一種基于DFC的集群入侵檢測方法的研究.pdf

1、隨著計算機技術及電子商務的發(fā)展，越來越多的個人及單位參與到互聯(lián)網當中，使得網絡安全問題日益凸顯。網絡環(huán)境的復雜化導致傳統(tǒng)的被動的防御方式在對計算機進行安全防護時顯得力不從心，入侵檢測系統(tǒng)應運而生。由于網絡帶寬的增加，傳統(tǒng)的單一的入侵檢測系統(tǒng)已經不能滿足對網絡環(huán)境實時監(jiān)測的需要，集群入侵檢測系統(tǒng)已成為目前網絡安全研究的熱點。它對網絡數(shù)據包進行實時分流的思想有效地解決了網絡包掉包的現(xiàn)象。
　　 目前，市場上存在著許多入侵檢測產品，這

2、些產品主要用于企業(yè)網站及軍事部門，用來檢測入侵行為。然而在集群入侵檢測系統(tǒng)中普遍采用模糊C-均值入侵檢測算法聚類由于未考慮數(shù)據流的相關性，會影響入侵檢測的準確率，且由于聚類大小差別較大現(xiàn)在，影響探測器負載的平衡。怎樣進一步提高集群入侵檢測系統(tǒng)的檢測準確率并且提升負載均衡能力，成為集群入侵檢測系統(tǒng)中需要重點解決的問題。這一問題的解決關鍵是找到一種較為合理的將數(shù)據流分流的方法，本文將就此問題進行深入的研究。主要研究內容如下：
　　

3、⑴提出了一種數(shù)據流相關性聚類算法(Data Flow Correlated Clustering Algorithm，DFC)。在此算法中，本人主要做了以下幾方面工作：①從數(shù)據流屬性集合抽取出一個具體六元組，這個六元組作為該數(shù)據流特性的表示，較全面地描述了數(shù)據流的屬性。②提出數(shù)據流匹配操作及數(shù)據流相關性的概念，對每個數(shù)據流與聚類中心的六元組中各個屬性進行匹配，用匹配結果來判斷數(shù)據流相關性。③提出數(shù)據流邏輯距離概念，并給出邏輯距離公式，使

4、數(shù)據流間邏輯距離的判定方式從語義上的描述發(fā)展到用形式化的公式來判定。人們可以更精確地判定數(shù)據流之間的邏輯距離。
　　 ⑵提出了一種基于DFC的集群入侵檢測方法，它將來自外部網絡的數(shù)據流分流，分流的依據是數(shù)據流之間的邏輯距離，若數(shù)據流間邏輯距離大于閾值，將此數(shù)據流作為新產生的聚類中心，否則將此數(shù)據流放入原有與之邏輯距離最近的聚類中。將此方法應用到集群入侵檢測系統(tǒng)模型中，該算法設定了聚類中數(shù)據流數(shù)目的上限，有效地將聚類中數(shù)據流的數(shù)目