網(wǎng)站入侵檢測研究.pdf

1、隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)入侵行為的模式、載體、類型都在不斷發(fā)生新的變化,因此主動發(fā)掘并分析異常數(shù)據(jù)并維護(hù)網(wǎng)絡(luò)平臺安全有著重要意義。入侵檢測是當(dāng)今網(wǎng)絡(luò)平臺安全不可或缺的組成部分,對維護(hù)網(wǎng)絡(luò)安全穩(wěn)定有著重要的意義。當(dāng)前主流的商業(yè)入侵檢測系統(tǒng)基本遵循兩種模式:濫用檢測和異常的檢測。兩者都依賴于攻擊特征知識庫的建立,而網(wǎng)絡(luò)環(huán)境的瞬息萬變,新的網(wǎng)絡(luò)攻擊不斷產(chǎn)生,依賴攻擊特征知識庫的檢測模式開始展現(xiàn)其弱勢,即知識庫的更新速度落后與新網(wǎng)絡(luò)攻擊的產(chǎn)生速

2、度。另一方面,由于對網(wǎng)站的攻擊有可能來自于網(wǎng)站內(nèi)部,因此為了實現(xiàn)網(wǎng)絡(luò)平臺的安全,通過數(shù)據(jù)庫的訪問審計日志進(jìn)行入侵行為檢測已經(jīng)成為當(dāng)前的入侵檢測領(lǐng)域的一個熱點。本文研究的重點分兩部分:無監(jiān)督入侵檢測算法的改進(jìn)和增量序列模式挖掘的數(shù)據(jù)庫入侵檢測算法的設(shè)計。
　　本文首先介紹了課題的背景和研究現(xiàn)狀,其次介紹了入侵檢測系統(tǒng)的總體概要、基本原理和當(dāng)前的各種分類,著重研究了基于數(shù)據(jù)挖掘技術(shù)的入侵檢測成果,并介紹了相應(yīng)解決方案的基本原理。

3、>　　針對傳統(tǒng)檢測模式依賴知識庫從而導(dǎo)致更新速度落后的特點,本文提出了基于FCM-Vote(FCM-Vote based algorithm)的無監(jiān)督網(wǎng)絡(luò)入侵檢測方法。它通過捕捉主干網(wǎng)絡(luò)上的異常時間片,并對時間片內(nèi)的數(shù)據(jù)流特征進(jìn)行聚類分析。根據(jù)聚類分析的結(jié)果,系統(tǒng)將對數(shù)據(jù)流進(jìn)行甄別并過濾可能隱藏網(wǎng)絡(luò)攻擊的數(shù)據(jù)流。本文建立了基于FCM-Vote的無監(jiān)督網(wǎng)絡(luò)入侵檢測系統(tǒng)模型,并付諸于具體實驗。實驗證明,基于FCM-Vote的網(wǎng)絡(luò)入侵檢測方法

4、在檢測數(shù)據(jù)量不斷增加的情況始終保持了95％以上的入侵行為檢出率,同時相比依賴知識庫的傳統(tǒng)異常檢測方法可以在海量數(shù)據(jù)的檢測中保持不高于3％的誤報率。
　　針對數(shù)據(jù)庫惡意行為檢測過程中誤報率高和規(guī)則集構(gòu)建算法效率低下的問題,本文提出的基于增量序列模式挖掘的數(shù)據(jù)庫入侵檢測,利用數(shù)據(jù)庫的歷史正常審計數(shù)據(jù)構(gòu)造規(guī)則集,實現(xiàn)了數(shù)據(jù)庫入侵檢測。實驗證明,在對不同的SQL操作語句進(jìn)行異常檢測實驗時能將誤報率限制在2.31％-4.58％之間,相比對參

5、數(shù)敏感的傳統(tǒng)方法具有更好的自適應(yīng)性。同時,本文進(jìn)行了算法執(zhí)行效率的比較,結(jié)果表明基于增量序列模式相比其他算法在數(shù)據(jù)庫入侵檢測中有著更出色的適應(yīng)性。實驗結(jié)果顯示,在設(shè)定最小支持度為7％且單線程的情況下,在序列集增長到3000條以上后傳統(tǒng)方法需要10s左右時間開銷而本文方法則將因此引起的時間開銷控制在了1s以內(nèi)。
　　本文的研究依托浙江省重大項目“基于云計算感知的Web漏洞防護(hù)系統(tǒng)”課題,研究成果可為網(wǎng)絡(luò)平臺安全體系的構(gòu)建提供技術(shù)支撐