基于數據挖掘的分布式網絡入侵協同檢測系統研究及實現.pdf

1、隨著網絡入侵形式的不斷變化與多樣性，傳統的網絡安全技術與設備已不能充分抵御網絡攻擊。例如，目前推出的商用分布式入侵檢測系統基本是采用基于已知入侵行為規(guī)則的匹配技術，檢測引擎分布在需要監(jiān)控的網絡中或主機上，獨立進行入侵檢測，入侵檢測系統中心管理控制平臺僅負責平臺配置、檢測引擎管理和各檢測引擎的檢測結果顯示，對各檢測引擎的檢測數據缺乏協同分析。同時網絡入侵檢測系統與防火墻、防病毒軟件等之間也是單兵作戰(zhàn)，對復雜的攻擊行為難以做出正確的判斷。

2、 異常入侵檢測技術根據使用者的行為或資源使用情況判斷是否存在入侵行為，通用性較強，缺陷是誤檢率太高。誤用檢測運用已知攻擊方法，根據已定義好的入侵模式，通過判斷這些入侵模式是否出現來檢測攻擊，檢測準確度高，但系統依賴性太強，檢測范圍受已知知識的局限。 將數據挖掘技術應用到入侵檢測系統是目前入侵檢測研究的重要方向，論文討論了基于數據挖掘的入侵檢測主體技術，指出了聯合使用幾種數據挖掘方法和將數據挖掘與傳統的誤用檢測、異常檢測協是

3、一個重要的研究方向。 論文提出了改進的FP-Growth的關聯分析算法、基于分箱統計的FCM網絡入侵檢測技術和基于免疫學原理的混合入侵檢測技術。改進的FP-Growth算法引入了聚合鏈的單鏈表結構，每個節(jié)點只保留指向父節(jié)點的指針，節(jié)省了樹空間，有效解決了數據挖掘速度問題，提高了入侵檢測系統的執(zhí)行效率和規(guī)則庫的準確度；基于分箱統計的FCM網絡入侵檢測技術不需要頻繁更新聚類中心，同時耗時間題也得到較好的改善，將特征匹配與基于分箱的F

4、CM算法相結合，能較好的發(fā)現新的攻擊類型，便于檢測知識庫的更新；基于免疫學原理的混合入侵檢測技術充分發(fā)揮了免疫系統在實現過程中表現出的識別、學習、記憶、多樣性、自適應、容錯及分布式檢測等復雜的信息處理能力，具有良好的應用前景。 論文分析了網絡入侵檢測技術在檢測性能、系統的健壯性與自適應性等方面存在的主要問題，討論了網絡入侵檢測技術的發(fā)展趨勢。針對目前商用入侵檢測系統協同分析幾乎空缺、規(guī)則更新滯后、檢測技術與入侵手段變化不適應的現

5、狀，提出了基于數據挖掘的分布式網絡入侵協同檢測系統（以下簡稱“協同檢測系統”）模型。該模型從數據采集協同、數據分析協同和系統響應協同三個方面實現了入侵檢測系統的結構協作、功能協作、動作協作和處理協作，有效增強了入侵檢測系統的檢測能力。 論文詳細討論了“協同檢測系統”的檢測引擎設計、通信模塊設計和系統協同設計。檢測引擎是系統的主體，涉及到網絡數據包捕獲、數據解析、入侵檢測等功能。針對高速網絡環(huán)境下信息量大、實時性要求高，使用Lib

6、pcap捕包易造成掉包與癱瘓的現狀，提出了內存映射與半輪詢（NAPI）捕包新技術，有效減少了系統內核向用戶空間的內存拷貝，避免了重負載情況下的中斷活鎖，確保了高速網絡環(huán)境下數據包采集的實時性與準確性。 數據解協首先對鏈路層包頭、IP層包頭、傳輸層包頭、應用層協議四部分進行解析，然后對數據作預處理。在此基礎上，運用改進的FP-Growth算法對網絡數據進行挖掘，檢測子模塊解釋并評估數據挖掘模塊提取的模式，結果送至反饋端口。

7、 通信模塊實現了數據采集解析器與數據挖掘檢測器之間、檢測引擎和報警優(yōu)化器之間、報警優(yōu)化器與中心控制平臺之間的有效通信，給出有關函數。 系統協同設計是本系統的特色。本文從入侵檢測系統內部數據采集協同、入侵檢測系統與漏洞掃描系統協同、入侵檢測系統與防病毒系統協同、檢測引擎分析協同、不同安全系統分析協同、IDS與防病毒系統協同、IDS與交換機協同、IDS與防火墻協同等方面，科學地給出了數據采集協同、數據分析協同、系統響應協同的含義、原