基于數(shù)據(jù)挖掘的IDS分析器研究.pdf

1、隨著Internet的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在社會(huì)、經(jīng)濟(jì)、文化和人們的日常生活中扮演著越來(lái)越重要的角色.人們?cè)谑褂糜?jì)算機(jī)網(wǎng)絡(luò)的同時(shí),也深深的注意到網(wǎng)絡(luò)安全的重要性.隨著網(wǎng)絡(luò)攻擊手段的多元化、復(fù)雜化、智能化,單純依賴防火墻等靜態(tài)防御手段已難以勝任網(wǎng)絡(luò)安全的需要.入侵檢測(cè)作為一種主動(dòng)的信息安全保障措施,有效地彌補(bǔ)了傳統(tǒng)安全防護(hù)技術(shù)的缺陷.但是面對(duì)不斷增大的網(wǎng)絡(luò)流量、日益更新的網(wǎng)絡(luò)設(shè)施和層出不窮的攻擊方式,傳統(tǒng)的入侵檢測(cè)模型越來(lái)越暴露出很多

2、的局限性,如工作量大、響應(yīng)速度慢以及正確率與效率低等.為了減少在系統(tǒng)構(gòu)造過(guò)程中對(duì)專家經(jīng)驗(yàn)的過(guò)多依賴,降低規(guī)則提取和編碼的困難,本文設(shè)計(jì)了一個(gè)基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)模型.通過(guò)引入數(shù)據(jù)挖掘技術(shù),系統(tǒng)可以從大量的網(wǎng)絡(luò)事件中挖掘出頻繁模式,進(jìn)而提取有效的檢測(cè)規(guī)則,用于指導(dǎo)IDS網(wǎng)絡(luò)入侵分析.本文首先對(duì)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)進(jìn)行了研究,詳細(xì)介紹了誤用檢測(cè)和異常檢測(cè)各自的優(yōu)缺點(diǎn),并分析了各種體系結(jié)構(gòu)的入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)方式和特點(diǎn),闡述了現(xiàn)有入侵檢

3、測(cè)系統(tǒng)存在的問(wèn)題以及發(fā)展方向.然后針對(duì)現(xiàn)有IDS自適應(yīng)能力不強(qiáng),建模代價(jià)高,可擴(kuò)展性差的局限性,在深入研究了數(shù)據(jù)挖掘技術(shù)中關(guān)聯(lián)分析、序列分析以及分類分析的基礎(chǔ)上,將知識(shí)發(fā)現(xiàn)過(guò)程同傳統(tǒng)的入侵檢測(cè)技術(shù)結(jié)合起來(lái),設(shè)計(jì)了一個(gè)基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)模型.該模型主要分為數(shù)據(jù)挖掘部分和入侵檢測(cè)部分,其中,數(shù)據(jù)挖掘部分是整個(gè)模型設(shè)計(jì)的核心,它的主要功能在于能夠自動(dòng)、快速的從海量數(shù)據(jù)中構(gòu)建出知識(shí)規(guī)則庫(kù).規(guī)則庫(kù)構(gòu)建的每一步都是建立在對(duì)實(shí)際入侵特點(diǎn)分

4、析的基礎(chǔ)上,通過(guò)比較、選擇合適的算法,為后續(xù)過(guò)程提供有效的輸入信息,最終產(chǎn)生簡(jiǎn)潔、精確的規(guī)則集合.模型的設(shè)計(jì)中給出了數(shù)據(jù)預(yù)處理的方法,并重點(diǎn)介紹了頻繁模式的挖掘、比較以及在此基礎(chǔ)上構(gòu)造分類器所需的屬性集的過(guò)程.最后根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的具體情況,本文引入關(guān)鍵屬性、參考屬性以及相對(duì)支持度的約束,對(duì)關(guān)聯(lián)規(guī)則挖掘算法FP_Growth進(jìn)行了擴(kuò)展,解決了基本關(guān)聯(lián)挖掘算法中產(chǎn)生大量無(wú)用模式的問(wèn)題,從而幫助系統(tǒng)發(fā)掘出更有意義的模式,提高了系統(tǒng)挖掘的執(zhí)行效率