基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測方法及系統(tǒng)研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)應(yīng)用范圍的不斷擴(kuò)大，對網(wǎng)絡(luò)的各類攻擊與破壞也與同俱增，隨著網(wǎng)絡(luò)攻擊手段的多元化、復(fù)雜化、智能化，單純依賴防火墻等靜態(tài)防御已難以勝任網(wǎng)絡(luò)安全的需要。入侵檢測作為一種主動的信息安全保障措施，有效地彌補(bǔ)了傳統(tǒng)安全防護(hù)技術(shù)的缺陷，但是面對不斷增大的網(wǎng)絡(luò)流量、日益更新的網(wǎng)絡(luò)設(shè)施和層出不窮的攻擊方式，傳統(tǒng)的入侵檢測模型越來越暴露出不足，并且誤報(bào)率之高嚴(yán)重影響了系統(tǒng)性能。本論文提出一種新的入侵檢測方法，并在此基礎(chǔ)上開發(fā)了基

2、于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測系統(tǒng)(Network Intrusion Detection System based on Data Mining，簡稱DMNIDS)。 在對既有基于數(shù)據(jù)挖掘方法的入侵檢測技術(shù)進(jìn)行全面分析的基礎(chǔ)上，DMNIDS從一個(gè)新的角度將關(guān)聯(lián)規(guī)則和分類技術(shù)應(yīng)用到網(wǎng)絡(luò)審計(jì)記錄數(shù)據(jù)中以檢測攻擊行為。論文主要做了以下工作： 1、闡述了入侵檢測系統(tǒng)的分類，探討了入侵檢測系統(tǒng)的體系結(jié)構(gòu)，系統(tǒng)全面地綜述了入侵檢測模型的

3、研究進(jìn)展?fàn)顩r，指出了當(dāng)前所存在的問題。 2、提出了基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵檢測模型DMNIDS(Network IntrusionDetection System based on Data Mining)，給出了詳細(xì)的設(shè)計(jì)原則、設(shè)計(jì)思路及其模型結(jié)構(gòu)，并給出了審計(jì)信息源的收集和預(yù)處理方法。DMNIDS模型在關(guān)聯(lián)規(guī)則挖掘上，建立了兩種挖掘模式：靜態(tài)挖掘模式、動態(tài)挖掘模式；實(shí)施兩個(gè)層面上的挖掘：單層面挖掘、領(lǐng)域?qū)用嫱诰?；在分類引?/p>

4、的構(gòu)建上，通過實(shí)驗(yàn)綜合比較了主流分類技術(shù)，并針對具體問題對決策樹分類方法進(jìn)行了應(yīng)用上的改進(jìn)，從而使得系統(tǒng)具備檢測新類型攻擊的能力；提出的增量式挖掘方法，由于每次只監(jiān)測一個(gè)窗口的數(shù)據(jù)量，而不是批量處理網(wǎng)絡(luò)日志，所以非常適合在線挖掘，從而使系統(tǒng)在實(shí)時(shí)性上有較好的性能表現(xiàn)。DMNIDS建模方法為入侵檢測研究提供了一條新思路。 3、DMNIDS在DARPA1998，1999入侵檢測評估數(shù)據(jù)集上的大量實(shí)驗(yàn)證明了本文方法的合理性和有效性。最