共查询到19条相似文献,搜索用时 375 毫秒
1.
入侵检测中对系统日志审计信息进行数据挖掘的研究 总被引:16,自引:0,他引:16
入侵检测系统是用来检测网络入侵行为的工具,入侵检测系统的关键在于其安全模式规则的准确性,网络系统中存在大量的日志审计数据,在这些日志审计数据中含有许多与安全有关的信息,入侵检测系统可以从日志审计数据中提取安全模式规则,但由于这些日志审计数据量非常庞大,因此采用数据挖掘技术从中进行安全模式规则的提取,研究了如何在入侵检测中对系统日志审计信息进行数据挖掘,提出了全套的步骤,并重点论述了采用轴属对日志审计信息进行特征提取。 相似文献
2.
由于网络入侵检测系统的实时性要求,将传统的关联规则挖掘算法直接应用到入侵检测系统中,运行效率往往不能满足实际的需要.考虑到网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FIDF,它改变了候选项集的产生顺序,优先寻找最大频繁项集.该算法只需扫描一次数据库,且当事务数据库和支持度阈值改变时,无需重新扫描数据库,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性. 相似文献
3.
数据库审计是数据库安全的重要组成部分,包括日志记录和日志分析两部分。在SQL Server数据库中,使用审计功能只能获取审计跟踪的信息,并不具备日志分析的能力。针对SQL Server数据库审计功能的不足,给出了一个数据库安全审计系统MyAudit的设计和实现。MyAudit系统使用误用检测方法进行审计分析,能够检测出攻击企图、伪装攻击两种类型的数据库攻击。 相似文献
4.
本文使用抓包库WinPcap,入侵探测器snort,Web服务器Apache,数据库MySQL,入侵数据分析控制台ACID构建了Windows平台下基于snort的网络入侵系统。Snort对监控网络中的数据包进行规则匹配,检测入侵行为,并将日志保存至MYSQL数据库,ACID分析数据库数据,生成网络入侵事件日志图表。 相似文献
5.
本文利用数据挖掘中的分类、关联规则和聚类等技术,完成了对系统审计数据的分析、分类规则的学习及入侵模型的建立,实现了对入侵攻击及系统异常行为的检测。通过对测试结果的分析,验证了将数据挖掘理论融入安全审计分析是可行和有效的。 相似文献
6.
在传统的网络安全审计系统中,需要由专家定义攻击特征来检测异常活动.由于攻击数据难以获取,往往只能得到正常用户的系统调用审计信息.设计了基于支持向量描述的单类分类器的安全审计模型,所有偏离正常模式的活动都被认为是入侵.通过对主机系统执行迹国际标准数据集的测试,只利用少量的训练样本,实验获得了对异常样本100%的检测率,而平均虚警率接近为0. 只利用正常样本建立了一个单分类器的异常检测模型,使得系统具有对新的异常行为的检测能力. 相似文献
7.
8.
李涛 《计算机工程与设计》2010,31(6)
为了提高数据库系统的安全,将改进的数据预处理算法和改进的Apriori算法应用于数据库入侵检测系统,提出一个基于数据挖掘技术的自适应的数据库入侵检测系统模型.模型中,针对滥用检测规则生成的局限性,提出将改进算法的中间结果运用到滥用检测规则的生成中,不断完善滥用检测规则库,结合滥用检测和异常检测的特点,先进行滥用检测,再进行异常检测,降低漏检率和误警率.检测结果表明,不断更新规则库,能够提高系统的自适应性. 相似文献
9.
基于SVDD的网络安全审计模型研究 总被引:1,自引:0,他引:1
审计是入侵检测的基础,为入侵检测提供必要的分析数据.在传统的网络安全审计与入侵检测系统中,需要由人工来定义攻击特征以发现异常活动.但攻击特征数据难以获取,能够预知的往往只是正常用户正常使用的审计信息.提出并进一步分析了一种基于支持向量描述(SVDD)的安全审计模型,使用正常数据训练分类器,使偏离正常模式的活动都被认为是潜在的入侵.通过国际标准数据集MITLPR的优化处理,只利用少量的训练样本,试验获得了对异常样本100%的检测率,而平均虚警率接近为0. 相似文献
10.
本文首先指出了将Agent技术应用于入侵检测系统的优势,依据入侵检测系统的特点给出了主机的状态转换图,并提出了一个入侵检测模型,该模型的主机中有数据异常检测Agent、特征提取Agent、数据一致性检测Agent、完整性检测Agent以及日志处理,Agent通过学习机制建立行为库,对行为库里的信息进行推理获得入侵规则信息并将其加入到入侵规则库.最后用Aglet技术对该模型进行了仿真和实现,得出基于Agent的入侵检测技术具有较高的检测率及较低的误报率。 相似文献
11.
12.
提出了一种基于安全空间数据库管理系统的动态审计策略模型。该模型不仅能够充分表达基于时间和空间的审计策略,还可以根据约束机制对系统用户行为进行实时监控。通过引入复合属性表达式,表达细粒度的审计策略。最后在自主开发的安全空间数据库管理系统Sec_Vista中,内嵌了审计规则触发模块、约束规则触发模块和日志触发模块,实现了本审计策略。 相似文献
13.
14.
安全数据库独立审计中心的设计与实现 总被引:1,自引:0,他引:1
安全审计是安全数据库的一个重要的组成部分。本文通过介绍OSCAR安全数据库中审计中心的结构以及相应功能。提出了满足结构化保护级的独立审计中心的设计方案。 相似文献
15.
Kumar A. Stonebraker M. 《IEEE transactions on pattern analysis and machine intelligence》1989,15(6):705-714
Results of a previous comparison study (A. Kumar and M. Stonebraker, 1987) between a conventional transaction manager and an operating system (OS) transaction manager indicated that the OS transaction manager incurs a severe performance penalty and appears to be feasible only in special circumstances. Three approaches for enhancing the performance of an OS transaction manager are considered. The first strategy is to improve performance by reducing the cost of lock acquisition and by compressing the log. The second strategy explores the possibility of still further improvements from additional semantics to be built into an OS transaction system. The last strategy is to use a modified index structure that makes update operations less expensive to perform. The results show that the OS will have to implement essentially all of the specialized tactics for transaction management that are currently used by a database management system (DBMS) in order to match DBMS performance 相似文献
16.
The EXODUS database toolkit, and in particular the E persistent programming language, have been used in two substantial database system implementation efforts by the authors, the Ariel database rule system and the Triton nested relation DBMS. An important advantage of using a persistent programming language for database system implementation is that it is easy to implement special-purpose persistent objects used by the DBMS such as catalogs, rule indexes, and nested relational structures. Support for transactions built into a persistent programming language greatly reduces the effort required to implement a database system. A disadvantage observed is that it is not possible to map the type system of the DBMS to the type system of the underlying programming language while still retaining good performance for ad hoc queries. Also, software engineering difficulties arise when a persistent language makes a distinction between database types and main-memory types. 相似文献
17.
Carey M.J. Jauhari R. Livny M. 《Knowledge and Data Engineering, IEEE Transactions on》1991,3(3):320-336
A performance model designed for studying active DBMS performance issues is described. The authors present the results of simulation experiments in which system performance was studied as a function of transaction boundary semantics for varying levels of data contention, rule complexity, and data sharing between externally submitted tasks and rule management tasks. The results demonstrate that the way in which transaction boundaries are imposed can have a major impact on the performance of an active DBMS. It is therefore concluded that this aspect of rule semantics must be carefully considered at the time that rules are specified 相似文献
18.
《Information and Software Technology》2000,42(3):159-170
Object Relationship Notation (ORN) is a declarative scheme that permits a variety of common types of relationships to be conveniently defined to a Database Management System (DBMS), thereby allowing the DBMS to automatically enforce their semantics. Though first proposed for object DBMSs, ORN is applicable to any data model that represents binary entity-relationships or to any DBMS that implements them. In this paper, we first describe ORN semantics informally as has been done in previous papers. We then provide a formal specification of these semantics using the Z-notation. Specifying ORN semantics via formal methods gives ORN a solid mathematical foundation. The semantics are defined in the context of an abstract database of sets and relations in a recursive manner that is precise, unambiguous, and noncircular. 相似文献