數(shù)據(jù)挖掘方法在入侵檢測(cè)中的研究與設(shè)計(jì).pdf

1、隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)用戶的不斷增多，網(wǎng)絡(luò)知識(shí)的不斷普及，網(wǎng)絡(luò)和信息的安全受到越來(lái)越大的威脅。信息的機(jī)密性、完整性和可用性遭到嚴(yán)重侵害的事件時(shí)有發(fā)生，信息安全問(wèn)題已經(jīng)成為人們?cè)絹?lái)越關(guān)注的問(wèn)題。 要保護(hù)信息的安全，保障信息的機(jī)密性、完整性和可用性，就要能夠有效的檢測(cè)出入侵行為。入侵行為往往夾雜在正常的數(shù)據(jù)之中，這樣就給檢測(cè)帶來(lái)了一定的困難。有些入侵行為是分布式的，其中單個(gè)行為的特征和系統(tǒng)的正常行為差別不大，很難將他們檢測(cè)出來(lái)

2、。入侵檢測(cè)系統(tǒng)的目標(biāo)就是能夠有效地檢測(cè)出混雜于大量的數(shù)據(jù)信息中的入侵行為。通過(guò)引入數(shù)據(jù)挖掘技術(shù)，系統(tǒng)可以對(duì)大量的各種數(shù)據(jù)源進(jìn)行挖掘，進(jìn)而提取有效的規(guī)則模式等，用于指導(dǎo)IDS網(wǎng)絡(luò)入侵分析。結(jié)合入侵檢測(cè)的特點(diǎn)，本文提出了一種時(shí)間序列模式挖掘的方法(TFSE算法)，用于在大量的時(shí)間相關(guān)數(shù)據(jù)(網(wǎng)絡(luò)數(shù)據(jù)包，系統(tǒng)日志等)進(jìn)行模式挖掘。 本文首先對(duì)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)進(jìn)行了研究，根據(jù)入侵檢測(cè)不同的分類標(biāo)準(zhǔn)，對(duì)入侵檢測(cè)類型作了介紹。詳細(xì)描述了異常檢

3、測(cè)技術(shù)，誤用檢測(cè)技術(shù)，基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，分別分析了它們所采用的技術(shù)和優(yōu)缺點(diǎn)。然后深入研究了數(shù)據(jù)挖掘技術(shù)，對(duì)其流程和所用的方法做了簡(jiǎn)要介紹，將數(shù)據(jù)挖掘和入侵檢測(cè)相結(jié)合來(lái)彌補(bǔ)IDS自適應(yīng)能力不強(qiáng)，建模代價(jià)高，可擴(kuò)展性差的缺陷。最后對(duì)現(xiàn)有的序列模式挖掘算法作了詳細(xì)的介紹，但是這些算法都不是針對(duì)較長(zhǎng)時(shí)間序列數(shù)據(jù)流的，因此本文提出一種序列模式挖掘的方法——TFSE算法，該方法引入了情節(jié)時(shí)間表的概念，一個(gè)情節(jié)模式對(duì)應(yīng)一個(gè)情節(jié)時(shí)間表，