基于數(shù)據(jù)流挖掘技術(shù)的入侵檢測(cè)模型研究.pdf

1、隨著Internet的迅速發(fā)展,操作系統(tǒng)規(guī)模的不斷增大,傳統(tǒng)的靜態(tài)防火墻技術(shù)不能滿足當(dāng)今網(wǎng)絡(luò)安全的需求。入侵檢測(cè)作為一種主動(dòng)的防御技術(shù),是傳統(tǒng)計(jì)算機(jī)安全機(jī)制的有效補(bǔ)充。從本質(zhì)上講,入侵檢測(cè)技術(shù)是對(duì)各種審計(jì)數(shù)據(jù)的分析。數(shù)據(jù)挖掘是一種高級(jí)的數(shù)據(jù)分析技術(shù),把其用到入侵檢測(cè)領(lǐng)域,構(gòu)建智能、自適應(yīng)的入侵檢測(cè)系統(tǒng)得到了很多研究人員的關(guān)注。 傳統(tǒng)的數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用大多是改進(jìn)現(xiàn)有數(shù)據(jù)挖掘算法或者將多種數(shù)據(jù)挖掘方法相結(jié)合來(lái)構(gòu)建入

2、侵檢測(cè)模型。傳統(tǒng)的數(shù)據(jù)挖掘技術(shù)以靜態(tài)的數(shù)據(jù)集為數(shù)據(jù)源,多遍掃描數(shù)據(jù)集挖掘有用的知識(shí)模式。而入侵檢測(cè)系統(tǒng)處理的數(shù)據(jù)是無(wú)限、高速的多維網(wǎng)絡(luò)數(shù)據(jù)流,把網(wǎng)絡(luò)數(shù)據(jù)保存后再進(jìn)行分析有著一定的滯后性,并且把海量的網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)保存后分析也是不可行的。因此需要直接分析網(wǎng)絡(luò)數(shù)據(jù)流,構(gòu)建基于數(shù)據(jù)流挖掘技術(shù)的入侵檢測(cè)模型。 本文分析了數(shù)據(jù)集KDD99中的四類攻擊數(shù)據(jù),論證用戶的行為可以通過(guò)分析訪問(wèn)數(shù)據(jù)進(jìn)行追蹤,即可以通過(guò)分析用戶的訪問(wèn)數(shù)據(jù)來(lái)刻畫(huà)用戶的行

3、為。網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)有著數(shù)據(jù)流的特點(diǎn),因此本文設(shè)計(jì)了基于數(shù)據(jù)流挖掘技術(shù)的入侵檢測(cè)模型,利用數(shù)據(jù)流挖掘技術(shù)分析不斷到來(lái)的高速網(wǎng)絡(luò)數(shù)據(jù)流,得到用于刻畫(huà)用戶行為的訪問(wèn)模式,利用得到的訪問(wèn)模式檢測(cè)新到來(lái)的數(shù)據(jù)是否為入侵?jǐn)?shù)據(jù)。 構(gòu)建基于數(shù)據(jù)流挖掘技術(shù)的入侵檢測(cè)模型的關(guān)鍵在于有高效的數(shù)據(jù)流挖掘算法的支持。本文設(shè)計(jì)一種新型數(shù)據(jù)結(jié)構(gòu)MaxFP-Tree,并在MaxFP-Tree的基礎(chǔ)上設(shè)計(jì)了基于衰減窗口機(jī)制的挖掘網(wǎng)絡(luò)數(shù)據(jù)流上用戶訪問(wèn)模式的算法APi

4、nNDS。APinNDS與傳統(tǒng)的基于Apriori的算法思想(通過(guò)頻繁項(xiàng)集之間的并集操作尋找新的頻繁項(xiàng)集)完全不同,它以在數(shù)據(jù)記錄中實(shí)際出現(xiàn)的節(jié)點(diǎn)為根據(jù),通過(guò)抽象操作實(shí)現(xiàn)對(duì)頻繁項(xiàng)集支持度的記錄,它不是從空集開(kāi)始正向生長(zhǎng)的樹(shù),而是從全集開(kāi)始反向生長(zhǎng)的樹(shù)。同時(shí)采用衰減機(jī)制來(lái)消除歷史數(shù)據(jù)的影響,使內(nèi)存中維護(hù)的MaxFP-Tree樹(shù)能真實(shí)反映用戶當(dāng)前的狀況,并使MaxFP-Tree樹(shù)的規(guī)模保持在一個(gè)合理的規(guī)模,從而可以高效的處理不斷到來(lái)的網(wǎng)絡(luò)數(shù)