收藏本站
《国防科学技术大学》 2005年
收藏 | 手机打开
二维码
手机客户端打开本文

基于序列模式挖掘的误用入侵检测系统及其关键技术研究

宋世杰  
【摘要】:入侵检测技术是继防火墙、数据加密等传统安全保护措施之后的新一代安全保障技术。近年来,网络数据流量不断增大,传统的基于人工建模的入侵检测技术已经越来越无法适应新的网络环境,为解决从海量数据中提取出有用信息的问题,人们提出了基于数据挖掘的入侵检测技术。随着入侵手段的不断提高,许多入侵行为往往没有明显的字符串匹配特征,其中任何单独的一条报文或者命令都看似正常,但一系列按时间顺序排列的报文或者命令就构成一次攻击,而且这种攻击序列在一次攻击中只出现一次。为了找寻这种攻击的规律,本文将序列模式挖掘技术引入入侵检测系统。序列模式挖掘算法比数据挖掘的关联规则算法的挖掘粒度更大,它以某种序列攻击的多个样本作为训练数据,挖掘出在一个样本中只出现一次,而在多个样本中频繁出现的攻击行为特征序列,并依此建立检测模型。序列模式挖掘算法克服了关联规则算法中不能反映事件在时间顺序上的前后相关性的缺点,可以检测出应用层R2L(remote to local)和U2R(user to root)攻击,这是目前入侵检测中的一个难点,从而有效地提高了对攻击的检测率。 在研究了现有基于数据挖掘的入侵检测系统的基础上,本文围绕入侵检测技术框架、协议分析和行为分析技术、数据仓库技术以及数据挖掘和序列模式挖掘技术等几个方面展开深入研究,主要创新点包括: 1.提出一种基于序列模式挖掘的误用入侵检测系统框架SEMIDS(a framework of misuse IDS based On SEquential pattern Mining) 通过对各种类型基于数据挖掘的入侵检测系统优劣的分析,本文将序列模式挖掘算法、应用层协议和行为分析、误用