基于數(shù)據(jù)挖掘的分布式入侵檢測(cè)系統(tǒng)的研究.pdf

1、隨著計(jì)算機(jī)、通信和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，全球信息化的步伐越來越快，網(wǎng)絡(luò)信息系統(tǒng)成為人類社會(huì)持續(xù)發(fā)展的基礎(chǔ)設(shè)施。人類在感受到了網(wǎng)絡(luò)信息系統(tǒng)對(duì)社會(huì)發(fā)展做出巨大貢獻(xiàn)的同時(shí)，也認(rèn)識(shí)到了網(wǎng)絡(luò)信息安全問題已經(jīng)成為影響國家長(zhǎng)遠(yuǎn)利益和持續(xù)發(fā)展急待解決的重大關(guān)鍵問題。為了保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全，人們研究和探索了多種安全防護(hù)技術(shù)，從一開始的靜態(tài)安全防護(hù)逐漸過渡到了動(dòng)態(tài)安全防護(hù)。入侵檢測(cè)技術(shù)是一種重要的動(dòng)態(tài)安全防護(hù)技術(shù)，已經(jīng)成為計(jì)算機(jī)科學(xué)與技術(shù)的一個(gè)重要研究領(lǐng)

2、域。它對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)，不僅檢測(cè)來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。 總體上，傳統(tǒng)的入侵檢測(cè)系統(tǒng)建設(shè)速度慢、更新代價(jià)高，而且對(duì)日益復(fù)雜的網(wǎng)絡(luò)設(shè)備和層出不窮的攻擊方法顯得缺乏有效性、適應(yīng)性和可擴(kuò)展性，分布式入侵檢測(cè)系統(tǒng)的提出解決了不少困擾研究者關(guān)于入侵檢測(cè)系統(tǒng)的擴(kuò)展性、協(xié)同檢測(cè)、互操作性等問題。入侵檢測(cè)是以數(shù)據(jù)為中心的，傳統(tǒng)的檢測(cè)技術(shù)不能很好的適應(yīng)現(xiàn)代大量的數(shù)據(jù)和提高檢測(cè)效率的需要，

3、而數(shù)據(jù)挖掘能夠從海量數(shù)據(jù)集中挖掘出人們感興趣的特定模式，因此，有大量的研究計(jì)劃將數(shù)據(jù)挖掘技術(shù)運(yùn)用到入侵檢測(cè)中，這些研究大大推動(dòng)了入侵檢測(cè)研究領(lǐng)的快速發(fā)展。 本文研究分析目前的DIDS后，針對(duì)目前DIDS存在的問題，改進(jìn)得到基于數(shù)據(jù)挖掘的分布式入侵檢測(cè)系統(tǒng)的架構(gòu)(DMDIDS)，它將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)有機(jī)地結(jié)合在一起。DMDIDS主要包括基于主機(jī)的入侵檢測(cè)組件、基于網(wǎng)絡(luò)的入侵檢測(cè)組件和中心管理器。它能夠提供集成化的檢

4、測(cè)、報(bào)告和響應(yīng)功能。按照CIDF關(guān)于IDS的體系結(jié)構(gòu)和通信機(jī)制的要求，設(shè)計(jì)DMDIDS的系統(tǒng)結(jié)構(gòu)和各個(gè)組件的結(jié)構(gòu)與功能，設(shè)計(jì)與其他IDS系統(tǒng)和安全系統(tǒng)交互的接口與數(shù)據(jù)格式；組件的體系結(jié)構(gòu)和通信機(jī)制的設(shè)計(jì)都滿足一定的CIDF標(biāo)準(zhǔn)或者IETF標(biāo)準(zhǔn)，從而使得滿足接口和數(shù)據(jù)標(biāo)準(zhǔn)的IDS能夠加入到DMDIDS中來；而且還設(shè)計(jì)了一個(gè)中心管理器的路由器(ID-Router)，解決系統(tǒng)的的瓶頸問題；因此DMDIDS具有良好的分布性、可擴(kuò)展性和安全性。最