论文部分内容阅读
随着网络技术的不断发展,网络攻击手段也层出不穷,人们对网络安全提出了更高的要求。入侵检测是一种积极主动的安全防护技术,作为信息安全保障体系结构的重要组成部分,对于入侵检测技术的研究已经引起越来越多人的重视。传统的入侵检测系统将网络抓取的数据包逐一与规则库中的规则进行模式匹配,随着网络带宽的不断提高,检测效率上存在着巨大的挑战。而且其规则库中的规则根据“专家的知识”手工编码,只能检测已知攻击,而对未知攻击或者已知攻击的变种则无能为力,自适应差。数据挖掘技术可以从海量审计数据中发现各种入侵行为和正常行为模式,将数据挖掘技术引入入侵检测中,将有效提高入侵检测系统的检测效率和自适应性。首先,本文介绍了入侵检测和数据挖掘的相关技术,指出了目前入侵检测存在的问题,讨论了数据挖掘技术在入侵检测中的应用,为基于数据挖掘的入侵检测系统的提出提供了理论基础。其次,重点研究了数据挖掘算法中的关联规则算法和聚类分析算法。在对Apriori关联规则算法进行深入分析的基础上,指出其在挖掘入侵行为模式、转化,为入侵规则以提高入侵检测自适应性方面的优势。针对K-means聚类算法应用于入侵检测时的不足进行改进,在此基础上提出了一种基于改进K-means的异常检测算法。设计实验并利用KDD CUP 99实验数据集作为测试数据进行实验分析。然后,在通用入侵检测框架(CIDF)的基础上,设计了一种基于数据挖掘的入侵检测系统。该系统分别利用Apriori算法和改进的K-means算法构建关联分析模块和聚类分析模块,将异常检测与误用检测相结合,试图解决入侵检测的检测效率及自适应性瓶颈问题。最后将设计的系统利用Java语言进行实现并进行了系统测试。测试结果表明该系统不仅提高了入侵检测的效率而且具备了检测未知攻击的能力。