數(shù)據(jù)流挖掘技術(shù)在入侵檢測中的研究與應(yīng)用.pdf

1、隨著計算機網(wǎng)絡(luò)和信息技術(shù)的不斷發(fā)展，人們在得益于網(wǎng)絡(luò)的同時，其上網(wǎng)的數(shù)據(jù)安全性和人們自身的利益受到了嚴重威脅，信息和網(wǎng)絡(luò)系統(tǒng)的安全性變得至關(guān)重要。入侵檢測是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時監(jiān)控，在系統(tǒng)受到危害之前攔截和響應(yīng)入侵。但由于網(wǎng)絡(luò)結(jié)構(gòu)的不斷復(fù)雜化，傳統(tǒng)的網(wǎng)絡(luò)入侵檢測技術(shù)已經(jīng)無法適應(yīng)網(wǎng)絡(luò)新攻擊層出不窮和數(shù)據(jù)量日益增大的趨勢。當前入侵檢測系統(tǒng)中誤報率高、實時性差和很難發(fā)現(xiàn)復(fù)雜的分步驟攻擊等問題成為

2、當前安全領(lǐng)域亟待解決的問題之一。
　　 數(shù)據(jù)流挖掘技術(shù)是一種對高維的、動態(tài)變化的大量流式數(shù)據(jù)進行挖掘的新方法，如何在有限的空間和時間內(nèi)對網(wǎng)絡(luò)數(shù)據(jù)進行快速處理以獲取有用信息，成為當前數(shù)據(jù)挖掘領(lǐng)域的研究熱點。網(wǎng)絡(luò)數(shù)據(jù)流是實時到達的，通過對實時數(shù)據(jù)進行處理，發(fā)現(xiàn)其中的頻繁模式用來提取用戶行為特征、建立檢測模型，能夠提高入侵檢測系統(tǒng)的實時性和適應(yīng)性，是實現(xiàn)入侵檢測自動化的重要途徑。
　　 本文分析了當前入侵檢測系統(tǒng)的現(xiàn)狀和面臨的

3、挑戰(zhàn)以及數(shù)據(jù)流挖掘技術(shù)。針對數(shù)據(jù)流海量、快速、以特定次序到達等特點，通過采用事務(wù)與時間相結(jié)合的滑動窗口模型、使用帶權(quán)的位對象和位對象組表示數(shù)據(jù)、構(gòu)造位頻繁模式樹MFP-Tree等手段，提出了一個可以在非恒定流速的數(shù)據(jù)流中挖掘最大頻繁模式的算法MFP-Stream。為了解決當前入侵檢測系統(tǒng)實時性差、漏報率高等問題，本文提出了一個基于數(shù)據(jù)流挖掘技術(shù)的入侵檢測系統(tǒng)，系統(tǒng)主要包括抓包及過濾模塊、預(yù)處理模塊、數(shù)據(jù)流挖掘模塊、特征提取模塊和控制模塊

4、等，利用Snort系統(tǒng)開源、系統(tǒng)規(guī)則簡潔、易擴展、易操作等特性，將MFP-Stream算法挖掘出的最大頻繁模式通過特征編碼、加入規(guī)則文件等方式形成一個正常行為模式庫，并將其應(yīng)用到Snort系統(tǒng)中，正常行為模式庫保存了用戶的正常行為，當待檢測數(shù)據(jù)與模式庫中數(shù)據(jù)不匹配時即被認定為入侵行為。源源不斷流入的數(shù)據(jù)流和MFP-Stream算法實時挖掘的特性，可以保證這個正常行為模式庫實時更新，保證了系統(tǒng)的實時性以及面對未知方式入侵時的檢測能力。最后