特征提取器的工作過程可分為數(shù)據(jù)預處理和產(chǎn)生關聯(lián)規(guī)則。

　　(1)數(shù)據(jù)預處理特征提取器的輸入為日志記錄．包含很多字段，但并非所有字段都適用于關聯(lián)分析。在此僅選擇和Snort規(guī)則相關的字段，如SrcIP，SrcPort，DstIP，DstPort，Protocol，Dsize，F(xiàn)lags和CID等。

　　(2)產(chǎn)生關聯(lián)規(guī)則首先根據(jù)設定的支持度找出所有頻繁項集，一般支持度設置得越低，產(chǎn)生的頻繁項集就會越多；而設置得越高，產(chǎn)生的頻繁項集就越少。接著由頻繁項集產(chǎn)生關聯(lián)規(guī)則，一般置信度設置得越低，產(chǎn)生的關聯(lián)規(guī)則數(shù)目越多但準確度不高；反之置信度設置得越高。產(chǎn)生的關聯(lián)規(guī)則數(shù)目越少但是準確度較高。

　　3．4系統(tǒng)模型特點

　　該系統(tǒng)在實際應用時，既可以事先存入已知入侵規(guī)則，以降低在開始操作時期的漏報率，也可以不需要預先的背景知識。雖然該系統(tǒng)有較強的自適應性，但在操作初期會有較高的誤報率。因此該系統(tǒng)模型有如下特點：(1)利用數(shù)據(jù)挖掘技術進行入侵檢測；(2)利用先進的挖掘算法，使操作接近實時；(3)具有自適應性，能根據(jù)當前的環(huán)境更新規(guī)則庫；(4)不但可檢測到已知的攻擊，而且可檢測到未知的攻擊。

　　4系統(tǒng)測試

　　以Snort為例，在規(guī)則匹配方面擴展系統(tǒng)保持Snort的工作原理，實驗分析具有代表性，分析攻擊模式數(shù)據(jù)庫大小與匹配時間的關系。

　　實驗環(huán)境：IP地址為192．168．1．2的主機配置為PIV1．8G，內(nèi)存512M，操作系統(tǒng)為WindowsXP；3臺分機的IP地址分別為192．168．1．23，192．168．1．32，192．168．1．45。實驗方法：隨機通過TcpDump抓取一組網(wǎng)絡數(shù)據(jù)包，通過該系統(tǒng)記錄約20min傳送來的數(shù)據(jù)包，3臺分機分別對主機不同攻擊類型的數(shù)據(jù)包進行測試。

　　異常分析器采用K-Means算法作為聚類分析算法，試驗表明．誤檢率隨閾值的增大而迅速增大，而隨閾值的減小而逐漸減小。由于聚類半徑R的增大會導致攻擊數(shù)據(jù)包與正常數(shù)包被劃分到同一個聚類，因此誤檢率必然會隨著閾值的增大而增大。另一方面，當某一種新類型的攻擊數(shù)據(jù)包數(shù)目達到閾值時，系統(tǒng)會將其判定為正常類，因此閾值越小必然導致誤檢率越高。當聚類半徑R=6時，該系統(tǒng)比Snort原始版本檢測的速度快，并且誤檢率也較低。

　　特征提取器采用關聯(lián)分析的Apriori算法，置信度設置為100％，閾值設為1000，支持度50％，最后自動生成以下3條新的入侵檢測規(guī)則：

　　alerttcp192．168．1．232450->192．168．1．280(msg：”poli-cy：externalnetattempttoaccess192。168。1。2”；classtype：at-temptesd-recon；)

　　alerttcp192．168．1．321850->192．168．1．221(msg：”poli-cy：extemalnetattempttoaccess192．168．1．2”；classtype：at-tempted-recon；)

　　alerttcp192．168．1．452678->192．168．1．21080(msg：”policy：extemalnetattempttoaccess192．168。1。2”；classtype：at-tempted-reeon；)

　　該試驗結(jié)果說明經(jīng)采用特征提取器對異常日志進行分析，系統(tǒng)挖掘出檢測新類型攻擊的規(guī)則，并具備檢測新類型攻擊的能力。

　　5結(jié)束語

　　提出一種基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)模型，借助數(shù)據(jù)挖掘技術在處理大量數(shù)據(jù)特征提取方面的優(yōu)勢，可使入侵檢測更加自動化，提高檢測效率和檢測準確度?；跀?shù)據(jù)挖掘的入侵檢測己得到快速發(fā)展，但離投入實際使用還有距離，尚未具備完善的理論體系。因此，解決數(shù)據(jù)挖掘的入侵檢測實時性、正確檢測率、誤警率等方面問題是當前的主要任務，及豐富和發(fā)展現(xiàn)有理論，完善入侵檢測系統(tǒng)使其投入實際應用。