论文部分内容阅读
针对现有的基于主机或基于网络的入侵检测系统结构存在缺乏有效性、适应性和扩展性的不足。本文论述了一种基于智能代理技术、数据挖掘技术建立分布式入侵检测模型的方法,其理论与技术实质是将代理技术和数据挖掘技术相结合,结构上采用代理技术,内容上采用数据挖掘技术。系统中各代理相互协作,对系统或网络的原始审计数据进行预处理生成包含基本特征的连接记录;利用数据挖掘技术中的关联规则挖掘算法和频繁序列规则挖掘算法,得到系统事件在属性间和时间序列上的频繁模式。这些模式可用来指导系统属性的选择和构造,挖掘生成有用的用户行为模式(正常的或者异常的);通过比较当前的系统行为模式和已有的历史行为模式规则的相似度来发现已知或未知的误用入侵和异常入侵活动。该模型具有很好的可扩充性,易于加入新的入侵检测代理,也易于扩充新的入侵模式,同时采用数据挖掘技术分析入侵活动,减少了过度依赖专家经验的缺陷,提高了系统的智能性、检测的有效性和可扩展性。
为了检验上述方法的正确性,我们以DARPA1998年提供的部份用户数据为基础,模拟了对用户正常行为模式的挖掘并与异常行为模式进行了比较,给出了相应的实验结果。最后,提出了一个基于智能代理的分布式入侵检测系统设计方案。该方案具备智能、高效、自适应性和易扩充特性。
第一章介绍了当前入侵检测系统的研究现状。第二章主要介绍入侵检测系统的基本原理,并着重详述误用检测和异常检测的概念、特征和入侵检测系统中目前的常用检测技术。第三章在介绍智能代理和数据挖掘基本理论的基础上,提出了一个新的系统模型,并分析了系统的可行性。第四章介绍数据挖掘的基本算法,并在系统中进行关联规则测试。第五章在上述分析研究的基础上,提出了一个基于Agent的分布式入侵检测系统设计方案。第六章对研究工作进行总结。