基于異常模式的入侵檢測(cè)系統(tǒng)的研究.pdf

1、入侵檢測(cè)系統(tǒng)是一種通過實(shí)時(shí)監(jiān)測(cè)系統(tǒng)/網(wǎng)絡(luò)以發(fā)現(xiàn)入侵攻擊行為的安全技術(shù).論文在分析了目前常用的異常入侵檢測(cè)方法和網(wǎng)絡(luò)入侵攻擊手段的基礎(chǔ)上,提出了一種基于異常模式的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)方案.主要是結(jié)合數(shù)據(jù)挖掘中的關(guān)聯(lián)分析算法分析網(wǎng)絡(luò)連接記錄,并針對(duì)目前網(wǎng)絡(luò)入侵和攻擊方法的特點(diǎn),運(yùn)用數(shù)理統(tǒng)計(jì)方法對(duì)數(shù)據(jù)包流量進(jìn)行監(jiān)測(cè).在運(yùn)用關(guān)聯(lián)分析算法對(duì)網(wǎng)絡(luò)連接記錄進(jìn)行分析中,根據(jù)入侵檢測(cè)的具體情況,對(duì)標(biāo)準(zhǔn)的Apriori算法進(jìn)行了修改,排除了一些無意義的規(guī)則對(duì)

2、結(jié)果的影響,并通過實(shí)驗(yàn)證明了方法的可行性和有效性;提出了一種運(yùn)用得到的規(guī)則進(jìn)行檢測(cè)的機(jī)制,可以提高系統(tǒng)檢測(cè)的速度,降低系統(tǒng)資源的使用率,比較適合于目前的高帶寬大流量的網(wǎng)絡(luò)環(huán)境.在流量檢測(cè)中,為每臺(tái)機(jī)器統(tǒng)計(jì)在各個(gè)時(shí)間段接收和發(fā)送的平均數(shù)據(jù)包流量,通過監(jiān)測(cè)每臺(tái)機(jī)器接收和發(fā)送的數(shù)據(jù)包與統(tǒng)計(jì)流量比較來檢測(cè)流量異常,并能對(duì)統(tǒng)計(jì)流量進(jìn)行動(dòng)態(tài)更新,最后通過實(shí)驗(yàn)證明流量檢測(cè)能夠有效地發(fā)現(xiàn)以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源為手段的拒絕服務(wù)攻擊引起的網(wǎng)絡(luò)流量異常情況