聚類技術(shù)在網(wǎng)絡(luò)入侵檢測中的研究與應(yīng)用.pdf

1、隨著計算機網(wǎng)絡(luò)的不斷發(fā)展,信息化成為人類發(fā)展的大趨勢,網(wǎng)絡(luò)安全也不可避免地成為一個非常重要的問題。人們對系統(tǒng)安全的要求與日俱增,其要求之一就是入侵檢測系統(tǒng)(IDS)。入侵檢測是主動實時地跟蹤檢查對系統(tǒng)的攻擊和內(nèi)部誤用,并及時做出響應(yīng)。入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)分析方法可分為濫用檢測系統(tǒng)和異常檢測系統(tǒng),根據(jù)獲取審計數(shù)據(jù)來源可分為基于主機的入侵檢測系統(tǒng)(HIDS)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)。本文圍繞入侵檢測系統(tǒng)進行了深入細致的研究,介紹

2、了入侵檢測的研究進展,分析了入侵檢測系統(tǒng)的特征、結(jié)構(gòu)和分類,分析了入侵檢測系統(tǒng)的發(fā)展方向以及在入侵檢測中常用的數(shù)據(jù)挖掘方法,深入研究了聚類技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用,并對系統(tǒng)性能做出評估。本文的主要工作和創(chuàng)新之處在于:1.網(wǎng)絡(luò)數(shù)據(jù)量的激增,使審計數(shù)據(jù)以驚人速度劇增,而從海量審計數(shù)據(jù)中提取出具有代表性的系統(tǒng)特征模式,是實現(xiàn)入侵檢測的難點。本論文設(shè)計了一個基于數(shù)據(jù)挖掘的自適應(yīng)入侵檢測系統(tǒng)結(jié)構(gòu),該系統(tǒng)能收集自身系統(tǒng)環(huán)境中的數(shù)據(jù)并能自動訓練這些

3、數(shù)據(jù)以生成檢測模型,使收集數(shù)據(jù)、建立模型及檢測的過程自動化。當檢測環(huán)境改變時,入侵檢測系統(tǒng)不需要做很大的改動,并且當新的攻擊類型或新的正常行為模式出現(xiàn)時,入侵檢測系統(tǒng)能夠較好地識別并自動完善知識庫。2.系統(tǒng)訓練數(shù)據(jù)時,如果訓練集中數(shù)據(jù)不夠潔凈,將導致某些異常數(shù)據(jù)及其變種都被視作正常數(shù)據(jù)。但是實際上,收集一個完全潔凈的訓練數(shù)據(jù)集是很不容易的。本系統(tǒng)在常用聚類技術(shù)K-means算法的基礎(chǔ)上,對K-means算法加以改進,使不帶標識且含異常數(shù)