基于數(shù)據(jù)挖掘的分布式網(wǎng)絡(luò)入侵協(xié)同檢測(cè)系統(tǒng)研究及實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)入侵形式的不斷變化與多樣性，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)與設(shè)備已不能充分抵御網(wǎng)絡(luò)攻擊。例如，目前推出的商用分布式入侵檢測(cè)系統(tǒng)基本是采用基于已知入侵行為規(guī)則的匹配技術(shù)，檢測(cè)引擎分布在需要監(jiān)控的網(wǎng)絡(luò)中或主機(jī)上，獨(dú)立進(jìn)行入侵檢測(cè)，入侵檢測(cè)系統(tǒng)中心管理控制平臺(tái)僅負(fù)責(zé)平臺(tái)配置、檢測(cè)引擎管理和各檢測(cè)引擎的檢測(cè)結(jié)果顯示，對(duì)各檢測(cè)引擎的檢測(cè)數(shù)據(jù)缺乏協(xié)同分析。同時(shí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)與防火墻、防病毒軟件等之間也是單兵作戰(zhàn)，對(duì)復(fù)雜的攻擊行為難以做出正確的判斷。

2、 異常入侵檢測(cè)技術(shù)根據(jù)使用者的行為或資源使用情況判斷是否存在入侵行為，通用性較強(qiáng)，缺陷是誤檢率太高。誤用檢測(cè)運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)攻擊，檢測(cè)準(zhǔn)確度高，但系統(tǒng)依賴性太強(qiáng)，檢測(cè)范圍受已知知識(shí)的局限。 將數(shù)據(jù)挖掘技術(shù)應(yīng)用到入侵檢測(cè)系統(tǒng)是目前入侵檢測(cè)研究的重要方向，論文討論了基于數(shù)據(jù)挖掘的入侵檢測(cè)主體技術(shù)，指出了聯(lián)合使用幾種數(shù)據(jù)挖掘方法和將數(shù)據(jù)挖掘與傳統(tǒng)的誤用檢測(cè)、異常檢測(cè)協(xié)是

3、一個(gè)重要的研究方向。 論文提出了改進(jìn)的FP-Growth的關(guān)聯(lián)分析算法、基于分箱統(tǒng)計(jì)的FCM網(wǎng)絡(luò)入侵檢測(cè)技術(shù)和基于免疫學(xué)原理的混合入侵檢測(cè)技術(shù)。改進(jìn)的FP-Growth算法引入了聚合鏈的單鏈表結(jié)構(gòu)，每個(gè)節(jié)點(diǎn)只保留指向父節(jié)點(diǎn)的指針，節(jié)省了樹(shù)空間，有效解決了數(shù)據(jù)挖掘速度問(wèn)題，提高了入侵檢測(cè)系統(tǒng)的執(zhí)行效率和規(guī)則庫(kù)的準(zhǔn)確度；基于分箱統(tǒng)計(jì)的FCM網(wǎng)絡(luò)入侵檢測(cè)技術(shù)不需要頻繁更新聚類中心，同時(shí)耗時(shí)間題也得到較好的改善，將特征匹配與基于分箱的F

4、CM算法相結(jié)合，能較好的發(fā)現(xiàn)新的攻擊類型，便于檢測(cè)知識(shí)庫(kù)的更新；基于免疫學(xué)原理的混合入侵檢測(cè)技術(shù)充分發(fā)揮了免疫系統(tǒng)在實(shí)現(xiàn)過(guò)程中表現(xiàn)出的識(shí)別、學(xué)習(xí)、記憶、多樣性、自適應(yīng)、容錯(cuò)及分布式檢測(cè)等復(fù)雜的信息處理能力，具有良好的應(yīng)用前景。 論文分析了網(wǎng)絡(luò)入侵檢測(cè)技術(shù)在檢測(cè)性能、系統(tǒng)的健壯性與自適應(yīng)性等方面存在的主要問(wèn)題，討論了網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)。針對(duì)目前商用入侵檢測(cè)系統(tǒng)協(xié)同分析幾乎空缺、規(guī)則更新滯后、檢測(cè)技術(shù)與入侵手段變化不適應(yīng)的現(xiàn)

5、狀，提出了基于數(shù)據(jù)挖掘的分布式網(wǎng)絡(luò)入侵協(xié)同檢測(cè)系統(tǒng)（以下簡(jiǎn)稱“協(xié)同檢測(cè)系統(tǒng)”）模型。該模型從數(shù)據(jù)采集協(xié)同、數(shù)據(jù)分析協(xié)同和系統(tǒng)響應(yīng)協(xié)同三個(gè)方面實(shí)現(xiàn)了入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)協(xié)作、功能協(xié)作、動(dòng)作協(xié)作和處理協(xié)作，有效增強(qiáng)了入侵檢測(cè)系統(tǒng)的檢測(cè)能力。 論文詳細(xì)討論了“協(xié)同檢測(cè)系統(tǒng)”的檢測(cè)引擎設(shè)計(jì)、通信模塊設(shè)計(jì)和系統(tǒng)協(xié)同設(shè)計(jì)。檢測(cè)引擎是系統(tǒng)的主體，涉及到網(wǎng)絡(luò)數(shù)據(jù)包捕獲、數(shù)據(jù)解析、入侵檢測(cè)等功能。針對(duì)高速網(wǎng)絡(luò)環(huán)境下信息量大、實(shí)時(shí)性要求高，使用Lib

6、pcap捕包易造成掉包與癱瘓的現(xiàn)狀，提出了內(nèi)存映射與半輪詢（NAPI）捕包新技術(shù)，有效減少了系統(tǒng)內(nèi)核向用戶空間的內(nèi)存拷貝，避免了重負(fù)載情況下的中斷活鎖，確保了高速網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)包采集的實(shí)時(shí)性與準(zhǔn)確性。 數(shù)據(jù)解協(xié)首先對(duì)鏈路層包頭、IP層包頭、傳輸層包頭、應(yīng)用層協(xié)議四部分進(jìn)行解析，然后對(duì)數(shù)據(jù)作預(yù)處理。在此基礎(chǔ)上，運(yùn)用改進(jìn)的FP-Growth算法對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行挖掘，檢測(cè)子模塊解釋并評(píng)估數(shù)據(jù)挖掘模塊提取的模式，結(jié)果送至反饋端口。

7、 通信模塊實(shí)現(xiàn)了數(shù)據(jù)采集解析器與數(shù)據(jù)挖掘檢測(cè)器之間、檢測(cè)引擎和報(bào)警優(yōu)化器之間、報(bào)警優(yōu)化器與中心控制平臺(tái)之間的有效通信，給出有關(guān)函數(shù)。 系統(tǒng)協(xié)同設(shè)計(jì)是本系統(tǒng)的特色。本文從入侵檢測(cè)系統(tǒng)內(nèi)部數(shù)據(jù)采集協(xié)同、入侵檢測(cè)系統(tǒng)與漏洞掃描系統(tǒng)協(xié)同、入侵檢測(cè)系統(tǒng)與防病毒系統(tǒng)協(xié)同、檢測(cè)引擎分析協(xié)同、不同安全系統(tǒng)分析協(xié)同、IDS與防病毒系統(tǒng)協(xié)同、IDS與交換機(jī)協(xié)同、IDS與防火墻協(xié)同等方面，科學(xué)地給出了數(shù)據(jù)采集協(xié)同、數(shù)據(jù)分析協(xié)同、系統(tǒng)響應(yīng)協(xié)同的含義、原