基于數(shù)據(jù)流分類(lèi)的在線(xiàn)網(wǎng)絡(luò)入侵檢測(cè)研究.pdf

1、隨著大規(guī)模復(fù)雜網(wǎng)絡(luò)的迅速發(fā)展，在高速、寬帶的網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)往往以數(shù)據(jù)流(Data Stream)的形式出現(xiàn)，這些數(shù)據(jù)或數(shù)據(jù)的屬性必須按照順序存取且只能被讀取一次或有限次，而不能隨機(jī)存取，且是源源不斷，甚至于無(wú)限的，往往又是高維的，如何從大量動(dòng)態(tài)變化的數(shù)據(jù)中快速獲取有用信息具有非常重要的意義。正是網(wǎng)絡(luò)安全應(yīng)用的迫切需求，造成了基于數(shù)據(jù)流挖掘的入侵檢測(cè)研究在國(guó)內(nèi)外也取得比較豐碩的成果。
　　 數(shù)據(jù)流挖掘是數(shù)據(jù)挖掘的一個(gè)新的研究方

2、向，數(shù)據(jù)流分類(lèi)作為數(shù)據(jù)流挖掘的重要方面，得到了國(guó)際數(shù)據(jù)庫(kù)領(lǐng)域?qū)＜覀兊膹V泛而深入的研究。基于數(shù)據(jù)流分類(lèi)的網(wǎng)絡(luò)入侵檢測(cè)研究也受到了網(wǎng)絡(luò)安全學(xué)界的關(guān)注，國(guó)內(nèi)外有些會(huì)議或論文關(guān)注到了其相關(guān)應(yīng)用研究，但還沒(méi)有具體的相關(guān)產(chǎn)品。
　　 傳統(tǒng)基于離線(xiàn)數(shù)據(jù)集和全部數(shù)據(jù)集的等同學(xué)習(xí)的入侵檢測(cè)方法不能適應(yīng)于高速網(wǎng)絡(luò)環(huán)境，海量的網(wǎng)絡(luò)數(shù)據(jù)流不可能全部存貯到固定的磁盤(pán)空間，而且網(wǎng)絡(luò)的入侵模式也隨著時(shí)間不斷變化，離線(xiàn)方式不能及時(shí)發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)的入侵行為，基于數(shù)據(jù)

3、流分類(lèi)的集成模式可以有效地適應(yīng)高速大流量的網(wǎng)絡(luò)入侵檢測(cè)?；跀?shù)據(jù)流分類(lèi)的網(wǎng)絡(luò)入侵檢測(cè)研究有極大的挑戰(zhàn)性，其中主要需要解決兩個(gè)困難問(wèn)題：一是數(shù)據(jù)流分類(lèi)的概念漂移(Concept Drift)問(wèn)題；另一個(gè)是在類(lèi)不平衡的網(wǎng)絡(luò)數(shù)據(jù)流中分類(lèi)問(wèn)題。在網(wǎng)絡(luò)入侵中，攻擊手段和網(wǎng)絡(luò)流量經(jīng)常發(fā)生變化；在巨大的網(wǎng)絡(luò)流量中，有類(lèi)標(biāo)的數(shù)據(jù)要遠(yuǎn)遠(yuǎn)少于無(wú)類(lèi)標(biāo)的數(shù)據(jù)，而當(dāng)前研究在線(xiàn)入侵檢測(cè)系統(tǒng)也面臨這兩個(gè)難題。
　　 本文結(jié)合了入侵檢測(cè)技術(shù)和數(shù)據(jù)流分類(lèi)挖掘技術(shù)