基于數據挖掘的分布式入侵檢測系統(tǒng).pdf

1、入侵檢測在計算機安全系統(tǒng)中發(fā)揮著越來越重要的作用,目前入侵檢測使用的規(guī)則庫還是主要依賴于專家分析提取,由于入侵檢測系統(tǒng)中數據量很大,使用人工分析的代價是昂貴的.用數據挖掘技術分析網絡數據進行入侵檢測,可以有效的減少人工分析的工作量,但數據挖掘技術應用到入侵檢測中存在著一些問題,特別是挖掘效率的問題,該文通過改進系統(tǒng)結構和數據挖掘的算法來提高系統(tǒng)的性能.該文對入侵檢測技術進行了分析和研究,提出了一個基于數據挖掘和Agent的分布式入侵檢測

2、模型,并在此模型的基礎上實現了一個基于數據挖掘和Agent的分布式入侵檢測系統(tǒng).該系統(tǒng)可以分布在網絡中任意數目的主機上,其分布式體系結構和靈活的代理體系,使得系統(tǒng)具有很強的分布性和擴展性,其實時的學習功能增強了入侵檢測系統(tǒng)的檢測能力.基于數據挖掘和Agent的分布式入侵檢測模型的代理體系主要由通信代理、數據挖掘代理、入侵檢測代理組成,代理之間各自獨立又相互協作,合作完成入侵檢測的任務.代理體系的引入,將基于主機的入侵檢測和基于網絡的入侵

3、檢測靈活地融為一體,形成一個統(tǒng)一的入侵檢測系統(tǒng).數據挖掘技術的引入,使入侵檢測系統(tǒng)有了自學習能力,這使系統(tǒng)能自己從該機日志或網絡上的數據中學習并提取特征值,通過分析不斷擴充自己的規(guī)則庫,不斷提高檢測入侵的能力.該文實現了基于數據挖掘和Agent的分布式入侵檢測系統(tǒng)的具體功能,該文后面章節(jié)對引用的數據挖掘的聚類算法和關聯規(guī)則進行了詳細的分析,并通過數據實驗證明其可行性,系統(tǒng)可以運行在Unix/Linux主機上,經測試證明是一個可行而且先進