入侵檢測系統(tǒng)中數(shù)據(jù)預(yù)處理技術(shù)的研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，尤其是Internet的日益普及，網(wǎng)絡(luò)安全問題受到越來越多的關(guān)注。入侵檢測系統(tǒng)(IDS)作為繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護措施后新一代的安全保障技術(shù)，得到了越來越越多的應(yīng)用。由于網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)應(yīng)用更加復(fù)雜，對入侵檢測在運行效率和檢測結(jié)果方面都提出了更高的要求。傳統(tǒng)的網(wǎng)絡(luò)入侵檢測方法基于傳輸層以下的數(shù)據(jù)包特性來檢測入侵，因此存在一些難以克服的缺點，如運行效率低、易受欺騙、誤報警多、檢測效率差等，難以適應(yīng)

2、目前的網(wǎng)絡(luò)環(huán)境。本文主要通過改進網(wǎng)絡(luò)數(shù)據(jù)在數(shù)據(jù)挖掘前的預(yù)處理，從而提高了數(shù)據(jù)挖掘的效率和準確性，達到了入侵檢測系統(tǒng)性能的提高。 本文在深入研究入侵檢測系統(tǒng)原理及通用入侵檢測系統(tǒng)框架的基礎(chǔ)上設(shè)計了一個基于Windows2003的入侵檢測平臺。該系統(tǒng)采用c語言實現(xiàn)，系統(tǒng)各模塊采用組件的方式開發(fā)，使得該平臺具有良好的擴充性和可移植性。基于windows的IDS實驗平臺的設(shè)計與開發(fā)，使得研究人員以及學習者可以通過PC進行仿真，從而快速、

3、便捷的熟悉入侵檢測系統(tǒng)原理并進行進一步的研究。 數(shù)據(jù)預(yù)處理模塊是本文研究的重點，在對數(shù)據(jù)預(yù)處理技術(shù)的研究過程中，本文首先提出了一個基于誤用檢測和異常檢測的雙過濾模型，對網(wǎng)絡(luò)數(shù)據(jù)中的正常數(shù)據(jù)進行過濾，極大地降低了數(shù)據(jù)挖掘的工作量，提高了效率與準確性；在基于異常檢測的過濾中，文中提出了基于相似度(相關(guān)系數(shù))的判別方法，提高了判別的速率和準確性：對Telnet，F(xiàn)TP，HTTP等應(yīng)用層協(xié)議的特征屬性進行篩選總結(jié)，通過SQL Serve

4、r 2000建立了一個具有六個維度，四個主要度量的數(shù)據(jù)倉庫。數(shù)據(jù)倉庫中的數(shù)據(jù)經(jīng)過簡單的整數(shù)映射可以直接作為序列模式挖掘算法的輸入，為高效地挖掘序列模式提供了高質(zhì)量的數(shù)據(jù)和統(tǒng)一的格式。通過這些數(shù)據(jù)預(yù)處理過程，大大提高了入侵檢測系統(tǒng)對于應(yīng)用層攻擊如R2L、U2R等模式攻擊的識別能力，提高了入侵檢測系統(tǒng)的性能。 本文通過一個實驗驗證了我們所提出的數(shù)據(jù)預(yù)處理方法降低了入侵檢測系統(tǒng)對應(yīng)用層攻擊的誤報漏報率，并且具有占用系統(tǒng)開銷小的優(yōu)點。最