基于數(shù)據(jù)挖掘的Snort系統(tǒng)改進(jìn)模型的研究.pdf

1、網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及給人類生產(chǎn)和生活帶來了革命性的變化，這也使得人類面臨著一種新的威脅-網(wǎng)絡(luò)安全。入侵檢測(cè)技術(shù)作為一種必要的安全手段，在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮著其獨(dú)到的作用。Snort作為典型的輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，屬于所謂的誤用檢測(cè)模式。該方法是事先設(shè)定好入侵規(guī)則庫，然后通過規(guī)則匹配來發(fā)現(xiàn)入侵?jǐn)?shù)據(jù)，其最大缺陷就是不能發(fā)現(xiàn)新的入侵行為，漏報(bào)率較高。以Snort為例研究誤用檢測(cè)模型的改進(jìn)問題，使其具備對(duì)于新入侵行為的檢測(cè)能力具有

2、重要的理論和實(shí)際意義。
　　本文在深入剖析Snort系統(tǒng)檢測(cè)機(jī)制的基礎(chǔ)上，通過分析固有檢測(cè)機(jī)制存在的對(duì)于新的入侵行為無能為力、漏報(bào)率較高、檢測(cè)速度以及缺少規(guī)則庫自動(dòng)擴(kuò)充機(jī)制等問題，引入數(shù)據(jù)挖掘理論，設(shè)計(jì)了基于數(shù)據(jù)挖掘理論的Snort網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的改進(jìn)模型。該模型在Snort檢測(cè)模型的基礎(chǔ)上增加了正常行為模式挖掘模塊、異常檢測(cè)引擎模塊、數(shù)據(jù)分類模塊和新規(guī)則生成模塊。分析表明，新模型使得系統(tǒng)同時(shí)具有了從新的入侵行為中學(xué)習(xí)新規(guī)則和從