協(xié)議分析及聚類算法在入侵檢測中的應(yīng)用研究.pdf

1、隨著計(jì)算機(jī)與網(wǎng)絡(luò)通訊技術(shù)的迅速發(fā)展,網(wǎng)絡(luò)環(huán)境日益復(fù)雜、攻擊手段日新月異,入侵檢測作為網(wǎng)絡(luò)安全的第二道防線,能有效地保障網(wǎng)絡(luò)安全,已成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的研究熱門?，F(xiàn)有的檢測技術(shù)無法滿足高維的和變形的網(wǎng)絡(luò)數(shù)據(jù)包的處理,如存在檢測效果不理想、檢測精度較低及檢測響應(yīng)時(shí)間長等問題。
　　本文在RFC815IP分片重組的基礎(chǔ)上,.采用二叉搜索樹進(jìn)行分片排序、重組對(duì)數(shù)據(jù)包進(jìn)行快速處理。再利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性,將數(shù)據(jù)進(jìn)行初步的分類。由于目前

2、關(guān)聯(lián)規(guī)則算法對(duì)海量數(shù)據(jù)的處理檢測精度低、檢測處理能力有限以及空泛值低的缺點(diǎn)。針對(duì)多維數(shù)據(jù)的稀疏性和離散性特點(diǎn),本文在原有關(guān)聯(lián)算法的基礎(chǔ)上,提出了一種矩陣加權(quán)關(guān)聯(lián)規(guī)則的核模糊聚類算法。該算法的核心是根據(jù)樣本的特征向量提取樣本的相似度,再在該關(guān)聯(lián)規(guī)則算法上進(jìn)行聚類來尋找相似關(guān)系的頻繁項(xiàng)目集。通過引入核函數(shù),樣本點(diǎn)被非線性變換映射到高維特征空間進(jìn)行聚類,提高了聚類性能。
　　針對(duì)現(xiàn)有的檢測模型對(duì)多維數(shù)據(jù)處理有效性、可信性不高及即時(shí)檢測響

3、應(yīng)時(shí)間差等問題。本文提出了半監(jiān)督自適用檢測算法,該算法的主要思想是首先利用滑動(dòng)窗口將正常的系統(tǒng)調(diào)用序列切分為短序列,作為后面分析的特征值。然后利用區(qū)間K-Means算法對(duì)序列中的多維特征向量進(jìn)行分割,獲得初始聚類中心。最后利用以上的檢測方法對(duì)訓(xùn)練樣本中未標(biāo)記的樣本集進(jìn)行檢測。利用以上訓(xùn)練出來的模型進(jìn)行識(shí)別、標(biāo)記。將識(shí)別出來的正常樣本加入標(biāo)記樣本集合。重新進(jìn)行模型的訓(xùn)練,得到新的聚類中心和新的半監(jiān)督模型狀態(tài)轉(zhuǎn)移矩陣。通過分析異常檢測矩陣中