一种基于数据挖掘的Snort系统的设计与应用.pdf

第 l6卷 第5期 集美大学学报 (自然科学版) Vo1．16 No．5 2011年 9月 JournalofJimeiUniversity(NaturalScience) Sep．2011 [文章编号]1007—7405(2011)05—0397—04 一 种基于数据挖掘的Snort系统的设计与应用 魏德志，王奇光，林丽娜 (集美大学诚毅学院，福建 厦门361021) [摘要]为了提高入侵的检测效率，提出了一种基于数据挖掘的改进的snort系统．该系统充分利用数 据挖掘的入侵检测优点，采用改进的Apfiofi算法 ，在Snort原系统基础上增加一个数据异常检测模块 ，改 进了Snort存在的缺点，提高了检测率．通过模拟实验验证和实际网络环境应用分析，得 出该系统 比原 Snort系统具有更高的检测性能，能检测未知的网络入侵，提高计算机系统的安全性． [关键词]数据挖掘；入侵检测；Apfiofi算法；Snort [中图分类号]TP393．0 [文献标志码]A DesignandApplication ofaSnortSystem BasedonDataM ining WEIDe—zhi，WANGQi—guang，LINLi—na (ChengyiCollege，JimeiUniversity，Xiamen361021，China) Abstract：Inorderto improve the efficiencyofintrusion detection，thepaperproposed an improved Snortsystem basedondatamining．Thesystem tookadvantageofthedatamininginintrusiondetection，and emplayedtheimprovedApriorialgorihtm．A datawasaddedanomalydetectionmoduletotheSnortsystem， amendedhtefaultofSnort，andimprovedtherateofdetection．Th esimulationresultsandtheactualapplica— tionofhtenetworkenvironmentshowed thathteimproved system hadahigherperformancehtanhteoriginal Snort，andcoulddetectunknownintrusionandenhancethesecurityofcomputersystems． Keywords：datamining；intrusiondetection；Apriorialgorihtm；Snort O 引言 由于 Interact的开放互联性、网络协议 自身的缺陷以及操作系统漏洞、系统应用程序漏洞等多方 面因素导致了网络环境下的计算机系统存在很多的安全问题，因此，当前国内外掀起了一股入侵检测 技术研究的热潮．现有的入侵检测技术一般都专注于入侵特征的提取、合并和推理．其中，有一些是 采用传统的方法，如模式匹配、统计模型等；有一些是采用从其他领域移植过来的方法，如神经网 络、数据挖掘等．模式匹配的方法算法简单、准确率高，缺点是只能检测已知攻击，且模式库需要不 断更新．基于统计的方法是指入侵分析采用基于统计的检测规则，缺点是误检率较高．针对该缺点， 很多学者利用神经网络技术来进行入侵检测，较好地解决了传统的基于统计的分析方法所面临的一些 问题，但尚不十分成熟．基于专家系统的入侵检测技术的缺点主要是对攻击特征的提取有较大难度， 速度难于满足实时性要求． [收稿 日期]2011—02—28 [修回日期]2011—04—29 [基金项 目]福建省仿脑智能系统重点实验室开放课题项 目 (BLISSOS2010103) [作者简介]魏德志 (1982一)，讲师，硕士，从事网络安全、数据挖掘、智能算法的研究． · 398 · 集美大学