基于頻繁模式挖掘的入侵檢測關(guān)鍵技術(shù)的研究與實現(xiàn).pdf

1、傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如加密、防火墻、認證等只是一種靜態(tài)的網(wǎng)絡(luò)安全技術(shù),不能適應(yīng)當前動態(tài)變化的網(wǎng)絡(luò)環(huán)境,于是作為一種動態(tài)網(wǎng)絡(luò)安全技術(shù)的入侵檢測技術(shù)這幾年來開始引起人們的重視,成為當前網(wǎng)絡(luò)安全技術(shù)研究的一個熱點.然而由于入侵檢測技術(shù)本身的復(fù)雜性和不成熟性,在當前的大規(guī)模、分布式和高速網(wǎng)絡(luò)環(huán)境中還存在很多的問題,這些問題如果得不到解決的話,將嚴重影響入侵檢測技術(shù)的可用性和發(fā)展前景.該文在對現(xiàn)有主機和分布式入侵檢測系統(tǒng)的分析與研究的基礎(chǔ)上,深入研

2、究了將數(shù)據(jù)挖掘方法應(yīng)用于主機日志檢測和分布式入侵檢測的報警信息分析、關(guān)聯(lián)、規(guī)則產(chǎn)生的可行性,并先后實現(xiàn)于基于主機的入侵檢測和分布式的入侵檢測上,詳細闡述了挖掘方法的實現(xiàn).主要包括:(1)研究并實現(xiàn)了基于主機的異常檢測模型,應(yīng)用系統(tǒng)日志作為數(shù)據(jù)源,對用戶及系統(tǒng)正常行為數(shù)據(jù)進行挖掘、分析,生成異常檢測模型,并依據(jù)此模型進行檢測.實現(xiàn)了頻繁模式庫更新,管理員可以定期更新頻繁模式庫;新日志檢測,對待檢測日志與頻繁模式庫的數(shù)據(jù)進行匹配;懷疑數(shù)據(jù)的

3、分析,對于懷疑數(shù)據(jù)通過頻繁模式挖掘進行分析.(2)研究并實現(xiàn)了分布式入侵檢測報警信息的融合與關(guān)聯(lián),利用關(guān)聯(lián)規(guī)則中的頻繁模式挖掘技術(shù),對相似或關(guān)聯(lián)數(shù)據(jù)進行進行聚類、合并和壓縮,從而減少報警數(shù)量并過濾了大量的錯誤報警;發(fā)現(xiàn)大量報警信息中隱藏的入侵者的入侵模式和未知的關(guān)聯(lián)關(guān)系,對FP-growth算法進行了改進.加入了體現(xiàn)不同報警信息可疑程度的懷疑度概念,應(yīng)用支持度和懷疑度兩個限定閾值對數(shù)據(jù)進行判定;同時采用了IP分組的檢測方法,對于源IP來