基于數(shù)據(jù)挖掘的實(shí)時入侵檢測系統(tǒng)的研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計算機(jī)網(wǎng)絡(luò)被廣泛應(yīng)用到人類活動的各個領(lǐng)域，網(wǎng)絡(luò)對社會經(jīng)濟(jì)和人們生活的影響越來越大。網(wǎng)絡(luò)的安全性問題也越來越受到廣泛的關(guān)注，各種網(wǎng)絡(luò)安全相關(guān)的技術(shù)和產(chǎn)品不斷涌現(xiàn)。入侵檢測技術(shù)是其中一個重要的技術(shù)。本文針對現(xiàn)有的入侵檢測系統(tǒng)的不足，提出了將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測以提高其性能的方法。 本文在參考前人的基礎(chǔ)上，提出了一種基于數(shù)據(jù)挖掘的實(shí)時入侵檢測系統(tǒng)(RTDAIDS)框架結(jié)構(gòu)。針對當(dāng)前入侵檢測系統(tǒng)檢測策略單一

2、，不能應(yīng)對復(fù)雜的環(huán)境變化，誤報與漏報率高。我們在分布式實(shí)時架構(gòu)的基礎(chǔ)上，增加了自適應(yīng)策略管理器模塊及自適應(yīng)模式管理器。這兩個模塊采用數(shù)據(jù)挖掘技術(shù)，從而減少了對專家的依賴。它能夠?qū)崿F(xiàn)檢測策略及檢測模型的自動生成與分發(fā)。我們把研究重點(diǎn)放在RTDAIDS系統(tǒng)的體系結(jié)構(gòu)的設(shè)計與配置上，它包括傳感器、探測器、數(shù)據(jù)倉庫、數(shù)據(jù)分析、自適應(yīng)模式管理和策略管理等組件。該系統(tǒng)采用關(guān)聯(lián)規(guī)則及頻繁模式算法構(gòu)造檢測模型，大大的減少了人工編碼，進(jìn)一步提高了系統(tǒng)的自

3、動化能力；采用RIPPER學(xué)習(xí)算法構(gòu)造分類器及生成策略。這種體系結(jié)構(gòu)使得審計數(shù)據(jù)的共享與存貯及增加或者更新模型和策略的配置非常便利。在一定程度上提高了IDS系統(tǒng)的高效性(efficiency)及可測量性(scalability)。 該系統(tǒng)模型，使用了獨(dú)立組件的模塊化設(shè)計，最大限度的降低對于被保護(hù)主機(jī)的資源占用，這對于入侵檢測系統(tǒng)的實(shí)時性和對被保護(hù)主機(jī)的資源的占用性是非常重要的口而且采用集中式管理的辦法，所有的組件都和數(shù)據(jù)倉庫連接