基于特征學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測的研究.pdf

1、黑客入侵事件的日益猖獗使人們認(rèn)識(shí)到只從防御的角度構(gòu)造安全系統(tǒng)是不夠的，入侵檢測技術(shù)作為“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后的又一個(gè)安全保障技術(shù)孕育而生。它對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)，不僅檢測來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。 然而隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，海量存儲(chǔ)和高帶寬傳輸?shù)钠占?，入侵檢測系統(tǒng)所面臨的數(shù)據(jù)日益龐大，用傳統(tǒng)的方法對(duì)這些數(shù)據(jù)進(jìn)行分析所耗費(fèi)的時(shí)間相當(dāng)驚人：同時(shí)

2、現(xiàn)在的入侵手段千變?nèi)f化，很難通過傳統(tǒng)的手工編寫特征碼方式檢測出復(fù)雜的以及未知的入侵方式。因此迫切需要在傳統(tǒng)的入侵檢測系統(tǒng)中融入一個(gè)對(duì)海量數(shù)據(jù)強(qiáng)有力的分析工具實(shí)現(xiàn)機(jī)器的無監(jiān)督學(xué)習(xí)功能，發(fā)現(xiàn)數(shù)據(jù)中潛在的聯(lián)系并交給整個(gè)入侵檢測系統(tǒng)進(jìn)行進(jìn)一步處理。 本文將數(shù)據(jù)挖掘技術(shù)和模糊數(shù)學(xué)的知識(shí)運(yùn)用于傳統(tǒng)的入侵檢測系統(tǒng)來處理海量數(shù)據(jù)，以提高整個(gè)系統(tǒng)的檢測性能，有效的減少整個(gè)系統(tǒng)的虛警率和誤警率。所做的工作主要有以下幾點(diǎn)： 1．提出將改進(jìn)的加

3、權(quán)關(guān)聯(lián)規(guī)則算法運(yùn)用于入侵特征集的提取比較數(shù)據(jù)挖掘中諸算法后提出將關(guān)聯(lián)規(guī)則的APRIORIN算法運(yùn)用于入侵檢測中。在深入分析了APRIORIN在運(yùn)用過程中存在的缺陷后，提出了用基于改進(jìn)的加權(quán)關(guān)聯(lián)規(guī)則算法來實(shí)現(xiàn)入侵檢測系統(tǒng)特征提取引擎。 2．將基于模糊等價(jià)關(guān)系的動(dòng)態(tài)聚類算法運(yùn)用于入侵特征集的歸納學(xué)習(xí)由改進(jìn)的APRIORIN算法提取的入侵特征集只是對(duì)歷史入侵行為的總結(jié)，對(duì)未知的入侵方式缺乏預(yù)見性。因此提出了將模糊理論和聚類的相關(guān)技術(shù)運(yùn)

4、用系統(tǒng)中，對(duì)已有的特征庫進(jìn)行二次歸納學(xué)習(xí)，使系統(tǒng)能從更高的抽象程度識(shí)別入侵行為。該算法能夠隨著閾值設(shè)置的不同而靈活地生成不同抽象程度的聚類，這使得系統(tǒng)可以在不同的抽象級(jí)別識(shí)別入侵行為。 3．完成基于特征學(xué)習(xí)功能的入侵檢測系統(tǒng)的整體設(shè)計(jì)工作給出了一個(gè)系統(tǒng)的總體設(shè)計(jì)模型。該系統(tǒng)由特征學(xué)習(xí)和實(shí)時(shí)檢測兩大部分組成。提出了各個(gè)部分關(guān)鍵模塊的實(shí)現(xiàn)過程。特別是在實(shí)現(xiàn)由以上兩個(gè)算法獲得入侵特征集的知識(shí)表示方面，本系統(tǒng)借鑒了開源軟件snort系統(tǒng)