基于關聯(lián)分析的分布式入侵檢測模型研究.pdf

1、隨著互聯(lián)網(wǎng)絡的快速發(fā)展，網(wǎng)絡安全問題日益突出。由于網(wǎng)絡入侵手段的多樣化，傳統(tǒng)的防火墻技術不足以鞏固整個網(wǎng)絡安全體系，入侵檢測技術由此引起了人們越來越多的重視，已經(jīng)成為計算機安全的一個重要研究領域。
　　 傳統(tǒng)的入侵檢測系統(tǒng)對中小型網(wǎng)絡的安全檢測發(fā)揮了重要的作用，但是隨著網(wǎng)絡帶寬的增加、攻擊手段的復雜化，入侵檢測系統(tǒng)在可擴展性和檢測效率上面臨著新的挑戰(zhàn)。充分利用分布式技術的特點，提出了一個新型的分布式入侵檢測模型，有效地解決了傳統(tǒng)

2、的入侵檢測模型漏包嚴重和單點失效問題，并且利用關聯(lián)分析的方法從日志庫中挖掘出新的規(guī)則，實現(xiàn)了規(guī)則庫的自動更新。
　　 通過對入侵檢測和數(shù)據(jù)挖掘中的重要技術分析，闡述了入侵檢測系統(tǒng)的分類方式及各種檢測模型的特點，指出分布式檢測模型的優(yōu)越性；闡述了數(shù)據(jù)挖掘幾種方法，指出了這些方法在入侵檢測系統(tǒng)的應用。
　　 將數(shù)據(jù)挖掘中的關聯(lián)分析技術引入到入侵檢測中，提出了一種基于關聯(lián)分析的分布式入侵檢測模型，并采用模塊化和層次化的方法對系

3、統(tǒng)進行了設計實現(xiàn)。本模型共分為兩大層，分布在不同的主機上，一層為前端的移動檢測結點，負責獨立入侵檢測，另一層為后臺集中控制，負責數(shù)據(jù)關聯(lián)分析。前端的檢測結點既有基于主機的異常檢測模型，又有基于網(wǎng)絡的誤用檢測模型，根據(jù)網(wǎng)絡的規(guī)模部署響應的結點數(shù)量，有很強的靈活性，這些結點之間又相互協(xié)作以發(fā)現(xiàn)分布式入侵行為；后臺集中控制主機通過對日志庫的關聯(lián)分析發(fā)現(xiàn)新的入侵行為和規(guī)則。
　　 通過實驗分析證明，提出的模型具有可擴展能力強的特點，降低