数据挖掘及时间序列分析在 NIDS 中的应用

1. 数据挖掘及时间序列分析在NIDS中的应用 ——开题报告 报告人 高飞 导师 孙济洲 2003.1.18

2. 内容提要 • 现有检测方法及其不足 • 研究目标 • 研究意义 • 研究方案 • 工作进度

3. 现有检测方法及其不足 • 检测方法单一，基本上是基于规则的模式匹配阶段(此处的规则含义比较窄，如“特征字符串”.与后面提到的规则不同)。 • 可扩展性差 • 自动化能力低 • 适应变种能力差 • 没有分析数据行为模式能力

4. 规则发现及行为分析引擎 检测引擎 事件序列生成器 人机交互 决策引擎 事件 规则 规则 事件库 移动代理 规则 规则库 互联网 对抗措施 已知规则 活动监测代理 活动监测代理 NIDS的体系结构及研究对象定位

5. 研究对象 • 可以依据以下3个特征进行检测的对象： • 网络连接特征 • 连接的内容特征 • 连接的统计特征 • 主要针对除了漏洞攻击外的4类入侵行为: • 探测 • 拒绝服务 • 远程攻击 • 本地用户非法获得根用户权限

6. 研究主题 • 规则自动发现（包括攻击模式发现和正常模式相关发现） • 行为模式分析与建模（结合黑客心理）

7. 研究主题的预期目标 • 不但要能发现参数值具体的规则，而且要能对规则进行合并和泛化处理，形成一些非常数参量的规则 • 所发现规则尽量是时间独立、与趋势或变化率相关的

8. 研究意义 • 如何能够在大量的报警信息中，与其他关联的信息进行比照和分析，进行有效的归纳总结，得出攻击者意图，攻击目的和攻击心理，并有效锁定攻击者。 • 规则自动发现解决了人工建立知识库的困难。 • 行为分析是IDS技术的最高境界,是NIDS技术目前所面临的巨大瓶颈所在。从学术研究向应用转化。

9. 研究方案——数据挖掘 • 聚类算法(ISODATA) • 关联分析(与信息熵结合) • 序列分析

10. 聚类方法 • 可以自动按数据内在的规律性自组织分类，再对之进行规律的分析,是一种知识的发现过程 • ISODATA算法基本描述 • 优点

11. 关联分析 • 原理: • Apriori 算法的核心 • 使用 (k – 1)-项频繁集生成 候选k-项频繁集 • 对数据库扫描计数候选集项计数 • 基本算法的瓶颈 • 巨大的候选集数量 • 多次扫描数据库

12. 序列分析 • 算法原理基本描述 • 用途

13. 研究方案——时间序列分析 • ARMA (自回归滑动平均)模型

14. 非平稳序列的平稳化处理

15. 非平稳序列的平稳化处理示例

16. 工作进度(1) • 1.2002.10-2002.12 调研，阅读相关参考文献，准备各方面资料和数据 • 2.2003.1-2003.4 对网络数据和攻击行为的分析与模拟。 • 3.2003.5-2003.7 检测规则的自动化生成及通用分析引擎的实现。

17. 工作进度(2) • 4.2003.8-2003.11 用户行为模式建模与预测的实现。 • 5.2003.12-2004.1 毕业论文及答辩。

18. 结束 谢谢!