數(shù)據(jù)挖掘算法及其在入侵檢測(cè)系統(tǒng)中的應(yīng)用.pdf

1、入侵檢測(cè)系統(tǒng)(IDS)是防火墻的必要補(bǔ)充，與傳統(tǒng)的加密和訪問控制方法相比，IDS是全新的計(jì)算機(jī)安全措施。在收集到系統(tǒng)和網(wǎng)絡(luò)的原始數(shù)據(jù)后，如何建立入侵檢測(cè)模型是入侵檢測(cè)領(lǐng)域的研究重點(diǎn)。通過手工書寫規(guī)則和其它特殊方式實(shí)現(xiàn)的檢測(cè)模型，使多數(shù)入侵檢測(cè)系統(tǒng)只具有有限的有效性和適應(yīng)性。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)，其思想是用一種以數(shù)據(jù)為中心的觀點(diǎn)：盡可能除去在入侵檢測(cè)系統(tǒng)構(gòu)建過程中的人工行為，把測(cè)試過程看作分析數(shù)據(jù)的過程，從而提高入侵檢測(cè)系統(tǒng)構(gòu)建過

2、程的自動(dòng)化程度。 本文通過研究入侵檢測(cè)系統(tǒng)和數(shù)據(jù)挖掘技術(shù)，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于傳統(tǒng)的入侵檢測(cè)系統(tǒng)來處理入侵檢測(cè)系統(tǒng)中的海量數(shù)據(jù)，以提高整個(gè)系統(tǒng)的檢測(cè)性能，有效的減少整個(gè)系統(tǒng)的虛警率和誤警率。數(shù)據(jù)挖掘技術(shù)主要是用來對(duì)攻擊誘騙環(huán)節(jié)提供的大量網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行挖掘，使其變?yōu)榭梢詫?duì)規(guī)則集合進(jìn)行訓(xùn)練的有效的樣本數(shù)據(jù)。關(guān)聯(lián)規(guī)則挖掘、序列模式挖掘等可以用于入侵檢測(cè)從而得到入侵規(guī)則庫(kù)。本文所作的工作主要有以下幾點(diǎn)： 1.通過研究和分析傳統(tǒng)

3、入侵檢測(cè)系統(tǒng)，論證入侵檢測(cè)系統(tǒng)規(guī)則庫(kù)的建立對(duì)于海量網(wǎng)絡(luò)行為數(shù)據(jù)的依賴性，而數(shù)據(jù)挖掘技術(shù)正是一個(gè)強(qiáng)有力的數(shù)據(jù)處理工具，從而說明了數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)系統(tǒng)的必要性。 2.比較數(shù)據(jù)挖掘技術(shù)中的諸算法，結(jié)合該技術(shù)所要應(yīng)用的環(huán)境——入侵檢測(cè)系統(tǒng)，得出關(guān)聯(lián)規(guī)則和序列模式挖掘算法更適合入侵檢測(cè)系統(tǒng)規(guī)則挖掘的結(jié)論。 3.為了提高數(shù)據(jù)挖掘算法的效率，得到有用的關(guān)聯(lián)規(guī)則，對(duì)關(guān)聯(lián)規(guī)則算法的兩個(gè)子問題分別通過改變頻繁項(xiàng)目集元素的生成方法和

4、對(duì)導(dǎo)出規(guī)則進(jìn)行關(guān)鍵屬性及最小置信度篩選的方法進(jìn)行了改進(jìn)，并通過具體實(shí)例說明了改進(jìn)的有效性。 4.對(duì)序列模式挖掘算法，本文采用關(guān)鍵屬性查找頻繁相關(guān)，再?gòu)倪@些相關(guān)中產(chǎn)生串行頻繁序列模式。這種改進(jìn)算法不僅消除了不相關(guān)的規(guī)則，對(duì)審計(jì)記錄數(shù)據(jù)關(guān)系的描述也提供了更加有用的信息。 5.設(shè)計(jì)了一個(gè)基于Windows的入侵檢測(cè)平臺(tái)，該平臺(tái)通過管理配置模塊實(shí)現(xiàn)了人機(jī)交互，手動(dòng)控制該平臺(tái)使其完成數(shù)據(jù)生成、數(shù)據(jù)預(yù)處理和數(shù)據(jù)挖掘等功能，并詳細(xì)介紹