基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，特別是Internet的快速普及，促進(jìn)了計(jì)算機(jī)與互聯(lián)網(wǎng)科技的不斷創(chuàng)新與升級(jí)。網(wǎng)絡(luò)設(shè)施和資源對(duì)于國(guó)家、企業(yè)和個(gè)人的重要性日益增強(qiáng)，在不斷改變?nèi)藗儌鹘y(tǒng)的生活、工作與學(xué)習(xí)方式的同時(shí)也帶來(lái)了新的問(wèn)題和挑戰(zhàn)。人類社會(huì)信息化程度日益增加，對(duì)網(wǎng)絡(luò)依賴性日益增強(qiáng)，如何能夠保證信息化社會(huì)的正常、安全、平穩(wěn)地運(yùn)轉(zhuǎn)，其中計(jì)算機(jī)網(wǎng)絡(luò)的安全性是最重要的環(huán)節(jié)之一，必須不斷地得以充實(shí)、強(qiáng)化和提高。目前，網(wǎng)絡(luò)互聯(lián)領(lǐng)域的廣度和深度

2、不斷擴(kuò)展，開(kāi)放特性不斷深化，造成越來(lái)越多的網(wǎng)絡(luò)系統(tǒng)面臨攻擊和入侵的威脅。 本論文基于上述研究背景，開(kāi)展了基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)研究，以提高檢測(cè)算法對(duì)未知入侵的檢測(cè)有效性為目標(biāo)，從檢測(cè)率和誤報(bào)率兩個(gè)重要指標(biāo)出發(fā)，提出以聚類分析為主線的相關(guān)檢測(cè)算法，并進(jìn)行了計(jì)算機(jī)仿真實(shí)驗(yàn)；與此同時(shí)，針對(duì)數(shù)據(jù)挖掘中的數(shù)據(jù)預(yù)處理存在的問(wèn)題提出了相應(yīng)算法的改進(jìn)。 本論文主要研究工作如下：1.從入侵檢測(cè)研究背景和發(fā)展歷程出發(fā)，介紹了入侵、入侵檢

3、測(cè)和入侵檢測(cè)系統(tǒng)的基本概念和原理，闡述了將數(shù)據(jù)挖掘引入入侵檢測(cè)領(lǐng)域的背景，分析其出發(fā)點(diǎn)、可行性以及此領(lǐng)域的研究進(jìn)展和存在的相關(guān)問(wèn)題。 2.對(duì)數(shù)據(jù)挖掘中的特征子集選擇問(wèn)題進(jìn)行分析，提出了基于改進(jìn)遺傳算法的特征子集選擇算法。此部分討論了研究特征子集選擇的必要性，介紹了特征子集選擇的主要方法，并針對(duì)LVF算法存在的問(wèn)題，提出改進(jìn)算法以優(yōu)化算法結(jié)果，通過(guò)計(jì)算機(jī)仿真實(shí)驗(yàn)，獲得較LVF算法更優(yōu)良、穩(wěn)定的特征子集集合。 3.針對(duì)網(wǎng)絡(luò)入

4、侵檢測(cè)中存在的檢測(cè)有效性和效率問(wèn)題，對(duì)Portnoy等人提出的檢測(cè)算法經(jīng)過(guò)認(rèn)真分析，提出基于遺傳聚類的網(wǎng)絡(luò)入侵檢測(cè)算法—NIDBGC算法。NIDBGC算法由Leader聚類階段和遺傳優(yōu)化階段兩部分組成，能自動(dòng)實(shí)現(xiàn)初始聚類簇集合建立、組合優(yōu)化和入侵行為標(biāo)識(shí)的整個(gè)檢測(cè)過(guò)程。計(jì)算機(jī)仿真實(shí)驗(yàn)結(jié)果表明，NIDBGC算法在保持較大入侵行為比例的情況下，平均檢測(cè)率和平均誤檢率仍保持了一定水平，這表明該算法的思想和方法對(duì)于未知入侵檢測(cè)是可行的，能夠取得

5、一定效果。 4.針對(duì)以聚類簇中心矢量代表聚類簇進(jìn)行聚類分析的過(guò)程進(jìn)行了討論，并舉例分析；針對(duì)網(wǎng)絡(luò)入侵檢測(cè)研究，考慮到由于網(wǎng)絡(luò)行為分布未知，特別對(duì)于未知入侵攻擊行為，其分布方式不一定按超球面形式分布，因此提出非球型網(wǎng)絡(luò)入侵檢測(cè)算法-NIDBNNGC算法，算法由最鄰近聚類階段和遺傳優(yōu)化階段兩部分組成，能自動(dòng)實(shí)現(xiàn)初始聚類簇集合建立、組合優(yōu)化和入侵行為標(biāo)識(shí)的整個(gè)檢測(cè)過(guò)程。計(jì)算機(jī)仿真實(shí)驗(yàn)結(jié)果表明，它的平均檢測(cè)率和平均誤檢率水平較NIDBG

6、C算法有一定提高。 同時(shí)，考慮到NIDBNNGC算法中遺傳算法的變異算子作為局部搜索算子采用隨機(jī)變異方式的情況，未能有效解決遺傳算法自身局部性能方面的問(wèn)題。提出采用Tabu搜索算法作為遺傳算法的變異算法以改進(jìn)隨機(jī)變異的不足，并將此思想運(yùn)用到入侵檢測(cè)研究，從而提出了新的檢測(cè)算法—Tabu-NIDNNGC算法，算法在降低了遺傳算法中種群和迭代規(guī)模的情況下，其檢測(cè)結(jié)果較NIDBNNGC算法有了進(jìn)一步改進(jìn)，并減小了加權(quán)因子w較小時(shí)誤檢率

7、波動(dòng)的區(qū)域，提高了檢測(cè)精度。 5.以Tabu搜索算法為核心，提出了新的檢測(cè)算法—基于Tabu搜索的網(wǎng)絡(luò)入侵檢測(cè)算法(NIDBTS)，算法以提高檢測(cè)率，降低誤檢率為目的，建立了利用Tabu搜索算法進(jìn)行入侵檢測(cè)研究的算法模型。NIDBTS算法由最鄰近聚類階段和Tabu搜索優(yōu)化階段兩部分組成。本論文提出鄰域球和概率門限相結(jié)合以提高Tabu算法全局和局部搜索能力，在算法迭代的前期利用鄰域球提高相鄰解的多樣性，而后期利用概率門限提高對(duì)當(dāng)前