论文部分内容阅读
入侵检测技术是继防火墙、数据加密等传统安全保护措施之后的新一代安全保障技术。近年来,网络数据流量不断增大,传统的基于人工建模的入侵检测技术已经越来越无法适应新的网络环境,为解决从海量数据中提取出有用信息的问题,人们提出了基于数据挖掘的入侵检测技术。随着入侵手段的不断提高,许多入侵行为往往没有明显的字符串匹配特征,其中任何单独的一条报文或者命令都看似正常,但一系列按时间顺序排列的报文或者命令就构成一次攻击,而且这种攻击序列在一次攻击中只出现一次。为了找寻这种攻击的规律,本文将序列模式挖掘技术引入入侵检测系统。序列模式挖掘算法比数据挖掘的关联规则算法的挖掘粒度更大,它以某种序列攻击的多个样本作为训练数据,挖掘出在一个样本中只出现一次,而在多个样本中频繁出现的攻击行为特征序列,并依此建立检测模型。序列模式挖掘算法克服了关联规则算法中不能反映事件在时间顺序上的前后相关性的缺点,可以检测出应用层R2L(remote to local)和U2R(user to root)攻击,这是目前入侵检测中的一个难点,从而有效地提高了对攻击的检测率。 在研究了现有基于数据挖掘的入侵检测系统的基础上,本文围绕入侵检测技术框架、协议分析和行为分析技术、数据仓库技术以及数据挖掘和序列模式挖掘技术等几个方面展开深入研究,主要创新点包括: 1.提出一种基于序列模式挖掘的误用入侵检测系统框架SEMIDS(a framework of misuse IDS based On SEquential pattern Mining) 通过对各种类型基于数据挖掘的入侵检测系统优劣的分析,本文将序列模式挖掘算法、应用层协议和行为分析、误用检测方法有机地应用于入侵检测系统中,提出一种基于序列模式挖掘的误用入侵检测系统框架SEMIDS。与以往基于数据挖掘的入侵检测系统相比,SEMIDS克服了统计分析的缺点,提取出时间顺序信息,可以检测只出现一次特征的应用层序列攻击。 本文在该系统框架中提出了应用层协议属性的提取与存储方法;适于入侵检测数据格式的高效的序列模式挖掘算法;提出一种候选链结构实现模式匹配和模式比较;利用打分机制为匹配后的数据打分和分流,可以检测出具体攻击或者标记出已获得管理员权限入侵者的可疑行为;使用自适应机制增强了机器自我学习能力,针对变形的攻击重新建立检测模型;判决机制利用状态分析方法,将其它入侵检测系统检测到的可疑行为作为本系统输入,构建了一个开放性的入侵检测系统。实验表明,利用本系统可以描述入侵者的序列攻击行为,建立入侵者的序列攻击特征模型,适用于检测应用层的R2L和U2R攻击。 2.提出了应用层协议属性的提取与存储方法 行为分析充分利用了网络协议的高度有序性,不仅对单个报文进行解析获得应用层信