基于聚類的異常檢測技術的研究.pdf

1、隨著Internet的迅猛發(fā)展，網絡正在影響社會的政治、經濟、文化、軍事和生活。由于人們對網絡的依賴程度不斷提高，安全問題變得越來越嚴峻。入侵檢測作為一種積極主動的信息安全技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵行為。近年來人們在入侵檢測技術上取得了一些成果，提出了很多適合安全領域的異常檢測技術，比如基于統(tǒng)計的異常檢測技術、基于機器學習的異常檢測技術、基于數據挖掘的異常檢測技術，但是仍然有

2、需要改進的地方。 本文以降低誤報率和提高檢測范圍為目的，提出了一種基于聚類的無監(jiān)督異常檢測技術。從提高實時性、改善自適應性、提高檢測粒度的角度出發(fā)，提出了一種改進的混合IDS系統(tǒng)框架，期望為推動本領域的發(fā)展作一點貢獻。 論文的內容主要包括如下幾個方面： 1.從整體上介紹入侵檢測的相關概念，包括體系結構、誤用檢測和異常檢測，然后分析目前國內外的研究現狀。 2.介紹了異常檢測技術的思想，對其進行了歸類。詳細分

3、析了每類異常檢測技術的思想、優(yōu)缺點，在此基礎上總結了現有異常檢測技術的不足。 3.提出了一種基于聚類的無監(jiān)督異常檢測技術，該模型從多個聚類器中選取DB指數最小的分簇結果，并利用最小簇內距離、最大簇內距離對每個簇進行分類，從而識別出攻擊。實驗表明該模型明顯提高了檢測率、降低了誤報率。 4.提出了一種改進的混合IDS框架，詳細分析了其關鍵技術，包括網絡數據包的捕獲技術、協(xié)議分析技術、異常檢測技術、規(guī)則格式及生成機制，為設計混