基于數(shù)據(jù)挖掘的分布式入侵檢測系統(tǒng)的研究.pdf

1、隨著計算機、通信和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，全球信息化的步伐越來越快，網(wǎng)絡(luò)信息系統(tǒng)成為人類社會持續(xù)發(fā)展的基礎(chǔ)設(shè)施。人類在感受到了網(wǎng)絡(luò)信息系統(tǒng)對社會發(fā)展做出巨大貢獻的同時，也認識到了網(wǎng)絡(luò)信息安全問題已經(jīng)成為影響國家長遠利益和持續(xù)發(fā)展急待解決的重大關(guān)鍵問題。為了保護網(wǎng)絡(luò)信息系統(tǒng)的安全，人們研究和探索了多種安全防護技術(shù)，從一開始的靜態(tài)安全防護逐漸過渡到了動態(tài)安全防護。入侵檢測技術(shù)是一種重要的動態(tài)安全防護技術(shù)，已經(jīng)成為計算機科學(xué)與技術(shù)的一個重要研究領(lǐng)

2、域。它對計算機和網(wǎng)絡(luò)資源上的惡意使用行為進行識別和響應(yīng)，不僅檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。 總體上，傳統(tǒng)的入侵檢測系統(tǒng)建設(shè)速度慢、更新代價高，而且對日益復(fù)雜的網(wǎng)絡(luò)設(shè)備和層出不窮的攻擊方法顯得缺乏有效性、適應(yīng)性和可擴展性，分布式入侵檢測系統(tǒng)的提出解決了不少困擾研究者關(guān)于入侵檢測系統(tǒng)的擴展性、協(xié)同檢測、互操作性等問題。入侵檢測是以數(shù)據(jù)為中心的，傳統(tǒng)的檢測技術(shù)不能很好的適應(yīng)現(xiàn)代大量的數(shù)據(jù)和提高檢測效率的需要，

3、而數(shù)據(jù)挖掘能夠從海量數(shù)據(jù)集中挖掘出人們感興趣的特定模式，因此，有大量的研究計劃將數(shù)據(jù)挖掘技術(shù)運用到入侵檢測中，這些研究大大推動了入侵檢測研究領(lǐng)的快速發(fā)展。 本文研究分析目前的DIDS后，針對目前DIDS存在的問題，改進得到基于數(shù)據(jù)挖掘的分布式入侵檢測系統(tǒng)的架構(gòu)(DMDIDS)，它將基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)有機地結(jié)合在一起。DMDIDS主要包括基于主機的入侵檢測組件、基于網(wǎng)絡(luò)的入侵檢測組件和中心管理器。它能夠提供集成化的檢

4、測、報告和響應(yīng)功能。按照CIDF關(guān)于IDS的體系結(jié)構(gòu)和通信機制的要求，設(shè)計DMDIDS的系統(tǒng)結(jié)構(gòu)和各個組件的結(jié)構(gòu)與功能，設(shè)計與其他IDS系統(tǒng)和安全系統(tǒng)交互的接口與數(shù)據(jù)格式；組件的體系結(jié)構(gòu)和通信機制的設(shè)計都滿足一定的CIDF標(biāo)準(zhǔn)或者IETF標(biāo)準(zhǔn)，從而使得滿足接口和數(shù)據(jù)標(biāo)準(zhǔn)的IDS能夠加入到DMDIDS中來；而且還設(shè)計了一個中心管理器的路由器(ID-Router)，解決系統(tǒng)的的瓶頸問題；因此DMDIDS具有良好的分布性、可擴展性和安全性。最