基于數(shù)據(jù)挖掘的數(shù)據(jù)庫入侵檢測系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜,對于網(wǎng)絡(luò)安全來說,單純的防火墻技術(shù)暴露出明顯的不足和弱點(diǎn),如無法解決安全后門問題;不能阻止網(wǎng)絡(luò)內(nèi)部攻擊,而調(diào)查發(fā)現(xiàn),50％以上的攻擊都來自內(nèi)部;不能提供實(shí)時(shí)入侵檢測能力;對于病毒束手無策等.因此很多研究機(jī)構(gòu)致力于提出更多更強(qiáng)大的主動(dòng)策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性,其中一個(gè)有效的解決途徑就是入侵檢測.入侵檢測系統(tǒng)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)、跟

2、蹤入侵、恢復(fù)或斷開網(wǎng)絡(luò)連接等.入侵檢測就是識別那些非授權(quán)使用計(jì)算機(jī)系統(tǒng)的個(gè)體(如黑客)和雖然有合法授權(quán)但濫用其權(quán)限的用戶(如內(nèi)部攻擊).根據(jù)檢測方法,入侵檢測分為兩大類型:濫用檢測和異常檢測.濫用檢測是指將已知的攻擊方式以某種形式存儲(chǔ)在知識庫中,然后通過判斷知識庫中的入侵模式是否出現(xiàn)來檢測,如果出現(xiàn),則說明發(fā)生了入侵.這種方法的優(yōu)點(diǎn)是檢測準(zhǔn)確率較高,缺點(diǎn)是只能對已知攻擊類型和已知系統(tǒng)安全漏洞進(jìn)行檢測.異常檢測是指將用戶正常的習(xí)慣行為特征

3、存儲(chǔ)在特征數(shù)據(jù)庫中,然后將用戶當(dāng)前行為特征與特征數(shù)據(jù)庫中的特征進(jìn)行比較,若兩者偏差足夠大,則說明發(fā)生了異常.這種方法的優(yōu)點(diǎn)是能檢測未知的攻擊類型,缺點(diǎn)是誤檢率較高.現(xiàn)有的入侵檢測系統(tǒng)大都采用專家系統(tǒng)或基于統(tǒng)計(jì)的方法,這需要較多的經(jīng)驗(yàn),而數(shù)據(jù)挖掘方法的優(yōu)勢在于它能從大量數(shù)據(jù)中提取出人們感興趣的、事先未知的知識和規(guī)律,而不依賴經(jīng)驗(yàn).將數(shù)據(jù)挖掘技術(shù)應(yīng)用在基于數(shù)據(jù)庫的入侵檢測系統(tǒng)中,可以從大量的審計(jì)數(shù)據(jù)中發(fā)現(xiàn)有助于檢測的知識和規(guī)則.該文討論了基