一種基于DFC的集群入侵檢測(cè)方法的研究.pdf

1、隨著計(jì)算機(jī)技術(shù)及電子商務(wù)的發(fā)展，越來(lái)越多的個(gè)人及單位參與到互聯(lián)網(wǎng)當(dāng)中，使得網(wǎng)絡(luò)安全問(wèn)題日益凸顯。網(wǎng)絡(luò)環(huán)境的復(fù)雜化導(dǎo)致傳統(tǒng)的被動(dòng)的防御方式在對(duì)計(jì)算機(jī)進(jìn)行安全防護(hù)時(shí)顯得力不從心，入侵檢測(cè)系統(tǒng)應(yīng)運(yùn)而生。由于網(wǎng)絡(luò)帶寬的增加，傳統(tǒng)的單一的入侵檢測(cè)系統(tǒng)已經(jīng)不能滿足對(duì)網(wǎng)絡(luò)環(huán)境實(shí)時(shí)監(jiān)測(cè)的需要，集群入侵檢測(cè)系統(tǒng)已成為目前網(wǎng)絡(luò)安全研究的熱點(diǎn)。它對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行實(shí)時(shí)分流的思想有效地解決了網(wǎng)絡(luò)包掉包的現(xiàn)象。
　　 目前，市場(chǎng)上存在著許多入侵檢測(cè)產(chǎn)品，這

2、些產(chǎn)品主要用于企業(yè)網(wǎng)站及軍事部門(mén)，用來(lái)檢測(cè)入侵行為。然而在集群入侵檢測(cè)系統(tǒng)中普遍采用模糊C-均值入侵檢測(cè)算法聚類由于未考慮數(shù)據(jù)流的相關(guān)性，會(huì)影響入侵檢測(cè)的準(zhǔn)確率，且由于聚類大小差別較大現(xiàn)在，影響探測(cè)器負(fù)載的平衡。怎樣進(jìn)一步提高集群入侵檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確率并且提升負(fù)載均衡能力，成為集群入侵檢測(cè)系統(tǒng)中需要重點(diǎn)解決的問(wèn)題。這一問(wèn)題的解決關(guān)鍵是找到一種較為合理的將數(shù)據(jù)流分流的方法，本文將就此問(wèn)題進(jìn)行深入的研究。主要研究?jī)?nèi)容如下：
　　

3、⑴提出了一種數(shù)據(jù)流相關(guān)性聚類算法(Data Flow Correlated Clustering Algorithm，DFC)。在此算法中，本人主要做了以下幾方面工作：①?gòu)臄?shù)據(jù)流屬性集合抽取出一個(gè)具體六元組，這個(gè)六元組作為該數(shù)據(jù)流特性的表示，較全面地描述了數(shù)據(jù)流的屬性。②提出數(shù)據(jù)流匹配操作及數(shù)據(jù)流相關(guān)性的概念，對(duì)每個(gè)數(shù)據(jù)流與聚類中心的六元組中各個(gè)屬性進(jìn)行匹配，用匹配結(jié)果來(lái)判斷數(shù)據(jù)流相關(guān)性。③提出數(shù)據(jù)流邏輯距離概念，并給出邏輯距離公式，使

4、數(shù)據(jù)流間邏輯距離的判定方式從語(yǔ)義上的描述發(fā)展到用形式化的公式來(lái)判定。人們可以更精確地判定數(shù)據(jù)流之間的邏輯距離。
　　 ⑵提出了一種基于DFC的集群入侵檢測(cè)方法，它將來(lái)自外部網(wǎng)絡(luò)的數(shù)據(jù)流分流，分流的依據(jù)是數(shù)據(jù)流之間的邏輯距離，若數(shù)據(jù)流間邏輯距離大于閾值，將此數(shù)據(jù)流作為新產(chǎn)生的聚類中心，否則將此數(shù)據(jù)流放入原有與之邏輯距離最近的聚類中。將此方法應(yīng)用到集群入侵檢測(cè)系統(tǒng)模型中，該算法設(shè)定了聚類中數(shù)據(jù)流數(shù)目的上限，有效地將聚類中數(shù)據(jù)流的數(shù)目