基于數(shù)據(jù)流分類的在線網(wǎng)絡(luò)入侵檢測研究.pdf

1、隨著大規(guī)模復(fù)雜網(wǎng)絡(luò)的迅速發(fā)展，在高速、寬帶的網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)往往以數(shù)據(jù)流(Data Stream)的形式出現(xiàn)，這些數(shù)據(jù)或數(shù)據(jù)的屬性必須按照順序存取且只能被讀取一次或有限次，而不能隨機存取，且是源源不斷，甚至于無限的，往往又是高維的，如何從大量動態(tài)變化的數(shù)據(jù)中快速獲取有用信息具有非常重要的意義。正是網(wǎng)絡(luò)安全應(yīng)用的迫切需求，造成了基于數(shù)據(jù)流挖掘的入侵檢測研究在國內(nèi)外也取得比較豐碩的成果。
　　 數(shù)據(jù)流挖掘是數(shù)據(jù)挖掘的一個新的研究方

2、向，數(shù)據(jù)流分類作為數(shù)據(jù)流挖掘的重要方面，得到了國際數(shù)據(jù)庫領(lǐng)域?qū)＜覀兊膹V泛而深入的研究?；跀?shù)據(jù)流分類的網(wǎng)絡(luò)入侵檢測研究也受到了網(wǎng)絡(luò)安全學(xué)界的關(guān)注，國內(nèi)外有些會議或論文關(guān)注到了其相關(guān)應(yīng)用研究，但還沒有具體的相關(guān)產(chǎn)品。
　　 傳統(tǒng)基于離線數(shù)據(jù)集和全部數(shù)據(jù)集的等同學(xué)習(xí)的入侵檢測方法不能適應(yīng)于高速網(wǎng)絡(luò)環(huán)境，海量的網(wǎng)絡(luò)數(shù)據(jù)流不可能全部存貯到固定的磁盤空間，而且網(wǎng)絡(luò)的入侵模式也隨著時間不斷變化，離線方式不能及時發(fā)現(xiàn)對網(wǎng)絡(luò)的入侵行為，基于數(shù)據(jù)

3、流分類的集成模式可以有效地適應(yīng)高速大流量的網(wǎng)絡(luò)入侵檢測。基于數(shù)據(jù)流分類的網(wǎng)絡(luò)入侵檢測研究有極大的挑戰(zhàn)性，其中主要需要解決兩個困難問題：一是數(shù)據(jù)流分類的概念漂移(Concept Drift)問題；另一個是在類不平衡的網(wǎng)絡(luò)數(shù)據(jù)流中分類問題。在網(wǎng)絡(luò)入侵中，攻擊手段和網(wǎng)絡(luò)流量經(jīng)常發(fā)生變化；在巨大的網(wǎng)絡(luò)流量中，有類標(biāo)的數(shù)據(jù)要遠(yuǎn)遠(yuǎn)少于無類標(biāo)的數(shù)據(jù)，而當(dāng)前研究在線入侵檢測系統(tǒng)也面臨這兩個難題。
　　 本文結(jié)合了入侵檢測技術(shù)和數(shù)據(jù)流分類挖掘技術(shù)