论文部分内容阅读
随着Internet的飞速发展,计算机网络已经在社会、经济、文化和人们的日常生活中扮演着越来越重要的角色。人们在使用计算机网络的同时,也深深的注意到网络安全的重要性。随着网络攻击手段的多元化、复杂化、智能化,单纯依赖防火墙等静态防御手段已难以胜任网络安全的需要。入侵检测作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷。 但是面对不断增大的网络流量、日益更新的网络设施和层出不穷的攻击方式,传统的入侵检测模型越来越暴露出很多的局限性,如工作量大、响应速度慢以及正确率与效率低等。为了减少在系统构造过程中对专家经验的过多依赖,降低规则提取和编码的困难,本文设计了一个基于数据挖掘技术的入侵检测系统模型。通过引入数据挖掘技术,系统可以从大量的网络事件中挖掘出频繁模式,进而提取有效的检测规则,用于指导IDS网络入侵分析。 本文首先对网络入侵检测技术进行了研究,详细介绍了误用检测和异常检测各自的优缺点,并分析了各种体系结构的入侵检测系统的实现方式和特点,阐述了现有入侵检测系统存在的问题以及发展方向。然后针对现有IDS自适应能力不强,建模代价高,可扩展性差的局限性,在深入研究了数据挖掘技术中关联分析、序列分析以及分类分析的基础上,将知识发现过程同传统的入侵检测技术结合起来,设计了一个基于数据挖掘技术的入侵检测系统模型。该模型主要分为数据挖掘部分和入侵检测部分,其中,数据挖掘部分是整个模型设计的核心,它的主要功能在于能够自动、快速的从海量数据中构建出知识规则库。规则库构建的每一步都是建立在对实际入侵特点分析的基础上,通过比较、选择合适的算法,为后续过程提供有效的输入信息,最终产生简洁、精确的规则集合。模型的设计中给出了数据预处理的方法,并重点介绍了频繁模式的挖掘、比较以及在此基础上构造分类器所需的属性集的过程。最后根据网络数据的具体情况,本文引入关键属性、参考属性以及相对支持度的约束,对关联规则挖掘算法FP_Growth进行了扩展,解决了基本关联挖掘算法中产生大量无用模式的问题,从而帮助系统发掘出更有意义的模式,提高了系统挖掘的执行效率和规则库的准确度。