基于頻繁模式挖掘的入侵檢測(cè)關(guān)鍵技術(shù)的研究與實(shí)現(xiàn).pdf

1、傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如加密、防火墻、認(rèn)證等只是一種靜態(tài)的網(wǎng)絡(luò)安全技術(shù),不能適應(yīng)當(dāng)前動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境,于是作為一種動(dòng)態(tài)網(wǎng)絡(luò)安全技術(shù)的入侵檢測(cè)技術(shù)這幾年來(lái)開(kāi)始引起人們的重視,成為當(dāng)前網(wǎng)絡(luò)安全技術(shù)研究的一個(gè)熱點(diǎn).然而由于入侵檢測(cè)技術(shù)本身的復(fù)雜性和不成熟性,在當(dāng)前的大規(guī)模、分布式和高速網(wǎng)絡(luò)環(huán)境中還存在很多的問(wèn)題,這些問(wèn)題如果得不到解決的話(huà),將嚴(yán)重影響入侵檢測(cè)技術(shù)的可用性和發(fā)展前景.該文在對(duì)現(xiàn)有主機(jī)和分布式入侵檢測(cè)系統(tǒng)的分析與研究的基礎(chǔ)上,深入研

2、究了將數(shù)據(jù)挖掘方法應(yīng)用于主機(jī)日志檢測(cè)和分布式入侵檢測(cè)的報(bào)警信息分析、關(guān)聯(lián)、規(guī)則產(chǎn)生的可行性,并先后實(shí)現(xiàn)于基于主機(jī)的入侵檢測(cè)和分布式的入侵檢測(cè)上,詳細(xì)闡述了挖掘方法的實(shí)現(xiàn).主要包括:(1)研究并實(shí)現(xiàn)了基于主機(jī)的異常檢測(cè)模型,應(yīng)用系統(tǒng)日志作為數(shù)據(jù)源,對(duì)用戶(hù)及系統(tǒng)正常行為數(shù)據(jù)進(jìn)行挖掘、分析,生成異常檢測(cè)模型,并依據(jù)此模型進(jìn)行檢測(cè).實(shí)現(xiàn)了頻繁模式庫(kù)更新,管理員可以定期更新頻繁模式庫(kù);新日志檢測(cè),對(duì)待檢測(cè)日志與頻繁模式庫(kù)的數(shù)據(jù)進(jìn)行匹配;懷疑數(shù)據(jù)的

3、分析,對(duì)于懷疑數(shù)據(jù)通過(guò)頻繁模式挖掘進(jìn)行分析.(2)研究并實(shí)現(xiàn)了分布式入侵檢測(cè)報(bào)警信息的融合與關(guān)聯(lián),利用關(guān)聯(lián)規(guī)則中的頻繁模式挖掘技術(shù),對(duì)相似或關(guān)聯(lián)數(shù)據(jù)進(jìn)行進(jìn)行聚類(lèi)、合并和壓縮,從而減少報(bào)警數(shù)量并過(guò)濾了大量的錯(cuò)誤報(bào)警;發(fā)現(xiàn)大量報(bào)警信息中隱藏的入侵者的入侵模式和未知的關(guān)聯(lián)關(guān)系,對(duì)FP-growth算法進(jìn)行了改進(jìn).加入了體現(xiàn)不同報(bào)警信息可疑程度的懷疑度概念,應(yīng)用支持度和懷疑度兩個(gè)限定閾值對(duì)數(shù)據(jù)進(jìn)行判定;同時(shí)采用了IP分組的檢測(cè)方法,對(duì)于源IP來(lái)