特征提取器的工作過程可分為數(shù)據(jù)預(yù)處理和產(chǎn)生關(guān)聯(lián)規(guī)則。

　　(1)數(shù)據(jù)預(yù)處理特征提取器的輸入為日志記錄．包含很多字段，但并非所有字段都適用于關(guān)聯(lián)分析。在此僅選擇和Snort規(guī)則相關(guān)的字段，如SrcIP，SrcPort，DstIP，DstPort，Protocol，Dsize，F(xiàn)lags和CID等。

　　(2)產(chǎn)生關(guān)聯(lián)規(guī)則首先根據(jù)設(shè)定的支持度找出所有頻繁項(xiàng)集，一般支持度設(shè)置得越低，產(chǎn)生的頻繁項(xiàng)集就會越多；而設(shè)置得越高，產(chǎn)生的頻繁項(xiàng)集就越少。接著由頻繁項(xiàng)集產(chǎn)生關(guān)聯(lián)規(guī)則，一般置信度設(shè)置得越低，產(chǎn)生的關(guān)聯(lián)規(guī)則數(shù)目越多但準(zhǔn)確度不高；反之置信度設(shè)置得越高。產(chǎn)生的關(guān)聯(lián)規(guī)則數(shù)目越少但是準(zhǔn)確度較高。

　　3．4系統(tǒng)模型特點(diǎn)

　　該系統(tǒng)在實(shí)際應(yīng)用時，既可以事先存入已知入侵規(guī)則，以降低在開始操作時期的漏報率，也可以不需要預(yù)先的背景知識。雖然該系統(tǒng)有較強(qiáng)的自適應(yīng)性，但在操作初期會有較高的誤報率。因此該系統(tǒng)模型有如下特點(diǎn)：(1)利用數(shù)據(jù)挖掘技術(shù)進(jìn)行入侵檢測；(2)利用先進(jìn)的挖掘算法，使操作接近實(shí)時；(3)具有自適應(yīng)性，能根據(jù)當(dāng)前的環(huán)境更新規(guī)則庫；(4)不但可檢測到已知的攻擊，而且可檢測到未知的攻擊。

　　4系統(tǒng)測試

　　以Snort為例，在規(guī)則匹配方面擴(kuò)展系統(tǒng)保持Snort的工作原理，實(shí)驗(yàn)分析具有代表性，分析攻擊模式數(shù)據(jù)庫大小與匹配時間的關(guān)系。

　　實(shí)驗(yàn)環(huán)境：IP地址為192．168．1．2的主機(jī)配置為PIV1．8G，內(nèi)存512M，操作系統(tǒng)為WindowsXP；3臺分機(jī)的IP地址分別為192．168．1．23，192．168．1．32，192．168．1．45。實(shí)驗(yàn)方法：隨機(jī)通過TcpDump抓取一組網(wǎng)絡(luò)數(shù)據(jù)包，通過該系統(tǒng)記錄約20min傳送來的數(shù)據(jù)包，3臺分機(jī)分別對主機(jī)不同攻擊類型的數(shù)據(jù)包進(jìn)行測試。

　　異常分析器采用K-Means算法作為聚類分析算法，試驗(yàn)表明．誤檢率隨閾值的增大而迅速增大，而隨閾值的減小而逐漸減小。由于聚類半徑R的增大會導(dǎo)致攻擊數(shù)據(jù)包與正常數(shù)包被劃分到同一個聚類，因此誤檢率必然會隨著閾值的增大而增大。另一方面，當(dāng)某一種新類型的攻擊數(shù)據(jù)包數(shù)目達(dá)到閾值時，系統(tǒng)會將其判定為正常類，因此閾值越小必然導(dǎo)致誤檢率越高。當(dāng)聚類半徑R=6時，該系統(tǒng)比Snort原始版本檢測的速度快，并且誤檢率也較低。

　　特征提取器采用關(guān)聯(lián)分析的Apriori算法，置信度設(shè)置為100％，閾值設(shè)為1000，支持度50％，最后自動生成以下3條新的入侵檢測規(guī)則：

　　alerttcp192．168．1．232450->192．168．1．280(msg：”poli-cy：externalnetattempttoaccess192。168。1。2”；classtype：at-temptesd-recon；)

　　alerttcp192．168．1．321850->192．168．1．221(msg：”poli-cy：extemalnetattempttoaccess192．168．1．2”；classtype：at-tempted-recon；)

　　alerttcp192．168．1．452678->192．168．1．21080(msg：”policy：extemalnetattempttoaccess192．168。1。2”；classtype：at-tempted-reeon；)

　　該試驗(yàn)結(jié)果說明經(jīng)采用特征提取器對異常日志進(jìn)行分析，系統(tǒng)挖掘出檢測新類型攻擊的規(guī)則，并具備檢測新類型攻擊的能力。

　　5結(jié)束語

　　提出一種基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)模型，借助數(shù)據(jù)挖掘技術(shù)在處理大量數(shù)據(jù)特征提取方面的優(yōu)勢，可使入侵檢測更加自動化，提高檢測效率和檢測準(zhǔn)確度?；跀?shù)據(jù)挖掘的入侵檢測己得到快速發(fā)展，但離投入實(shí)際使用還有距離，尚未具備完善的理論體系。因此，解決數(shù)據(jù)挖掘的入侵檢測實(shí)時性、正確檢測率、誤警率等方面問題是當(dāng)前的主要任務(wù)，及豐富和發(fā)展現(xiàn)有理論，完善入侵檢測系統(tǒng)使其投入實(shí)際應(yīng)用。