基于數(shù)據(jù)挖掘的動(dòng)態(tài)可擴(kuò)展入侵檢測(cè)系統(tǒng)研究.pdf

1、入侵檢測(cè)是繼數(shù)據(jù)加密、身份鑒別和防火墻等傳統(tǒng)安全保護(hù)措施之后的新型網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)。近年來(lái)，網(wǎng)絡(luò)流量不斷增大，網(wǎng)絡(luò)設(shè)施日益更新和攻擊方式層出不窮?，F(xiàn)有的大多數(shù)實(shí)用入侵檢測(cè)系統(tǒng)通常只是將收集到的網(wǎng)絡(luò)數(shù)據(jù)與已有的攻擊模式庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。這種模式匹配的方法對(duì)于已知的入侵檢測(cè)效率很高，但對(duì)于一些最新的未知攻擊卻無(wú)法準(zhǔn)確地檢測(cè)。使用數(shù)據(jù)挖掘技術(shù)從大量網(wǎng)絡(luò)連接數(shù)據(jù)中提取有利于進(jìn)行判斷比較的入侵規(guī)則，已是入侵檢測(cè)研究的熱點(diǎn)

2、問(wèn)題，具有重大的理論意義和實(shí)用價(jià)值。 本文針對(duì)當(dāng)前入侵檢測(cè)系統(tǒng)在自適應(yīng)性方面的不足，對(duì)數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的應(yīng)用進(jìn)行了進(jìn)一步研究工作。論文主要內(nèi)容如下： ①根據(jù)前期項(xiàng)目----網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，本文設(shè)計(jì)了一種采用數(shù)據(jù)挖掘技術(shù)自動(dòng)提取入侵規(guī)則集的基于數(shù)據(jù)挖掘的動(dòng)態(tài)可擴(kuò)展入侵檢測(cè)系統(tǒng)，給出了系統(tǒng)的體系結(jié)構(gòu)。 ②網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在數(shù)據(jù)采集部分僅包含網(wǎng)絡(luò)數(shù)據(jù)包獲取部分，本文增加了數(shù)據(jù)預(yù)處理模塊，對(duì)原始數(shù)據(jù)的屬

3、性值進(jìn)行標(biāo)準(zhǔn)化，轉(zhuǎn)化為適合挖掘算法使用的格式，過(guò)濾和去掉噪聲。 ③網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的入侵規(guī)則庫(kù)采用的是專(zhuān)家特征庫(kù)，對(duì)最新未知攻擊無(wú)法準(zhǔn)確檢測(cè)。本文增加了數(shù)據(jù)挖掘模塊，采用聚類(lèi)算法和關(guān)聯(lián)規(guī)則分析算法進(jìn)行數(shù)據(jù)挖掘，自動(dòng)提取入侵規(guī)則，實(shí)現(xiàn)入侵規(guī)則庫(kù)的自動(dòng)更新。 ④采用插件方式，分三個(gè)子系統(tǒng)----數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、響應(yīng)子系統(tǒng)進(jìn)行研制，最終構(gòu)建一個(gè)基于數(shù)據(jù)挖掘的動(dòng)態(tài)可擴(kuò)展入侵檢測(cè)系統(tǒng)。 對(duì)研制的基于數(shù)據(jù)挖掘