Abstract
Network intrusion detection systems have become a crucial issue for computer systems security infrastructures. Different methods and algorithms are developed and proposed in recent years to improve intrusion detection systems. The most important issue in current systems is that they are poor at detecting novel anomaly attacks. These kinds of attacks refer to any action that significantly deviates from the normal behaviour which is considered intrusion. This paper proposed a model to improve this problem based on data mining techniques. Apriori algorithm is used to predict novel attacks and generate real-time rules for firewall. Apriori algorithm extracts interesting correlation relationships among large set of data items. This paper illustrates how to use Apriori algorithm in intrusion detection systems to cerate a automatic firewall rules generator to detect novel anomaly attack. Apriori is the best-known algorithm to mine association rules. This is an innovative way to find association rules on large scale
چکیده
شبکه سیستم های تشخیص نفوذ تبدیل به یک مسئله بسیار مهم برای زیرساخت های امنیتی سیستم های کامپیوتری شده است. به منظور بهبود سیستم های تشخیص نفوذ روش های مختلف و الگوریتم های توسعه یافته و پیشنهادهایی در سال های اخیر داده شده است. مهم ترین مسئله در سیستم های فعلی این است که آنها ناتوان در تشخیص حملات رمان ناهنجاری هستند. این نوع از حملات به هر عملی که بصورت قابل توجهی آن را از رفتار طبیعی منحرف کند برمی گردد که به عنوان نفوذ درنظر گرفته می شود. در این مقاله یک مدل پیشنهاد به منظور بهبود این مشکل بر اساس تکنیک های داده کاوی انجام می گیرد. الگوریتم APRIORI برای پیش بینی حملات جدید و ایجاد قوانین زمان واقعی برای فایروال استفاده می شود. الگوریتم APRIORI استخراج روابط همبستگی جالب در میان مجموعه ای بزرگ از اقلام داده می باشد. این مقاله نشان می دهد که چگونه از الگوریتم APRIORI در سیستم های تشخیص نفوذ برای ایجاد یک قانون فایروال مولد خودکار برای تشخیص حمله ناهنجاری جدید استفاده می شود. APRIORI الگوریتم های شناخته شده برای قوانین وابستگی خودمانی است. این یک راه ابتکاری برای پیدا کردن قوانین وابستگی در مقیاس بزرگ است.
1-مقدمه
نفوذ به هر مجموعه ای از اقداماتی است که برای سازش یکپارچگی، محرمانه بودن و یا در دسترس بودن از یک منبع تعریف شده تلاش می کند. تشخیص نفوذ به دو نوع طبقه بندی شده است: تشخیص نفوذ سوء استفاده و تشخیص نفوذ ناهنجاری [1].
تشخیص سوء استفاده در اقدامات حمله شناخته شده است. در این روش ویژگی ها از نفوذ شناخته شده استخراج گردیده و قوانین از پیش تعریف شده است. نقطه ضعف مهم این روش جدید یا حملات ناشناخته این است که نمی توانند تشخیص داده شوند....