基于頻繁模式挖掘的網(wǎng)絡(luò)攻擊檢測及特征發(fā)現(xiàn).pdf

1、近年來，隨著網(wǎng)民數(shù)量的快速增長，各種網(wǎng)絡(luò)服務(wù)的層出不窮，網(wǎng)絡(luò)流量隨之不斷增大，網(wǎng)絡(luò)行為也變得越來越復(fù)雜。惡意流量、惡意行為也隨之到來，如DoS(拒絕服務(wù)攻擊，Denial of Service)、蠕蟲病毒等，已經(jīng)成為大規(guī)模高速網(wǎng)絡(luò)的普遍威脅，嚴重干擾了Internet的正常運行，造成了巨額的經(jīng)濟損失。 本文在總結(jié)了目前網(wǎng)絡(luò)攻擊的基本原理、步驟和常用手段的基礎(chǔ)上，詳細探討了蠕蟲和拒絕服務(wù)攻擊這兩種大規(guī)模攻擊類型的特性，提出了基于I

2、P流的網(wǎng)絡(luò)攻擊檢測模型，研究了數(shù)據(jù)挖掘中頻繁模式挖掘算法的改進算法，并將改進的算法運用到了蠕蟲和拒絕服務(wù)攻擊檢測及攻擊特性發(fā)現(xiàn)工作中。 首先，在討論了頻繁模式挖掘經(jīng)典算法的基礎(chǔ)上，針對FP—Growth算法的不足，研究了基于候選組合頻繁模式的頻繁模式挖掘算法，通過構(gòu)造候選頻繁模式，在FP樹路徑中進行匹配來挖掘頻繁模式。改進算法無需生成條件模式樹，并利用了并查集這種數(shù)據(jù)結(jié)構(gòu)適合用作元素快速查詢和插入的特性，同時根據(jù)先驗原理進行候選

3、模式的剪枝，實驗表明，該算法優(yōu)于FP—Growth算法。 然后，研究了基于FP—Tree的最大頻繁模式挖掘算法，同樣將FP樹路徑映射到并查集數(shù)據(jù)結(jié)構(gòu)中，將自頂向下的剪枝策略和自底向上的匹配挖掘策略相結(jié)合，實驗數(shù)據(jù)表明，該算法能較快地挖掘最大頻繁模式。 接著，提出了基于NetFlow流數(shù)據(jù)的蠕蟲和拒絕服務(wù)攻擊檢測系統(tǒng)模型，為了提高檢測的實時性，首先采用了基于流長分布相關(guān)性分析的可疑數(shù)據(jù)段的發(fā)現(xiàn)方法，接著研究了基于四次哈希散

4、列的網(wǎng)絡(luò)流數(shù)據(jù)統(tǒng)計算法，統(tǒng)計了可疑數(shù)據(jù)段中每個用戶的網(wǎng)絡(luò)使用狀況，進而發(fā)現(xiàn)可疑用戶并對這些用戶數(shù)據(jù)進行挖掘分析，從而大大減少了后續(xù)挖掘工作所要處理的數(shù)據(jù)量。在發(fā)現(xiàn)可疑主機和數(shù)據(jù)段的基礎(chǔ)上，將改進的頻繁模式挖掘算法分別運用到蠕蟲和拒絕服務(wù)攻擊檢測和特性發(fā)現(xiàn)工作中，實驗表明，該檢測模型體系能達到較好的檢測效果。 最后，用Java實現(xiàn)了攻擊檢測的原型軟件系統(tǒng)。 運用本文提出的攻擊檢測模型和檢測方法，改進了以往直接對網(wǎng)絡(luò)報文或主