基于數(shù)據(jù)挖掘的分布式入侵檢測系統(tǒng).pdf

1、入侵檢測在計算機(jī)安全系統(tǒng)中發(fā)揮著越來越重要的作用,目前入侵檢測使用的規(guī)則庫還是主要依賴于專家分析提取,由于入侵檢測系統(tǒng)中數(shù)據(jù)量很大,使用人工分析的代價是昂貴的.用數(shù)據(jù)挖掘技術(shù)分析網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵檢測,可以有效的減少人工分析的工作量,但數(shù)據(jù)挖掘技術(shù)應(yīng)用到入侵檢測中存在著一些問題,特別是挖掘效率的問題,該文通過改進(jìn)系統(tǒng)結(jié)構(gòu)和數(shù)據(jù)挖掘的算法來提高系統(tǒng)的性能.該文對入侵檢測技術(shù)進(jìn)行了分析和研究,提出了一個基于數(shù)據(jù)挖掘和Agent的分布式入侵檢測

2、模型,并在此模型的基礎(chǔ)上實現(xiàn)了一個基于數(shù)據(jù)挖掘和Agent的分布式入侵檢測系統(tǒng).該系統(tǒng)可以分布在網(wǎng)絡(luò)中任意數(shù)目的主機(jī)上,其分布式體系結(jié)構(gòu)和靈活的代理體系,使得系統(tǒng)具有很強(qiáng)的分布性和擴(kuò)展性,其實時的學(xué)習(xí)功能增強(qiáng)了入侵檢測系統(tǒng)的檢測能力.基于數(shù)據(jù)挖掘和Agent的分布式入侵檢測模型的代理體系主要由通信代理、數(shù)據(jù)挖掘代理、入侵檢測代理組成,代理之間各自獨立又相互協(xié)作,合作完成入侵檢測的任務(wù).代理體系的引入,將基于主機(jī)的入侵檢測和基于網(wǎng)絡(luò)的入侵

3、檢測靈活地融為一體,形成一個統(tǒng)一的入侵檢測系統(tǒng).數(shù)據(jù)挖掘技術(shù)的引入,使入侵檢測系統(tǒng)有了自學(xué)習(xí)能力,這使系統(tǒng)能自己從該機(jī)日志或網(wǎng)絡(luò)上的數(shù)據(jù)中學(xué)習(xí)并提取特征值,通過分析不斷擴(kuò)充自己的規(guī)則庫,不斷提高檢測入侵的能力.該文實現(xiàn)了基于數(shù)據(jù)挖掘和Agent的分布式入侵檢測系統(tǒng)的具體功能,該文后面章節(jié)對引用的數(shù)據(jù)挖掘的聚類算法和關(guān)聯(lián)規(guī)則進(jìn)行了詳細(xì)的分析,并通過數(shù)據(jù)實驗證明其可行性,系統(tǒng)可以運行在Unix/Linux主機(jī)上,經(jīng)測試證明是一個可行而且先進(jìn)