基于數(shù)據(jù)挖掘的入侵檢測方法及系統(tǒng)研究.pdf

1、入侵檢測是信息安全體系結(jié)構(gòu)中的重要一環(huán).計算機安全問題的日益突出,對入侵檢測系統(tǒng)(Intrusion Detection System,IDS)提出了更高的要求.當(dāng)前IDS的最大弱點是面對海量的審計記錄無法快速檢測入侵行為,并且誤報率之高嚴重影響了系統(tǒng)性能.該論文提出一種新的入侵檢測方法,并在此基礎(chǔ)上開發(fā)了基于網(wǎng)絡(luò)的異常入侵檢測系統(tǒng)(Network-based Anomaly Intrusion Detection System,NAI

2、DS)原型.在對既有基于數(shù)據(jù)挖掘方法的入侵檢測技術(shù)進行全面分析的基礎(chǔ)上,NAIDS從一個新的角度將關(guān)聯(lián)規(guī)則和分類技術(shù)應(yīng)用到網(wǎng)絡(luò)審計記錄數(shù)據(jù)中以檢測攻擊行為.在關(guān)聯(lián)規(guī)則挖掘上,建立了兩種挖掘模式:靜態(tài)挖掘模式、動態(tài)挖掘模式;實施兩個層面上的挖掘:單層面挖掘、領(lǐng)域?qū)用嫱诰?在分類引擎的構(gòu)建上,通過實驗綜合比較了主流分類技術(shù),并針對具體問題對決策樹分類方法進行了應(yīng)用上的改進,從而使得NAIDS系統(tǒng)具備一定的檢測新類型攻擊的能力,而這個特性正是

3、異常檢測的優(yōu)勢所在;所提出的增量式挖掘方法由于每次只監(jiān)測一個窗口的數(shù)據(jù)量,而不是批量處理網(wǎng)絡(luò)日志,所以非常適合在線挖掘,從而使得NAIDS在實時性上有較好的性能表現(xiàn).既有基于數(shù)據(jù)挖掘方法的IDS本質(zhì)上屬于誤用檢測范疇,采用關(guān)聯(lián)規(guī)則挖掘和頻繁情節(jié)挖掘的目的是用來描述入侵特征,規(guī)則分類器的使用是為了檢測入侵行為.NAIDS是第一個基于數(shù)據(jù)挖掘方法的異常檢測系統(tǒng),是第一個通過分類引擎來降低誤報率的入侵檢測系統(tǒng),是第一個提出滑動窗口技術(shù)實施在線

4、增量式挖掘的入侵檢測系統(tǒng).在工作原理上,動態(tài)滑動窗口技術(shù)的提出,保證了NAIDS可以做到實時監(jiān)測;分類引擎的引入,使得NAIDS可以保持較低的誤報率,由于分類引擎由多種性質(zhì)不同的主流分類算法組成,該文通過實驗方式詳細驗證了各種分類器在入侵檢測領(lǐng)域的性能問題.在DARPA1998、1999入侵檢測評估數(shù)據(jù)集上的大量實驗證明了該文方法的合理性和有效性.綜上,該文在一定程度上為解決當(dāng)前IDS所面臨的兩個嚴峻問題提供了一種經(jīng)實驗驗證的可行方案.