基于数据流挖掘的网络入侵检测系统的分析与研究-定稿(8)

（3）对数据流的建模

人们对数据流提出了很多模型来描述,包括时间序列、缓冲寄存器模型和十字转门[5]模型,我们使用最通用的十字转门模型。通过检测那些统计量有巨大变化的元素来发现异常。

流数据模型中，要体现的一个很重要的特点就是输入数据不能完全通过对存储介质的随机访问得到。传统的关系数据库中所有数据都是存储在磁盘上的。因此，对于数据流建模和传统的数据库建模之间存在着若干的区别：

①数据需要一个增量的表达方式，并且联机方式获得的数据某种意义上是主动的，新数据可以触发数据库系统的操作，而不仅仅是被动的相应用户的请求。

②需要考虑数据到达的顺序是不确定的。

③流数据的大小潜在无限，不能控制数据量的多少。

④由于数据的海量性，没有办法保存全部的数据。新到达的数据往往在被处理过以后丢弃，仅有少数被保存起来。因此，保存哪些数据、如何保存都要考虑从保存的有限数据中获得尽量多信息的需求。

⑤由于资源有限并且对时间有较高的要求，计算一个精确的结果通常不可能，往往得到的都是近似的结果。

3.2.3 零拷贝技术

目前 NIDS 常采用库函数 Libpcap 来实现网络数据包的捕获,其过程如图3-2所示。 在捕获数据包时,Libpcap首先调用网卡驱动程序获得数据包的拷贝,经过滤器过滤后将满足要求的数据包放入内核缓冲区。内核缓

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新教学研究基于数据流挖掘的网络入侵检测系统的分析与研究-定稿(8)全文阅读和word下载服务。