基于特征學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測的研究.pdf

1、黑客入侵事件的日益猖獗使人們認(rèn)識到只從防御的角度構(gòu)造安全系統(tǒng)是不夠的，入侵檢測技術(shù)作為“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護措施后的又一個安全保障技術(shù)孕育而生。它對計算機和網(wǎng)絡(luò)資源上的惡意使用行為進行識別和響應(yīng)，不僅檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。 然而隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，海量存儲和高帶寬傳輸?shù)钠占?，入侵檢測系統(tǒng)所面臨的數(shù)據(jù)日益龐大，用傳統(tǒng)的方法對這些數(shù)據(jù)進行分析所耗費的時間相當(dāng)驚人：同時

2、現(xiàn)在的入侵手段千變?nèi)f化，很難通過傳統(tǒng)的手工編寫特征碼方式檢測出復(fù)雜的以及未知的入侵方式。因此迫切需要在傳統(tǒng)的入侵檢測系統(tǒng)中融入一個對海量數(shù)據(jù)強有力的分析工具實現(xiàn)機器的無監(jiān)督學(xué)習(xí)功能，發(fā)現(xiàn)數(shù)據(jù)中潛在的聯(lián)系并交給整個入侵檢測系統(tǒng)進行進一步處理。 本文將數(shù)據(jù)挖掘技術(shù)和模糊數(shù)學(xué)的知識運用于傳統(tǒng)的入侵檢測系統(tǒng)來處理海量數(shù)據(jù)，以提高整個系統(tǒng)的檢測性能，有效的減少整個系統(tǒng)的虛警率和誤警率。所做的工作主要有以下幾點： 1．提出將改進的加

3、權(quán)關(guān)聯(lián)規(guī)則算法運用于入侵特征集的提取比較數(shù)據(jù)挖掘中諸算法后提出將關(guān)聯(lián)規(guī)則的APRIORIN算法運用于入侵檢測中。在深入分析了APRIORIN在運用過程中存在的缺陷后，提出了用基于改進的加權(quán)關(guān)聯(lián)規(guī)則算法來實現(xiàn)入侵檢測系統(tǒng)特征提取引擎。 2．將基于模糊等價關(guān)系的動態(tài)聚類算法運用于入侵特征集的歸納學(xué)習(xí)由改進的APRIORIN算法提取的入侵特征集只是對歷史入侵行為的總結(jié)，對未知的入侵方式缺乏預(yù)見性。因此提出了將模糊理論和聚類的相關(guān)技術(shù)運

4、用系統(tǒng)中，對已有的特征庫進行二次歸納學(xué)習(xí)，使系統(tǒng)能從更高的抽象程度識別入侵行為。該算法能夠隨著閾值設(shè)置的不同而靈活地生成不同抽象程度的聚類，這使得系統(tǒng)可以在不同的抽象級別識別入侵行為。 3．完成基于特征學(xué)習(xí)功能的入侵檢測系統(tǒng)的整體設(shè)計工作給出了一個系統(tǒng)的總體設(shè)計模型。該系統(tǒng)由特征學(xué)習(xí)和實時檢測兩大部分組成。提出了各個部分關(guān)鍵模塊的實現(xiàn)過程。特別是在實現(xiàn)由以上兩個算法獲得入侵特征集的知識表示方面，本系統(tǒng)借鑒了開源軟件snort系統(tǒng)