基于數(shù)據(jù)挖掘的網(wǎng)絡安全審計技術(shù)的研究與實現(xiàn).pdf

1、網(wǎng)絡攻擊問題隨著網(wǎng)絡的普及而日益突出.入侵檢測技術(shù)通過對網(wǎng)絡安全審計數(shù)據(jù)進行分析和處理來發(fā)現(xiàn)網(wǎng)絡中的入侵活動和入侵者,在網(wǎng)絡安全領域起到了重要的作用.其關(guān)鍵和核心內(nèi)容是進行網(wǎng)絡安全審計.網(wǎng)絡安全審計的目的是實時地、不間斷地監(jiān)視整個網(wǎng)絡系統(tǒng)以及應用程序的運行狀態(tài),及時發(fā)現(xiàn)系統(tǒng)中可疑的、違規(guī)的或危險的行為,進行報警和采取阻斷措施,并留下記錄.但目前在安全審計過程中普遍存在著檢測準確率低、檢測速度慢和自適應性差等問題.為了解決這些問題,該文提

2、出了基于數(shù)據(jù)挖掘的網(wǎng)絡安全審計系統(tǒng)的方案并加以實現(xiàn).該文首先研究了課題的現(xiàn)狀與發(fā)展趨勢,介紹了網(wǎng)絡安全審計和數(shù)據(jù)挖掘技術(shù)的基礎知識.其次根據(jù)目前網(wǎng)絡安全審計中存在的問題提出了基于數(shù)據(jù)挖掘的網(wǎng)絡安全審計系統(tǒng)的實現(xiàn)方案并建立了系統(tǒng)模型圖.再次,針對不同類型的攻擊,綜合運用多種不同的數(shù)據(jù)挖掘方法,實現(xiàn)了準確高效地對入侵和異常行為的檢測.最后,將該系統(tǒng)與Snort系統(tǒng)在相同的軟、硬件環(huán)境和相同的測試數(shù)據(jù)下進行了對比運行實驗.該文將基于主機和基于

3、網(wǎng)絡的數(shù)據(jù)源相結(jié)合來發(fā)現(xiàn)入侵,減少了因為單一的數(shù)據(jù)在判斷入侵的過程中呈現(xiàn)的不確定性,并綜合運用多種數(shù)據(jù)挖掘技術(shù),以提高入侵檢測的效果.同時,對傳統(tǒng)的關(guān)聯(lián)技術(shù)中尋找頻繁項集的Apriori算法進行改進,減少了待掃描候選項集中候選項的數(shù)量,有效地提高了尋找頻繁項集的速度.通過該系統(tǒng)和Snort對比運行實驗證明了方案的合理性與有效性:基于數(shù)據(jù)挖掘的網(wǎng)絡安全審計系統(tǒng)比Snort在準確率和自適應能力上具有明顯優(yōu)勢;而當數(shù)據(jù)量較大時(22000條記