基于數(shù)據(jù)挖掘的數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)環(huán)境變得越來(lái)越復(fù)雜,對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō),單純的防火墻技術(shù)暴露出明顯的不足和弱點(diǎn),如無(wú)法解決安全后門(mén)問(wèn)題;不能阻止網(wǎng)絡(luò)內(nèi)部攻擊,而調(diào)查發(fā)現(xiàn),50％以上的攻擊都來(lái)自?xún)?nèi)部;不能提供實(shí)時(shí)入侵檢測(cè)能力;對(duì)于病毒束手無(wú)策等.因此很多研究機(jī)構(gòu)致力于提出更多更強(qiáng)大的主動(dòng)策略和方案來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性,其中一個(gè)有效的解決途徑就是入侵檢測(cè).入侵檢測(cè)系統(tǒng)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)、跟

2、蹤入侵、恢復(fù)或斷開(kāi)網(wǎng)絡(luò)連接等.入侵檢測(cè)就是識(shí)別那些非授權(quán)使用計(jì)算機(jī)系統(tǒng)的個(gè)體(如黑客)和雖然有合法授權(quán)但濫用其權(quán)限的用戶(hù)(如內(nèi)部攻擊).根據(jù)檢測(cè)方法,入侵檢測(cè)分為兩大類(lèi)型:濫用檢測(cè)和異常檢測(cè).濫用檢測(cè)是指將已知的攻擊方式以某種形式存儲(chǔ)在知識(shí)庫(kù)中,然后通過(guò)判斷知識(shí)庫(kù)中的入侵模式是否出現(xiàn)來(lái)檢測(cè),如果出現(xiàn),則說(shuō)明發(fā)生了入侵.這種方法的優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確率較高,缺點(diǎn)是只能對(duì)已知攻擊類(lèi)型和已知系統(tǒng)安全漏洞進(jìn)行檢測(cè).異常檢測(cè)是指將用戶(hù)正常的習(xí)慣行為特征

3、存儲(chǔ)在特征數(shù)據(jù)庫(kù)中,然后將用戶(hù)當(dāng)前行為特征與特征數(shù)據(jù)庫(kù)中的特征進(jìn)行比較,若兩者偏差足夠大,則說(shuō)明發(fā)生了異常.這種方法的優(yōu)點(diǎn)是能檢測(cè)未知的攻擊類(lèi)型,缺點(diǎn)是誤檢率較高.現(xiàn)有的入侵檢測(cè)系統(tǒng)大都采用專(zhuān)家系統(tǒng)或基于統(tǒng)計(jì)的方法,這需要較多的經(jīng)驗(yàn),而數(shù)據(jù)挖掘方法的優(yōu)勢(shì)在于它能從大量數(shù)據(jù)中提取出人們感興趣的、事先未知的知識(shí)和規(guī)律,而不依賴(lài)經(jīng)驗(yàn).將數(shù)據(jù)挖掘技術(shù)應(yīng)用在基于數(shù)據(jù)庫(kù)的入侵檢測(cè)系統(tǒng)中,可以從大量的審計(jì)數(shù)據(jù)中發(fā)現(xiàn)有助于檢測(cè)的知識(shí)和規(guī)則.該文討論了基