數(shù)據(jù)挖掘方法在入侵檢測中的研究與設計.pdf

1、隨著網(wǎng)絡規(guī)模的不斷擴大，網(wǎng)絡用戶的不斷增多，網(wǎng)絡知識的不斷普及，網(wǎng)絡和信息的安全受到越來越大的威脅。信息的機密性、完整性和可用性遭到嚴重侵害的事件時有發(fā)生，信息安全問題已經(jīng)成為人們越來越關注的問題。 要保護信息的安全，保障信息的機密性、完整性和可用性，就要能夠有效的檢測出入侵行為。入侵行為往往夾雜在正常的數(shù)據(jù)之中，這樣就給檢測帶來了一定的困難。有些入侵行為是分布式的，其中單個行為的特征和系統(tǒng)的正常行為差別不大，很難將他們檢測出來

2、。入侵檢測系統(tǒng)的目標就是能夠有效地檢測出混雜于大量的數(shù)據(jù)信息中的入侵行為。通過引入數(shù)據(jù)挖掘技術(shù)，系統(tǒng)可以對大量的各種數(shù)據(jù)源進行挖掘，進而提取有效的規(guī)則模式等，用于指導IDS網(wǎng)絡入侵分析。結(jié)合入侵檢測的特點，本文提出了一種時間序列模式挖掘的方法(TFSE算法)，用于在大量的時間相關數(shù)據(jù)(網(wǎng)絡數(shù)據(jù)包，系統(tǒng)日志等)進行模式挖掘。 本文首先對網(wǎng)絡入侵檢測技術(shù)進行了研究，根據(jù)入侵檢測不同的分類標準，對入侵檢測類型作了介紹。詳細描述了異常檢

3、測技術(shù)，誤用檢測技術(shù)，基于主機和基于網(wǎng)絡的入侵檢測系統(tǒng)，分別分析了它們所采用的技術(shù)和優(yōu)缺點。然后深入研究了數(shù)據(jù)挖掘技術(shù)，對其流程和所用的方法做了簡要介紹，將數(shù)據(jù)挖掘和入侵檢測相結(jié)合來彌補IDS自適應能力不強，建模代價高，可擴展性差的缺陷。最后對現(xiàn)有的序列模式挖掘算法作了詳細的介紹，但是這些算法都不是針對較長時間序列數(shù)據(jù)流的，因此本文提出一種序列模式挖掘的方法——TFSE算法，該方法引入了情節(jié)時間表的概念，一個情節(jié)模式對應一個情節(jié)時間表，