基于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測方法及系統(tǒng)研究.pdf

1、隨著網(wǎng)絡技術(shù)的不斷發(fā)展和網(wǎng)絡應用范圍的不斷擴大，對網(wǎng)絡的各類攻擊與破壞也與同俱增，隨著網(wǎng)絡攻擊手段的多元化、復雜化、智能化，單純依賴防火墻等靜態(tài)防御已難以勝任網(wǎng)絡安全的需要。入侵檢測作為一種主動的信息安全保障措施，有效地彌補了傳統(tǒng)安全防護技術(shù)的缺陷，但是面對不斷增大的網(wǎng)絡流量、日益更新的網(wǎng)絡設施和層出不窮的攻擊方式，傳統(tǒng)的入侵檢測模型越來越暴露出不足，并且誤報率之高嚴重影響了系統(tǒng)性能。本論文提出一種新的入侵檢測方法，并在此基礎(chǔ)上開發(fā)了基

2、于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測系統(tǒng)(Network Intrusion Detection System based on Data Mining，簡稱DMNIDS)。 在對既有基于數(shù)據(jù)挖掘方法的入侵檢測技術(shù)進行全面分析的基礎(chǔ)上，DMNIDS從一個新的角度將關(guān)聯(lián)規(guī)則和分類技術(shù)應用到網(wǎng)絡審計記錄數(shù)據(jù)中以檢測攻擊行為。論文主要做了以下工作： 1、闡述了入侵檢測系統(tǒng)的分類，探討了入侵檢測系統(tǒng)的體系結(jié)構(gòu)，系統(tǒng)全面地綜述了入侵檢測模型的

3、研究進展狀況，指出了當前所存在的問題。 2、提出了基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡入侵檢測模型DMNIDS(Network IntrusionDetection System based on Data Mining)，給出了詳細的設計原則、設計思路及其模型結(jié)構(gòu)，并給出了審計信息源的收集和預處理方法。DMNIDS模型在關(guān)聯(lián)規(guī)則挖掘上，建立了兩種挖掘模式：靜態(tài)挖掘模式、動態(tài)挖掘模式；實施兩個層面上的挖掘：單層面挖掘、領(lǐng)域?qū)用嫱诰?；在分類引?/p>

4、的構(gòu)建上，通過實驗綜合比較了主流分類技術(shù)，并針對具體問題對決策樹分類方法進行了應用上的改進，從而使得系統(tǒng)具備檢測新類型攻擊的能力；提出的增量式挖掘方法，由于每次只監(jiān)測一個窗口的數(shù)據(jù)量，而不是批量處理網(wǎng)絡日志，所以非常適合在線挖掘，從而使系統(tǒng)在實時性上有較好的性能表現(xiàn)。DMNIDS建模方法為入侵檢測研究提供了一條新思路。 3、DMNIDS在DARPA1998，1999入侵檢測評估數(shù)據(jù)集上的大量實驗證明了本文方法的合理性和有效性。最