基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵特征提取及入侵檢測系統(tǒng)技術(shù)研究.pdf

1、目前主流的入侵檢測系統(tǒng)主要采用特征匹配來檢測網(wǎng)絡(luò)入侵.這種方式的優(yōu)點是檢測速度快,檢測的準(zhǔn)確性也高.缺點是不能檢測未知的網(wǎng)絡(luò)入侵.且由于入侵特征采用人工編寫方式,規(guī)則編寫效率很低,很難應(yīng)對層出不窮的網(wǎng)絡(luò)入侵方式.而數(shù)據(jù)挖掘技術(shù)(又被稱為知識發(fā)現(xiàn)技術(shù))善于從大量的數(shù)據(jù)里提取有用的規(guī)則.顯然采用數(shù)據(jù)挖掘技術(shù)來輔助安全專家提取入侵特征,編寫入侵檢測規(guī)則是一個很好的辦法.該文分兩部分:第一部分首先分析入侵網(wǎng)絡(luò)分組數(shù)據(jù)的特點.然后展示了幾種類型的

2、數(shù)據(jù)挖掘技術(shù).最后闡述了在該課題中研究的如何使用APRIORI算法和CAEP(通過聚集現(xiàn)露模式分類)來提取入侵特征.APRIORI算法主要用于關(guān)聯(lián)規(guī)則挖掘,在該課題中主要是利用其挖掘頻繁項集的方法來提取候選特征序列.之后通過CAEP來提純能夠代表特定網(wǎng)絡(luò)入侵的特征序列,最后安全專家可以據(jù)此來編寫入侵檢測規(guī)則.文章的第二部分主要是研究入侵檢測引擎所用到的一些技術(shù).其中包括如何在WINDOWS系統(tǒng)上捕獲網(wǎng)絡(luò)數(shù)據(jù)分組,如何對IP碎片進行重組,