熵结合)n序列分析聚类方法n可以自动按数据内在的规律性自组织分类,再对之进行规律的分析,是一种知识的发现过程nISODATA算法基本描述n优点关联分析n原理:nApriori 算法的核心n使用(k 1)-项频繁集生成 候选k-项频繁集n对数据库扫描计数候选集项计数n基本算法的瓶颈n巨大的候选集数量n多次扫描数据库BBABACSBABATBTA)(,),(,序列分析n算法原理基本描述n用途研究方案时间序列分析nARMA(自回归滑动平均)
4、模型ststttqkkkpkkkqiiiipiittEEzzzzE,000000,0,)0()(,)1()(,:),0(是标准的白噪声序列它满足随机差分方程是实平稳列设n非平稳序列的平稳化处理ktdkkdktdtttZCZXXdZ0)1(,:平稳列阶差分后可得一经过许多非平稳列非平稳序列的平稳化处理示例工作进度(1)n1.2002.10-2002.12 调研,阅读相关参考文献,准备各方面资料和数据n2.2003.1-2003.4 对网络数据和攻击行为的分析与模拟。n3.2003.5-2003.7 检测规则的自动化生成及通用分析引擎的实现。工作进度(2)n4.2003.8-2003.11 用户行为模式建模与预测的实现。n5.2003.12-2004.1 毕业论文及答辩。结束