国际期刊的创新在计算机和通信工程的研究
菜单ISSN在线(2320 - 9801)打印(2320 - 9798)
ISSN在线(2320 - 9801)打印(2320 - 9798)
| Trupti Phutane和Apashabi Pathan 部门的计算机工程,G.H.Raisoni工程学院&管理、Wagholi、印度 |
| 相关文章Pubmed,谷歌学者 |
访问更多的相关文章国际期刊的创新在计算机和通信工程的研究
现在一天的身份验证是主要关心的。我们需要每一个方面的每一笔交易的安全,以避免把&入侵者。在本文中,我们将讨论现有的入侵检测系统与数据挖掘方法,如入侵检测系统使用关联规则挖掘[6]和入侵检测系统使用事件相关数据挖掘[5]。我们也讨论拟议中的系统[3],[4],[10]中,入侵检测是一个数据分析的过程,而不是先前的知识工程等方法的应用过程。在关联规则挖掘中,我们首先使用嗅探器捕获网络数据。捕获的数据将被过滤,以便移除不相关数据分析,最后我们将提取的特征与给定数据集作为事件相关的数据挖掘方法,我们将保持每一个网络系统的日志和的基础上”事件数据存储在日志我们将努力保持它们之间的联系,如果我们发现任何可疑的活动,我们将拒绝访问数据。在技术我们只关心系统提出的允许和拒绝访问,但在我们保持决策树分析的数据及其属性而不是猜测或发现任何与之前的关系数据。
关键字 |
||||||||
| 威胁,入侵者、关联规则挖掘、事件相关的数据挖掘,决策树 | ||||||||
介绍了现有的入侵检测系统 |
||||||||
| 数据挖掘就是发现未知模式的过程从给定的一组模式[6],[7]。在入侵检测系统中,我们使用数据挖掘的概念,我们会发现这种模式将跟踪所有用户活动找出入侵者。在现有的系统中,我们都在关注知识工程流程的基础上决定的做出,一些固定的规则。主要是入侵检测系统分为两大类即使用关联规则挖掘的入侵检测系统和入侵检测系统使用事件相关的数据挖掘。 | ||||||||
答:使用关联规则挖掘的入侵检测系统 |
||||||||
| 在这种方法中我们跟踪每个传入的数据包的网络及会将收集到的日志与不同的数据集KDD杯,DARPA等[1],[2]。之前我们必须分析的网络入侵检测在一些假设的基础上 | ||||||||
| 我。FTP连接和其他指定的端口被当作攻击 | ||||||||
| 二世。连接到同一个IP一再被视为攻击 | ||||||||
| 三世。任何远程登录连接被视为攻击 | ||||||||
| 第四。任何连接流从源端口目的地端口445(蠕虫)被视为攻击。 | ||||||||
| 这些假设的基础上,我们筛选数据正常数据或攻击者的数据。这个概念被称为作为创建模式,我们将创建该模式对数据库如果用户试图访问系统,如果没有人应该有生成警报[2]。 | ||||||||
| 在创建模式下面是IDS系统的阶段 | ||||||||
| 我。数据收集阶段:-捕获是使用一种特殊的嗅探器来执行的。使用嗅探器捕获所有数据包并将其头存储在数据库中。每个包捕获的特性,包括源和目的地IP、源/目标端口,协议,的字节数、服务类型和旗帜 | ||||||||
| 二世。数据过滤阶段:获取的数据过滤,从而消除交通非相关的分析,本研究集中于不同网络协议TCP、UDP, ICMP,因为多数的网络连接属于这些协议。 | ||||||||
| 三世。特征提取阶段:在这个阶段,新特性提取关联规则挖掘。主要是提取时间和面向连接的特性。捕获网络连接第一&然后离线处理系统内发放数据的访问 | ||||||||
| 在特征提取关联规则挖掘使用以下模型将被应用 | ||||||||
| 已知的攻击检测模型:——它将网络数据作为正常或入侵基于标签的训练数据的基础。分类决策树分类算法目的是用于分类数据为多个集和内部使用的组合分类器提高分类精度。 | ||||||||
| 异常检测模型:聚类技术用于发现新的攻击并没有发现在之前的阶段。它使用两步聚类算法。 | ||||||||
| 攻击总结使用协会模式:发现攻击和可疑的连接进行了总结使用先验的算法描述特性检测到异常协助分析师产生新的签名。下面的图显示了使用关联规则挖掘提出了入侵检测系统。 | ||||||||
b .使用事件相关的数据挖掘的入侵检测系统 |
||||||||
| 在以前的系统,猜测新入侵者是困难的,因为基于签名的方法,另一个问题是假警报率高。IDS的这些问题对效率的影响,所以在这个系统我们要关注这些问题,减少假警报,我们可以使用数据挖掘使用事件相关技术(ECT)对网络入侵检测以自适应的方式,以便NIDS能够识别并飞到签名数据库上添加新模式。对减少假阳性事件关联分析是有用的警报。在这个提议系统我们要开发一个系统,将减少误警率和添加新的签名在飞。在这个系统中我们会保持每个用户的每一个活动的日志中的每个系统网络。猜入侵者或威胁我们一起会比较这些日志,找出它们之间的关系。如果发现任何可疑的活动,我们将报告的攻击。在这种方法中通过相关日志我们也能猜到未来袭击至少可能的关联规则挖掘。 | ||||||||
| 如图,探测入侵者我们收集来自不同工作站的事件日志像防火墙,网络入侵检测系统和web服务器等[6][7]。这些日志将相互关联的事件关联引擎。事件关联引擎会发现日志和之间的关系如果发现任何可疑活动报告攻击,还预测未来的威胁和攻击 | ||||||||
| 算法: | ||||||||
| 输入:简单的id生成的警报(事件日志) | ||||||||
| 输出:相关攻击图 | ||||||||
| 方法: | ||||||||
| 1 -让CAG (N, E) =零 | ||||||||
| 2 -地图基本警报超级警报{ho h1, h2, ....} | ||||||||
| 3 -让h0是孤立的高警惕性 | ||||||||
| 4 - k = 1到我 | ||||||||
| 如果 | ||||||||
| 答:至少一个Prereq(嗨+ 1)ЄConseq (hi) U Prereq(嗨+ 1)ЄExConseq(你好) | ||||||||
| b。Vul(嗨+ 1)的存在。 | ||||||||
| c。Conseq(你好)。End_time > = Prereq(嗨+ 1)。Start_time U | ||||||||
| ExConseq (hi) .End_time > = Prereq .Start_time(嗨+ 1) | ||||||||
| 然后 | ||||||||
| 添加CAG覆盖,覆盖+ 1) | ||||||||
| 5 -返回结果。 | ||||||||
文献调查 |
||||||||
| 入侵检测我们正在测试系统等标准数据集KDD杯和美国国防部高级研究计划局数据集。我们将看到它们中的每一个细节 | ||||||||
| 一个。数据集KDD杯- 99 | ||||||||
| 这个数据集用于第三国际知识发现和数据挖掘工具的竞争,竞争的任务是构建网络入侵检测系统来区分好与坏连接在其他词的帮助下我们可以说这个数据集,我们可以识别入侵者或攻击者。这个数据库包含一个标准数据集被审计,其中包括各种各样的入侵在军事应用模拟。 | ||||||||
| b - 2010数据集KDD杯子 | ||||||||
| 这个数据集表示一个采样快照对各种项目用户的偏好。项目的建议用户和用户的历史“后”的历史。这是一个更大的规模比其他公开发布的数据集。也提供了富有等多个域的用户配置文件信息,社交图,项目类别,希望唤起深深关注思想和方法。用户的数据集,在数百万编号,提供配置文件关键字等信息;遵循历史等产生良好的预测模型。为了保护用户的隐私,用户和推荐项的id作为随机数匿名,不显示分类。此外,他们的信息,在中国的时候,将随机编码为字符串或数字,因此没有选手了解中国会得到好处。时间戳是提供是否需要推荐。 | ||||||||
| c . DARPA数据集 | ||||||||
| 网络系统和技术集群(以前DARPA入侵检测评估集团),在国防高级研究计划局(DARPA ITO)和空军研究实验室(AFRL / SNHS)赞助,收集和分发的第一个标准数据集计算机网络入侵检测系统的评价。我们也协调,空军研究实验室,第一个正式的、可重复的,统计重要评估的入侵检测系统在1998年和1999年进行。这些评估的机会检测和测量每个被测系统的虚警概率。这些评估入侵检测研究领域做出了重要贡献,为研究工作提供方向和客观校准的技术状态的艺术。他们感兴趣的研究人员在工作站和网络入侵检测存在的普遍问题。估计是为了容易,关注技术问题,并鼓励尽可能广泛的参与解开安全和隐私问题,和提供的数据类型通常使用大多数的入侵检测系统。 | ||||||||
| c .入侵检测技术 | ||||||||
| 我们知道,入侵检测是检查过程中识别的计算机或网络威胁,活动,或文件修改。IDS还可以用来检查网络流量,从而搜索如果一个系统是由一个有针对性的网络攻击如DOS攻击。有两种基本类型的入侵检测:基于主机的和基于网络的。都有一个不同的方法来保护数据,每个人都有不同的奖励和缺点。总之,基于主机的ids检测数据对个人电脑作为主机,而基于网络的ids检查计算机之间交换的数据。 | ||||||||
| 基于主机的IDS (HIDS) | ||||||||
| 这些系统收集和分析数据,电脑主机中创建一个服务,比如Web服务器。一旦这个数据聚合为一个给定的计算机,它可以检查本地或发送到一个单独的/中央分析机。基于主机的系统的一个例子程序,操作系统和接收应用程序或操作系统审计日志。这些程序是高度有效的检测内幕的虐待。驻留在可信网络系统本身,他们接近网络的真正用户。如果其中一个用户尝试非法活动,通常基于主机的系统检测和收集最相关的信息以最快的方式。除了检测未经授权的内部活动,基于主机的系统也有效地检测未经授权的文件修改。 | ||||||||
| 基于网络的IDS (NIDS) | ||||||||
| 与监测的活动发生在一个特定的网络中,基于网络的入侵检测检查数据包,在实际网络中传输。这些包检查,有时与经验数据来验证他们的本性:恶意或良性的。因为他们是负责检查网络,基于网络的入侵检测系统(NIDS)往往比基于主机的IDS分配。软件,或设备硬件在某些情况下,驻留在一个或多个系统连接到一个网络,并用于检查网络数据包等数据。而不是产生和驻留在计算机分析信息,基于网络的IDS使用“包嗅探”技术将数据从TCP / IP或其他协议数据包沿着网络旅行。这种监控计算机之间的连接使得基于网络的IDS的检测从外部访问尝试信任网络。一般来说,基于网络的系统最佳检测以下活动: | ||||||||
| •局外人的未经授权的访问:当一个未经授权的用户登录成功,或试图登录,他们是最好的跟踪和基于主机的IDS。然而,检测未经授权的用户在登录之前尝试是最好的基于网络的IDS来完成。 | ||||||||
| •带宽盗窃/拒绝服务:这些攻击来自外部网络的单一网络资源滥用或盈余。启动/携带这些攻击的数据包最好可以注意到使用基于网络的IDS。 | ||||||||
IDS技术 |
||||||||
| 现在,我们已经检查了两种基本类型的id和为什么他们应该一起使用,我们可以调查他们如何做他们的工作。在每一个案例中,有四个基本技术用来探测入侵者即异常检测、误用检测(检测签名),目标监视和秘密调查。 | ||||||||
PRPOPOSED系统 |
||||||||
| 该入侵检测系统是基于两个重要组成部分即数据预处理和分析的预处理。 | ||||||||
| 一个。数据预处理 | ||||||||
| 我们提出了IDS系统在图3中表示。数据预处理是用于非数字值转换成数字值。知识发现(KDD)杯”99年获得的信息是许多系统调用的混合物。系统调用是一个基于文本的记录查询。[1] | ||||||||
| B。分析预处理步骤 | ||||||||
| 拟议的IDS系统需要适当的预处理活动建议[1]。大多数现有的研究在概念上缺乏独立。一些研究提供足够的数据格式,和其他一些明显的分析。所以我们可以说每个入侵设计都有其不同的专业而不是考虑一个新的分析框架,我们可以使混合框架。 | ||||||||
| 我们的明显目标系统分析是准确的检出率随着减少错误的过滤率。所以,一些问题是源于这些用途: | ||||||||
| (1)如何提供最好的id和组织良好的计算数据。 | ||||||||
| (2)如何过滤错误的利率和提高检测率。 | ||||||||
| (3)如何找出攻击模式和显示管理员让政策的合适的数据类型。 | ||||||||
| 所以,我们提出了系统将提高入侵检测通过减少错误的利率和提高利率决定通过数据挖掘关联规则挖掘与事件相关的优点即我们正在考虑独立的好处以及依赖在入侵检测框架。 | ||||||||
结论 |
||||||||
| 该系统将开发一个入侵检测系统检测入侵行为正常或攻击使用决策树和分层加权抽样相比现有技术,如关联规则挖掘和事件相关的数据挖掘技术。决策树生成构建系统更准确的攻击检测,因为它是利用现有系统框架中解释。在这个项目中,我们需要使用KDD杯数据集分类的预处理步骤三个阶段,数据预处理阶段,融合决策阶段和数据回调阶段。这些技术确保我们的可用性性能的正确率和错误率。分层加权抽样技术来生成原始样本数据集,然后运用决策树算法,克服了ID3算法的局限性。因此该方法可以实现对各种数据集大小的数据和结果非常大真实与错误率低于现有的算法。因此,CPU和内存使用率却降低了。因此,提出了入侵检测方法是非常恰当的和一致的 | ||||||||
数据乍一看 |
||||||||
|
||||||||
引用 |
||||||||
|
