基于異常模式的入侵檢測系統(tǒng)的研究.pdf

1、入侵檢測系統(tǒng)是一種通過實時監(jiān)測系統(tǒng)/網(wǎng)絡以發(fā)現(xiàn)入侵攻擊行為的安全技術.論文在分析了目前常用的異常入侵檢測方法和網(wǎng)絡入侵攻擊手段的基礎上,提出了一種基于異常模式的入侵檢測系統(tǒng)的設計方案.主要是結(jié)合數(shù)據(jù)挖掘中的關聯(lián)分析算法分析網(wǎng)絡連接記錄,并針對目前網(wǎng)絡入侵和攻擊方法的特點,運用數(shù)理統(tǒng)計方法對數(shù)據(jù)包流量進行監(jiān)測.在運用關聯(lián)分析算法對網(wǎng)絡連接記錄進行分析中,根據(jù)入侵檢測的具體情況,對標準的Apriori算法進行了修改,排除了一些無意義的規(guī)則對

2、結(jié)果的影響,并通過實驗證明了方法的可行性和有效性;提出了一種運用得到的規(guī)則進行檢測的機制,可以提高系統(tǒng)檢測的速度,降低系統(tǒng)資源的使用率,比較適合于目前的高帶寬大流量的網(wǎng)絡環(huán)境.在流量檢測中,為每臺機器統(tǒng)計在各個時間段接收和發(fā)送的平均數(shù)據(jù)包流量,通過監(jiān)測每臺機器接收和發(fā)送的數(shù)據(jù)包與統(tǒng)計流量比較來檢測流量異常,并能對統(tǒng)計流量進行動態(tài)更新,最后通過實驗證明流量檢測能夠有效地發(fā)現(xiàn)以消耗網(wǎng)絡帶寬和系統(tǒng)資源為手段的拒絕服務攻擊引起的網(wǎng)絡流量異常情況