1、基于數據挖掘的入侵檢測作者 Su-Yun Wu, Ester Yen摘要：隨著網絡的流行，網絡攻擊事件不斷增加，攻擊方法也是日新月異。所以信息安全問題在全世界成為了一個很重要的課題。如今，我們急切需要一種有效的檢測、確認以及控制這種攻擊的方法。本次研究主要比較機器學習方法的在入侵檢測系統中的有效性，這其中還包括分類樹和支持矢量機器，希望能給未來的入侵檢測系統的建立提供參考。在對其他基于數據挖掘的入侵檢測系統的相關工作進行對比之后，我們用不同攻擊比率的正常數據樣本計算出平均值，這也使我們以一個更高的精確率觀測到現實中的數據。我們還比較了在受到4種不同攻擊類型時系統的精確度、檢測度、誤警率。另外，

2、特別是在U2R型個R2L型攻擊下，我們提出的方法的性能和表現要比KDD Winner好。關鍵字：分類樹，支持向量機器，網絡攻擊，入侵檢測系統（IDS）1.引言最近幾年，隨著網絡和個人計算機的流行，網絡的使用率也隨之上升。這也大大的改變了人們的生活。很多人通過網絡學習、創造、交流和購物。除了普通百姓、企業結構以及商業模型由于網絡的出現而經歷了轉變之外，大型企業個政府為了實現管理的目的個效率，法展了許多依賴于網絡的應用和服務項目；這些都是在新時代無法抵抗的趨勢。然而，盡管網絡帶來了方便，但也隨之帶來了信息安全問題；例如：服務器被攻擊或癱瘓，內部數據和信息被盜取等等。這些事情的發生，必將導致在財務和

3、商業信譽上的巨大損失。例如：在2000年，美國雅虎受到了Dos攻擊，服務器癱瘓了近三個小時，一億用戶受到影響，至于損失已經打到無法計算。其他著名的商業網絡，如CNN、eBay、A以及B等等都遭到過網絡攻擊。由于網絡的便利性，接觸到攻擊知識和方法是很容易的。因此，當前，黑客們不需要擁有很廣闊的專業知識。每一年，網絡攻擊事件都處在一個大幅度上升的趨勢。通過從美國計算機緊急回應團隊/合作中心（CERT/CC）（/）得到的數據.最近幾年，每年的網絡攻擊事件都呈指數趨勢增長；通過有關信息安全（.tw/）的報告, 網絡攻擊已經成為一種新的世界戰爭的武器。此項報告中，中國

4、軍事黑客對攻擊美國航空母艦戰斗組已經開始了計劃，目標是使之因為網絡的故障而失去戰斗能力。這個信息反映出我們當前急需一種有效的確認和控制網絡攻擊的方法。一般的企業采用防火墻來作為網絡安全的第一道防線，但是防火墻的主要功能是監視網絡的訪問行為，它在檢測網絡攻擊上能力是很有限的。所以，入侵檢測系統，IDS一直被應用于檢測網絡的范圍內，并且證明了IDS有給信息安全提供保護的能力。IDS表面上看來像網絡監視和報警裝置，一種觀測和分析網絡攻擊是否發生，并在被攻擊之前發送警告，然后執行一種相應的應付措施來降低巨大損失出現的可能的裝置。另外，一些技術是基于種低誤判率的模式檢驗，但這種基于模式的方法需要按周期升

5、級，所以它對未知的和更新的攻擊方法沒有足夠的檢測能力。最近，一些研究人員開始應用數據挖掘技術和機器學習技術。這種技術可以分析大量的數據并且在對未知攻擊的檢測能力上有很好的表現。盡管一些學者們已經取得了一些成就，但在這一方面還存在著很大的發展潛力。那么，在一個絕大多數狀態相同的環境下，被應用于入侵檢測的不同的機器學習方法的效率到底怎么樣；除了提出過的方法，還有沒有其他的方法？因此，本次研究將要比較被應用于入侵檢測的不同機器學習方法的效率，包括分類樹，支持向量機器等等，希望能為未來入侵檢測系統的建立提供參考。研究的進程在圖1中。2.背景回顧2.1 入侵檢測系統的介紹入侵檢測系統的概念第一次被提出是

6、在Anderson（1980）的一個技術報告中，他認為計算機審查機制應當可以靈活變化的且可以提供給計算機對內部危險和威脅一個安全的防御技術。他進一步提出統計學方法應該應用于分析用戶的行為和監測違法接入資源系統的偽裝者。在1987年，Dorothy提出一個入侵檢測系統的模型：IDES（入侵檢測專業系統），之后，入侵檢測系統的概念逐漸被人們所知，并且他的論文他也成為了在入侵檢測系統領域中一個非常重要的里程碑。隨后，不同形式的入侵檢測系統被人們提出，如：Discovery， Haystack， MIDAS， NADIR，和，等等（，）。入侵檢測系統是監測和控制發生在計算機系統或網絡系統中所有可能的情

7、況，分析與安全問題有關的信號，在發生安全問題事發送警告，并且通知相關體系采取措施以降低危險系數（，）。這個框架由三部分組成（，）：. 信息采集：數據采集：采集的數據源在位置上可以分為主機、網絡、應用。. 分析引擎：分析引擎是能夠分析是否出現了入侵現象。. 回應：在分析后采取行動，記錄分析結果，發送實時警告，或調整入侵檢測系統等等。圖1.入侵檢測系統的分類總的來說，對于入侵檢測系統有兩種分類方法：. 從數據來源上看，入侵檢測系統包括基于主機和基于網絡的。. 從不同的分析方法上來看，入侵檢測系統包括濫用檢測和異常檢測。下面對這些入侵檢測系統的優點和缺點做一下簡要的介紹。（）按不同信息源分類：l （

8、基于主機的）（，）：這種數據是來源于主機的不同的活動記錄，包括操作系統的審查記錄，那個用系統日志，應用程序信息等等。拿操作系統為例，它的事件日志機制搜尋和收集三種不同形式的系統事件：操作系統事件，安全事件和應用事件；其中應用程序信息的例子如下：基于數據系統，服務器等等。下面是它的的優缺點（，）：優點： 它可以更精確的檢測出主機是否被入侵。由于它的數據來源于審計記錄系統和主機日志系統，與基于網絡的入侵檢測系統相比，它可以精確的判斷出主機是否被網絡攻擊或入侵。 它可以檢測到加密環境下的網絡入侵, 那是因為從文件系統中來的數據以及被加密傳輸的網絡數據是在主機中被破譯的。所以，數據不會受到攻擊。 它不

9、需要其他額外的硬件系統：它只需要把監控系統安裝到特定的主機中，而不用額外的硬件設施。 缺點：. 較高的開支：追蹤系統必須被安裝在每一個主機中；由于主機不同，審查文件和日志形式也有所不同，所以每一個主機要求要有不同的入侵檢測系統。. 它會影響監控系統對主機的檢測效率：檢測系統在監控時的評定會占用主機系統的資源空間。l （基于網絡的入侵檢測系統）（Bace，2002）：它的數據主要是收集了在網絡信息流片段中的網絡分類流，如：網絡包。它的缺點和有點如下所述：優點：. 低開支：只有基于網絡的入侵檢測系統可以檢測到所有在廣域網中的攻擊，它的花費僅僅是在這個手段上。. 它可以檢測到一些基于主機的入侵檢測系

10、統無法檢測到的攻擊：如Dos， Ddos。缺點：. 流量大，一些數據包可能丟失，且不能檢測到在網絡中所有的數據包。. 在大容量的網絡中，它需要更快的CPU和更多的存儲空間來分析大量的數據。. 它不能處理加密的數據包，同時也不能接收到在加密數據包中的攻擊信息。（b）基于不同分析方法的分類：n 濫用檢測（Bace, 2002）：它也被叫做基于簽名的檢測，它可以將攻擊特征或者違反條例的信息轉化成基于轉化的下簽名或規則，然后將這個信息存儲到簽名數據庫中。判斷是否受到攻擊，先前判斷數據首先會和簽名數據中的簽名進行比較，那些確認為攻擊簽名的數據將會判斷為攻擊。它的優點是較高的檢測率和較低的誤警率；然而，它

11、對于未知的入侵方法的檢測能力低，攻擊數據庫需要周期性更新。n 異常檢測（Bace，2002）：它可以先建立一個用戶正常行為的文件，它的來源可以是先前階段用戶行為的統計數據；當檢測工作時，這個文件中的數據會和真實的用戶數據比較，如果差值超過門限值，用戶的行為將被視為異常。異常檢測是基于這樣一個假設：入侵行為是與正常行為不同的。這種檢測方法檢測率高，且更容易檢測到未知的攻擊，當它的誤判率也很高。n 混合方法：濫用檢測的優點是誤判率低，但對于未知攻擊檢測能力低；相比之下，異常檢測擁有對未知攻擊的檢測能力，但誤判率卻很高。如果說兩種方法結合起來，它們可以互補缺點，如：MINDS, EMERALD,Pr

12、elude等等。2.1.2現有的分析方法 下面描述了用于入侵檢測系統中的現有的分析方法。（Bace，2002；Lu，Boedihardjo & Manalwar,2005；Patcha & Park，2007；Verwoerd & Hunt, 2002）：n 狀態轉換分析（llgun,kemmerer,& Porras, 1995）:狀態檢測主要用于描述發生的事件間的關系，常被用在濫用檢測當中。n 統計方法：統計方法用于建立正常行為模型，其中包括：門限值，中值和標準差，多形式模型，簇和檢測輪廓。n 神經網絡: 在檢測之前，有時需要訓練，檢測可以在建立模型后開始，

13、它包括：后繁殖，SOM（自我組成圖）等等。n Bayesian 網絡（BenAmor， Nahla， Benferhat Rue， Salem,& Elouedi，2004）：圖表方法被應用于表達多樣化之間的關聯；當檢測開始時，條件概率用來計算合適的檢測值。n 基于規則的：行為或模式被表達為規則方法，那些與規則相一致的被判定為攻擊。它通常用在濫用檢測當中。n 數據挖掘（機器學習）方法：它包含了Markov處理模型（Kuo-Hua Yang，2006），分類樹（Ben Amor et al., 2004; Yu-Shan Yang, 2006）,支持向量機器，關聯規則，；鏈接分析，數列分

14、析等等。n 其他方法：其他方法包括免疫系統方法（Aickelin, Greensmith, & Twycross, 2004）, 運算法則分類，基于agent 的檢測等等。2.2機器學習機器學習（/wiki/Machine_Learning）是一個人工智能的分支，主要目的是通過一些技術使計算機具備自主學習的能力。它重點研究的方向是如何用計算機和統計學的方法去從龐大的數據當中挑出有用的數據。所以，機器學習和數據挖掘與統計學方法和計算機科學理論有著密切的聯系。現今，機器學習被廣泛的應用于不同的領域當中，如：指紋差異，搜索引擎，藥物診斷，市場關聯分

15、析，發音和手寫識別，計算機圖像等等。下面列出了常用的機器學習技術（Alpaydin，2004）：l Bayesian 決策理論l 多樣性方法l 簇l 分類樹l 線性識別l 多層次觀察l 本地模型l Hidden Markov模型l 強化學習2.3分類樹分類樹是在機器學習當中的一種預測模型，也被稱為決策樹。它是一種樹形狀的圖，與表的結構相似；任何一個內部節點是一個性質測試，每一個樹枝代表檢測結果，最后葉子上的節點代表不同形式的狀態分配。在分類樹中最基本以及最常用的運算法則是ID3和C4.5（Quinlan，1993）。這是兩種建立樹的方法，從下到上樹的結構和從下到上修剪，ID3和C4.5都屬于從

16、下到上樹的結構；它們的運算法則表述如下：. 所有樣式的訓練數據都被放在分類樹的根部。. 如果一個節點中沒有包含任何數據，或者數據中的節點屬于同一種類型的，這個節點將成為空葉，或者所有形式的葉成為同一種類型。如果一個節點中包含多個形式，必須評估所用數據的性質，其方法是通過個別的確認功能以及適當的性質挑揀。通過在節點中的屬性值和形式，將它們分成N部分，每一個部分都是一個連接根部節點的新節點。這個過程叫做節點分裂。. 在節點分裂之后，判斷這些節點是否是樹葉；如果不是，新的節點成為根部的分支樹，其用來構成新的分支樹。. 重復以上步驟直到所有新節點都成為樹葉。決策樹通過這種形式引導方法可以完全分類不同形

17、式的訓練數據。在第二步的評估功能通用非純凈功能評價；在用非純凈方法計算后，最高值的的特性將被挑選出來。非純凈功能包括：假設S是由樣本數據s組成的一個數列，其包含帶有m個不同下標的Ci（i=1，, m），si是在數列S中的帶有Ci類型的例子。Pi是任何一個樣本數據屬于Ci類型數據的概率，命名為si/S;再次假設性質A包含v個子數列，Sj代表一個數列在數列S中含有連續j個aj樣本數據具有性質A。當一個性質被挑選為測試性質，它將包含Sj中的元素，v代表類型Ci。l 平均信息量功能: (用于ID3和C4.5中)l 收到的信息量：Gain（A）=I（T）-E（A）。其中I（T）= E（A）=l 收到的信

18、息率：GR（A）= 。其中I（A）=l Gini功能：Gini（T）=1- 。在樹被建立之后，為了防止過大，建立起來的分類樹需要被修剪，常用的方法有兩種（Han & Kamber，2006）：修剪在前：在樹的建立中，設置一個門限，當分岔點的狀態高于門限值時，從分岔點開始停止建立樹。修剪在后：當完成樹的建立后，再修剪它。通常的方法包括替換分支樹和增長分支樹：修剪的評估原則包括錯誤評估，重要點測試等等。最后，在樹被建立和修剪之后，規則將通過樹來產生，如圖2所示。 我們在實驗中用C4.5型。圖22.4 支持矢量機器支持矢量機器是由Vapnik所提出的（1995）；最近，它被廣泛的應用于各種領

19、域當中，它也成為在機器學習領域中一個非常流行的方法。2.4.1. 最優化的分隔超平面首先，我們先用線性分隔為例。假設現在有兩種類型的分類問題，用標志r來區分。它的數列是X,Xt的一個矢量，所以在數據中有一個數列，支持矢量機器是尋找一個能根據類型不同來分隔這些數據的超平面。用如下的圖舉例。它是尋找w 和b 兩個參數，這兩個參數可以用L2=wx+b來區分開兩種類型。在分類后，我們需要wx+b的值，如果它大于0，他將是+1；如果小于0，它將是-1（如圖三所示）。支持向量機器是找到一個距離任何一個數據最遠的超平面，這樣可以減小錯誤率。圖四所示數據和超平面的距離。支持向量機器必須滿足如下狀態：wXt+b

20、>+1,wXt+b<-1它也可以寫成rt(wXt+b)>+1.我們需要讓Xt和超平面之間的距離大于p，使p最大。為了得到特別值，使p|W|=1;這個等式可以轉換成二次方程最優化問題：Min1/2|W|2 圖3圖42.4.2.非線性分隔的情況當在非線性分隔情況時，基本功能（X）可以被應用，使原始的非線性坐標特性被轉化成線性特性坐標，然后用線性方法計算，如圖5所示。用過基本功能之后，辨別功能會有一個基本功能的內在產物 和另外一個功能K（x,x）被用于替換基本功能，這個功能叫做核心功能。圖53.系統結構l 系統結構圖研究的流程圖如圖6所示。圖6l KDD Cup 99數據研究中數據

21、的來源從KDD Cup 99中得來的，它最開始是用在第三代國際知識探索和數據挖掘工具競爭方面。這個數據是經過挑選和整理美國空氣阻力的DARPA數據而來的，由美國哥倫比亞大學在1998年提出的。它被用于評估入侵檢測算法的效率。所以，在本次研究中也應用這個數據。在訓練數據中，將近有4940000種數據，10%的數據被提供；在測試數據中，有3110291種數據，且在每種網絡連接記錄中，總共47中類型的網絡連接特性（特性分為連續數據和非連續數據）。它的特性可以主要分為三種類型：網絡連接的基本特性，網絡連接內容的特性，網絡傳遞的特性；數據形式包括名義上的，雙重性的，數字的。由附錄1來做進一步說明性質細節

22、。在訓練信息中有23種類型的攻擊，在測試數據中有37種類型的，比訓練信息多14種，所以訓練信息可以評價檢測未知攻擊的能力。在測試信息中，攻擊可以大體被分為以下幾種類型：l 探索型：直白的說，它不應該被稱為真的攻擊，但它是在攻擊開始前的一個準備步驟。攻擊者經常利用探索獲得信息，檢測目標和操作系統的類型。l Dos（服務拒絕）：這種攻擊可以停止用戶操作，服務器不能提供服務。這種攻擊通常復制所有服務器的系統資源或者復制帶寬并使系統資源癱瘓，使操作系統停止。一般的攻擊包括SYN Flooding，Ping Flooding等等。l U2R（用戶獲得根）：在這種攻擊中，用戶利用系統漏統的優勢來得到合法的

23、管理者的資料。例如：Buffer Overflow就在其中。l R2L（獲取遠程文件）：這種攻擊利用為用戶提供服務的優勢，獲取相關的安全設置和用戶的加密文件，如：Unicode leak，SQJInjection等等。表1列出了攻擊的形式和類型。表1表2列出了在訓練數據和10%的kddcup.data_10_percent.gz.中不同數據的百分比。表2l 數據處理本次研究想在不同的環境下比較C4.5和SVM的效率。由于KDD Cup 99的數據過于龐大，各種各樣的數據被分配的不平均，所以研究將會對訓練數據（kddcup.data_10_percent.gz.）和測試數據取樣。根據正常的比例，

24、挑選10000組數據，使正常比例分別為10%，20%，90%；其他的數據，我們命名為攻擊數據，把他們平均并取樣。除了取樣，C4.5軟件Weka 3.5.6應用于訓練階段，其輸入形式為arff;SVWare 軟件的應用是由臺灣大學信息工程學院的一個教授開發的Lib-svm,其輸入形式也是特定的，因此所有數據的形式都可以被轉換。Weka3.5.6 也可以傳遞信息給SVM形式。所以研究應用Weka 軟件來轉換。l 訓練和測試在處理數據之后，訓練和測試就可以開始了。在Weka中的C4.5功能是J48,需要設置一些參數，包括降低錯誤修剪，信任因素，最小對象數目。Libsvm的訓練階段也需要設置參數，用巨

25、蛇程序找到最優化的參數:gridpy.它是用來在本次研究中找到最好參數的方法。. 分析與評估攻擊的檢測和識別以及非攻擊的行為可以大體歸納如下表3中：l 真正（TP）：真正發生攻擊時檢測到的攻擊。l 真反（TN）：正常情況下檢測到的正常情況。l 錯正（FP）：正常情況下檢測到的攻擊。也叫做誤警。l 錯反（FN）：真正發生攻擊時檢測到的正常情況。也叫做可以被入侵檢測系統檢測到的攻擊。表3如今，入侵檢測系統需要高檢測率和低誤警率，所以論文中比較了精確率，檢測率和誤警率，并且列出了不同攻擊下的結果對比。l 精確率對比精確率涉及到在總數據中，屬于精確型數據的比例，也叫做TP和TN狀態，所以精確率為： 精

26、確率=表4列出了用原始標簽分類的結果比較。圖7為折線圖。這兩種方法在精確度上并沒有太大的差異；然而，當正常數據所占的比例小時，C4.5優于SVM；當正常數據的比例大時（>70%），它們的精確率近乎相同，但SVM 好些。通過平均，C4.5要比SVM稍微好些。圖7l 檢測率比較檢測率涉及到檢測到的攻擊和所有攻擊的比，形態為TP，所以檢測率為： 檢測率=表5列出了C4.5和SVM之間的檢測率比較結果。圖8為折線圖。 圖8在檢測率上，C4.5隨著正常數據的比例不同而下降，但SVM的變化卻不定。整體來說，C4.5的曲線要高于SVM；顯然，它的檢測率要好于SVM。通過平均，C4.5超過SVM將近12

27、%。l 誤警率比較誤警率涉及到正常數據被錯誤的檢測為攻擊，按名稱，是FP形態，所以誤警率為：誤警率=表6列出了C4.5和SVM之間的誤警率的比較。圖9為折線圖。圖9表5表6在誤警率的比較中，SVM只有在正常數據比例為30%，50%和60%時才劣于C4.5，其他情況下都要優于C4.5。通過平均值，SVM在誤警率方面要好于C4.5。4.4不同攻擊之間的精確率比較不同攻擊下的精確率涉及到數據的類型被正確劃分的比例。在論文中用了四種類型攻擊，它們是Probe，Dos，U2R，R2L。表7列出了用C4.5和SVM兩種方法，在不同攻擊下的精確度比較結果；表中兩個數據上面的為C4.5的精確信息，下面的為SV

28、M的精確信息。從表格中，你會知道l 對于探索攻擊：當正常數據的比例為20%，50%和90%時，SVM的精確率要比C4.5好，但不高于4%；然而在其他環境下，C4.5的精確率超過了SVM將近10%.顯然，在這種攻擊中，C4.5的精確率要好于SVM。l 對于Dos攻擊：當正常數據的比例低時，SVM要好些；然而，當正常數據的比例超過40%時，C4.5要比SVM好，特別是在正常數據的比例為40%，60%和70%時。l 對于U2R攻擊：總體來說，C4.5要比SVM好。l 對于R2L攻擊：通過平均值，在精確率上兩種方法的近乎相同。當正常數據的比例為10%，30%，50%和90%時，SVM好些，其他情況時C

29、4.5好些。l 通過平均值，除了在R2L攻擊下兩者的精確率差不多，其他攻擊下C4.5在精確率上要優于SVM。表7最后，論文中得到的平均結果與從KDD Cup 99 winner 中得到的數據相比較，比較結果在表8中。我們可以看到，KDD Winner的檢測率在Dos攻擊中很高，當在U2R和R2L攻擊中，卻比C4.5和SVM差。表8. 結論和建議5.1 結論論文比較了在正常數據的不同比例下的不同攻擊的精確率，檢測率，誤警率。KDD Cup 99數據是當前在入侵檢測中的基準數據；然而，它的的數據分配的不均勻。本次研究用了不同的正常數據的比例來做訓練和測試，最終得到一個平均值，希望能得到更多目標結果

30、。從比較C4.5和SVM的結果看，我們發現C4.5在精確率和檢測率上要比SVM優越；在檢測探索，Dos和U2R攻擊的精確率上，C4.5也要好于SVM；但在誤警率方面，SVM要好些。5.2 未來研究建議l 數據KDD Cup 99在當前很流行的被應用于入侵檢測系統當中；然而，它是1999年的數據，網絡技術和攻擊方法更新的很快，它不能反映現今真實的網絡狀態。所以，如果更新的信息被加入和測試，它們可以更精確的反應現今的網絡狀態。l 經過測試和比較，C4.5的檢測率和精確率要高于SVM，但是SVM在誤警率方面要好些；如果我們可以把兩種方法組合起來，整體的精確率會有很大的提高。l 在樣本中，研究假設了攻

31、擊數據和正常數據是平均分配的，這當然不能得到最優化的結果，在這一點上，在未來應該有所提高和加強論證。l 在研究中，C4.5的參數設置不是最優的，所以未來的工作可以通過C4.5的參數和不同的訓練數據來優化參數。l 被應用在研究中的SVM用built-in grid.py來優化它的參數，這需要將近兩個小時去尋找研究中的10000組數據的參數；然而這是不合適的，因為在入侵檢測系統當中需要實時性。在未來的研究中應當找到一種可以快速選擇出最優化的檢測方法。參考文獻Aickelin,Uwe,Greensmith,Julie,&Twycross,Jamie(2004).Immune systemap

32、proaches to intrusion detectionA review.Berlin,Heidelberg:Springer.Alpaydin,Ethem(2004).Introduction to machine learning.MIT Press.Anderson,James P.(1980).Computer security threat monitoring and surveillance,technical report,James P.Anderson Co.,Fort Washington,Pennsylvania.Bace,Rebecca G.(2002).NIS

33、T special publication on intrusion detection systems.Ben Amor,Nahla,Benferhat Rue,Salem,Elouedi,Zied.(2004).Na¨?ve Bayes.vs.decision trees.In:Symposium on applied computing proceedings of the 2004 ACMsymposium on applied computing.Confusion Matrix.<http:/www2.cs.uregina.ca/dbd/cs831/notes/co

34、nfusion_matrix/confusion_matrix.html>.Dorothy,Denning.1987.An intrusion detection model.IEEE Transaction on SoftwareEngineering.Event Monitoring Enabling Responses to Anomalous Live Disturbances(EMERALD).Ertoz,L.,Eilertson,E.,Lazarevic,A.,Tan,P.,Srivastava,J.,Kumar,V.,et al.(2004).TheMINDSminneso

35、ta intrusion detection system.Next generation data mining.MITPress.Han,J.,&Kamber,M.(2006).Data mining:concepts and techniques(2nd ed.).MorganKaufmann Publishers.Ilgun,K.,Kemmerer,R.A.,&Porras,P.A.(1995).State transaction analysis:A rule-based intrusion detection approach.IEEE Transaction on Software Engineering,21(3).Jiang,Sheng Yi et al.(2006).A clustering-based method for unsupervised intrusiondetections.Pattern Rec