基于数据挖掘的自适应入侵检测建模研究

被引量 : 54次 | 上传用户:kangjilin
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着网络技术的不断发展和网络应用范围的不断扩大,对网络的各类攻击与破坏也与日俱增,随着网络攻击手段的多元化、复杂化、智能化,单纯依赖防火墙等静态防御已难以胜任网络安全的需要。入侵检测作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷,但是面对不断增大的网络流量、日益更新的网络设施和层出不穷的攻击方式,传统的入侵检测模型越来越暴露出不足:自适应能力不强,不能够检测到一些新的或未知形式的入侵;建模代价高,系统更新速度慢;可扩展性差,从某个环境中收集数据建立的检测模型不能很好地应用于其它环境的系统。在计算机网络环境中,一个性能良好的入侵检测系统应具备有效性、适应性和可扩展性,而其关键在于构造出更通用的检测模型,减少在模型构造过程中的特别因素以及对专家经验的过多依赖。本文提出了一种新的基于数据挖掘技术的自适应入侵检测模型DMAIDM(Data Mining Adaptive Intrusion Detection Model),该模型采用数据挖掘技术从收集到的系统和网络行为记录中挖掘出潜在的安全信息,自动提炼成入侵模式,并随环境的变化自动更新入侵模式库。采用通用的评估数据集KDD99 Set对DMAIDM进行评价,结果表明,DMAIDM能保持在较低误检率(0.92%)的基础上,很好地检测出(71.67%)记录集中存在的未知入侵,尤其在R2L和U2R这两类入侵的检测上相比KDD 99大赛中的结果具有优异的表现。最后把该模型放在实际的网络环境中运行测试,测试结果验证了DMAIDM建模方法的有效性。 本论文以公安部科研项目:“具有免疫功能的自适应防入侵监测系统”为背景,结合“华中电力信息网络安全管理及实时数据传输问题的研究”课题,围绕具有自适应功能的入侵检测建模问题展开了研究。本论文主要做了以下工作: 1.阐述了入侵检测系统的分类,探讨了入侵检测系统的体系结构,系统全面地综述了入侵检测模型的研究进展状况,指出了当前所存在的问题。 2.提出了一种新的基于数据挖掘技术的自适应入侵检测模型DMAIDM(Data Mining based Adaptable Intrusion Detection Model),给出了详细的设计原则、设计思路及其模型结构,并给出了审计信息源的收集和预处理方法。DMAIDM模型采用无监督自学习机制,利用划分聚类技术将系统和网络行为集划分为正常行为库和异常行为库,再利用关联规则挖掘和频繁序列模式挖掘技术从划分出的正常行为库和异常行为库中挖掘出关联模式和频繁序列模式,经过模式比较、模式合并,形成入侵模式,进而构建成入侵模式库。由于入侵模式的提取是通过对行为记录的挖掘自动完成,因此能根据当前的环境自动更新模式库;另外,DMAIDM不依赖于训练数据集和预先的背景知识,建模代价小。DMAIDM建模方法为入侵检测研究提供了一条新思路。 3.提出了面向混合类型数据的快速启发式聚类算法FHCAM(Fast Heuristicclustering Aigorithmfo:Mixed data),并给出了异常行为库和正常行为库的划分原理及其实现方法。FHCAM算法利用记录间的非相似度,采用启发式方式对系统和网络行为集进行划分聚类。FHCAM算法解决了传统聚类算法在入侵检测领域所存在的混合类型数据相异性计算、大流量数据快速聚类要求、以及最终聚类数目未知等问题。文中给出了FHCAM算法的相关定义,详细描述了FHCAM算法的推导过程,并进行了一系列的对比性评估,对评估结果进行了详尽的分析讨论,进而提出了“静则勿动,变才需求”的优化方法。评估结果表明,FHCAM算法无论在运算效率还是在聚类效果上均优于k一means算法。在FHCAM算法的基础上,提出了正常/异常行为库的划分方法,给出了划分原理及其实现过程,划分评估结果验证了该方案的有效性,该划分方法可以用于入侵模式库的构建和实时异常检测。纵观本章的研究工作,本文提出的面向混合类型数据的快速启发式聚类算法FHCAM及基于此算法的异常/正常行为库的划分方法为异常行为的识别研究提供了一条崭新的技术途径。 4.提出了基于属性约束的模糊规则挖掘算法ACFMAR(Aitribute一ConstrainedBased凡zzy Mining月gorithm for Rules),并在ACFMAR算法的基础上,提出了入侵模式库的智能构建方法,并给出了构建原理及其具体实现方式。针对模式挖掘中的“不相关规则”问题,引入了“主因子属性”、“参考属性”和“属性相关支持度”等属性约束策略来减少不相关规则的产生,提高挖掘效率:利用“主因子属性”来减少不相关规则项的产生,提高规则的兴趣度;利用“参考属性”来挖掘包含更多信息的频繁序列模式;利用“属性相关支持度”来处理低分布率属性,挖掘出“稀少”异常行为记录的规则,增强入侵模式库的完备性。针对“尖锐边界”问题,提出了将特征属性模糊集作为单一属性来处理的模糊规则挖掘算法FMAAR(FuzzyMining川gorithm for怒soeiation Rules),并通过关于网络流量的一个异常检测实验验证了该方法的有效性。在ACFMAR算法的基础上,给出了入侵模式库的构建原理及方法,并就构建过程中的问题给出了具体的解决方法。本文所提出的基于属性约束的模糊规则挖掘算法ACFMAR不仅是对数据挖掘
其他文献
生物质能源的开发利用是缓解我国能源和环境压力,建立可持续发展能源系统的有效措施,其中,生物质热裂解技术由于可以将低品位的生物质能转化为高品质的液体燃料或者高附加值的化
夫妻财产制是规定夫妻之间财产关系的法律制度,是家庭正常运转和职能实现、社会稳定和发展的法律保障,一向为世界各国婚姻家庭法所重视。在我国现行婚姻法修订前后,虽然学者们关
结肠慢传输型便秘(slow transit constipation STC)是功能性便秘中最常见的类型,但对其发病机制、中医病机及证候学特点、规范化治疗均缺乏足够的认识。为此,我们进行了以下临
随着社会的不断进步,农村中小企业在我国农村经济发展中发挥的作用越来越不可忽视。农村中小企业在其发展的过程中,信贷融资是支撑农村中小企业持续发展的重要资金来源。然而,国
对二维声表面波压电声子晶体在射频段的带隙特性,进行了时域有限差分法(FDTD)理论推导和计算,并提出实验方法对比验证。FDTD计算模型考虑了压电效应,引入周期边界条件以节省
本文利用沉降技术制备了不同粒度分布的石墨,通过不同温度的氧化处理、掺入Li2O和NiO等工艺制备了改性的天然鳞片石墨;采用X射线衍射法、扫描电子显微镜、微电极循环伏安、恒电
公山尾隧道右洞出洞口段断面面积超大,存在浅埋偏压,围岩稳定性差。在分析隧道工程地质条件基础上,提出联合采用大管棚、小导管注浆、超前锚杆等超前支护手段,通过CD工法进洞
文章通过对液压提升机现存问题的分析,指出了现有液压提升机的手动操作减压式比例阀方式、变量泵直接反馈排量调节变量结构、泵控马达开环速度控制方式等是液压提升机不能实
<正> 鸡,不论是在十二生肖中,还是在家养六畜里,都占有一席之地,有关它的诗词、曲赋、成语、典故也特别多,流传甚广。时值鸡年来临之际,笔者顺手引些逸闻趣事,与大家共赏。鸡
期刊
社会主义社会是全面发展、全面进步的社会,社会主义现代化建设是一项全面的社会系统工程。它要求我们不仅要高度重视社会主义物质文明建设,而且要高度重视社会主义精神文明建设