收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

基于数据挖掘的自适应入侵检测建模研究

向继东  
【摘要】:随着网络技术的不断发展和网络应用范围的不断扩大,对网络的各类攻击与破坏也与日俱增,随着网络攻击手段的多元化、复杂化、智能化,单纯依赖防火墙等静态防御已难以胜任网络安全的需要。入侵检测作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷,但是面对不断增大的网络流量、日益更新的网络设施和层出不穷的攻击方式,传统的入侵检测模型越来越暴露出不足:自适应能力不强,不能够检测到一些新的或未知形式的入侵;建模代价高,系统更新速度慢;可扩展性差,从某个环境中收集数据建立的检测模型不能很好地应用于其它环境的系统。在计算机网络环境中,一个性能良好的入侵检测系统应具备有效性、适应性和可扩展性,而其关键在于构造出更通用的检测模型,减少在模型构造过程中的特别因素以及对专家经验的过多依赖。本文提出了一种新的基于数据挖掘技术的自适应入侵检测模型DMAIDM(Data Mining Adaptive Intrusion Detection Model),该模型采用数据挖掘技术从收集到的系统和网络行为记录中挖掘出潜在的安全信息,自动提炼成入侵模式,并随环境的变化自动更新入侵模式库。采用通用的评估数据集KDD99 Set对DMAIDM进行评价,结果表明,DMAIDM能保持在较低误检率(0.92%)的基础上,很好地检测出(71.67%)记录集中存在的未知入侵,尤其在R2L和U2R这两类入侵的检测上相比KDD 99大赛中的结果具有优异的表现。最后把该模型放在实际的网络环境中运行测试,测试结果验证了DMAIDM建模方法的有效性。 本论文以公安部科研项目:“具有免疫功能的自适应防入侵监测系统”为背景,结合“华中电力信息网络安全管理及实时数据传输问题的研究”课题,围绕具有自适应功能的入侵检测建模问题展开了研究。本论文主要做了以下工作: 1.阐述了入侵检测系统的分类,探讨了入侵检测系统的体系结构,系统全面地综述了入侵检测模型的研究进展状况,指出了当前所存在的问题。 2.提出了一种新的基于数据挖掘技术的自适应入侵检测模型DMAIDM(Data Mining based Adaptable Intrusion Detection Model),给出了详细的设计原则、设计思路及其模型结构,并给出了审计信息源的收集和预处理方法。DMAIDM模型采用无监督自学习机制,利用划分聚类技术将系统和网络行为集划分为正常行为库和异常行为库,再利用关联规则挖掘和频繁序列模式挖掘技术从划分出的正常行为库和异常行为库中挖掘出关联模式和频繁序列模式,经过模式比较、模式合并,形成入侵模式,进而构建成入侵模式库。由于入侵模式的提取是通过对行为记录的挖掘自动 完成,因此能根据当前的环境自动更新模式库;另外,DMAIDM不依赖于训练数据 集和预先的背景知识,建模代价小。DMAIDM建模方法为入侵检测研究提供了一条 新思路。 3.提出了面向混合类型数据的快速启发式聚类算法FHCAM(Fast Heuristic clustering Aigorithmfo:Mixed data),并给出了异常行为库和正常行为库的划分原理 及其实现方法。FHCAM算法利用记录间的非相似度,采用启发式方式对系统和网络 行为集进行划分聚类。FHCAM算法解决了传统聚类算法在入侵检测领域所存在的混 合类型数据相异性计算、大流量数据快速聚类要求、以及最终聚类数目未知等问题。 文中给出了FHCAM算法的相关定义,详细描述了FHCAM算法的推导过程,并进 行了一系列的对比性评估,对评估结果进行了详尽的分析讨论,进而提出了“静则 勿动,变才需求”的优化方法。评估结果表明,FHCAM算法无论在运算效率还是在 聚类效果上均优于k一means算法。在FHCAM算法的基础上,提出了正常/异常行为 库的划分方法,给出了划分原理及其实现过程,划分评估结果验证了该方案的有效 性,该划分方法可以用于入侵模式库的构建和实时异常检测。纵观本章的研究工作, 本文提出的面向混合类型数据的快速启发式聚类算法FHCAM及基于此算法的异常/ 正常行为库的划分方法为异常行为的识别研究提供了一条崭新的技术途径。 4.提出了基于属性约束的模糊规则挖掘算法ACFMAR(Aitribute一Constrained Based凡zzy Mining月gorithm for Rules),并在ACFMAR算法的基础上,提出了入侵 模式库的智能构建方法,并给出了构建原理及其具体实现方式。针对模式挖掘中的 “不相关规则”问题,引入了“主因子属性”、“参考属性”和“属性相关支持度” 等属性约束策略来减少不相关规则的产生,提高挖掘效率:利用“主因子属性”来 减少不相关规则项的产生,提高规则的兴趣度;利用“参考属性”来挖掘包含更多 信息的频繁序列模式;利用“属性相关支持度”来处理低分布率属性,挖掘出“稀 少”异常行为记录的规则,增强入侵模式库的完备性。针对“尖锐边界”问题,提 出了将特征属性模糊集作为单一属性来处理的模糊规则挖掘算法FMAAR(Fuzzy Mining川gorithm for怒soeiation Rules),并通过关于网络流量的一个异常检测实验验 证了该方法的有效性。在ACFMAR算法的基础上,给出了入侵模式库的构建原理及 方法,并就构建过程中的问题给出了具体的解决方法。本文所提出的基于属性约束 的模糊规则挖掘算法ACFMAR不仅是对数据挖掘


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 舒朗,王蔚然;分布式防火墙中日志系统的设计与实现[J];微型机与应用;2005年08期
2 ;东方龙马入侵检测系统[J];网络安全技术与应用;2003年04期
3 杨向荣,宋擒豹,沈钧毅;基于数据挖掘的智能化入侵检测系统[J];计算机工程;2001年09期
4 祁建清,闫镔,杨正;IDS研究概述[J];电子对抗技术;2001年04期
5 李焕洲;网络安全和入侵检测技术[J];四川师范大学学报(自然科学版);2001年04期
6 周继军,李祥和;面向用户的网络安全预警系统[J];网络安全技术与应用;2001年01期
7 董小玲;;金诺网安与天融信结成产品联盟[J];计算机安全;2001年08期
8 杜滨,杨寿保;基于入侵检测的立体防御系统体系结构研究[J];计算机工程与应用;2002年20期
9 卢桂艳,郭权,苏飞;基于移动代理的入侵检测系统的研究[J];大连民族学院学报;2002年03期
10 斯海飞,赵国庆;网络入侵检测技术研究[J];火控雷达技术;2002年02期
11 翁艳彬,周序生;入侵检测系统综述[J];中国包装工业;2002年05期
12 章夏芬,温涛;基于数据挖掘、智能代理的入侵检测和响应[J];计算机工程;2003年07期
13 王攀峰,张海,熊家军;基于移动Agent的入侵检测系统[J];武汉理工大学学报(交通科学与工程版);2003年03期
14 卢峰,张云峰,冯子腾;移动代理技术在分布式入侵检测系统中的应用[J];光电技术应用;2003年05期
15 彭文灵,张忠明;入侵检测技术在网络安全中的应用研究[J];赣南师范学院学报;2003年03期
16 陈伟,彭文灵,杨敏;基于数据挖掘的入侵检测系统中挖掘效率的研究[J];赣南师范学院学报;2003年06期
17 张瑞霞,王勇;一种基于数据挖掘的入侵检测模型[J];计算机与现代化;2003年05期
18 薛静锋,李翠,单纯;网络入侵检测中的特征提取研究[J];平顶山师专学报;2003年02期
19 蔡方萍;基于数据分流实现高速网入侵检测的研究与实践[J];萍乡高等专科学校学报;2003年04期
20 常速,杨宗凯;WEB GIS在基于Agent的入侵检测系统中的应用[J];微型电脑应用;2003年01期
中国重要会议论文全文数据库 前10条
1 王东;王丽娜;董晓梅;于戈;申德荣;;基于免疫思想的入侵检测研究[A];第十九届全国数据库学术会议论文集(技术报告篇)[C];2002年
2 廖桂平;喻飞;沈岳;张林峰;徐成;;入侵检测系统性能评估中实验环境的仿真[A];第二十六届中国控制会议论文集[C];2007年
3 王卉;屈强;;面向入侵检测的数据挖掘:研究与发展[A];第二十四届中国数据库学术会议论文集(技术报告篇)[C];2007年
4 周涛;;基于数据挖掘的入侵检测日志分析技术研究[A];第二届中国科学院博士后学术年会暨高新技术前沿与发展学术会议程序册[C];2010年
5 叶颖;严毅;;UNIX的入侵检测及防范[A];广西计算机学会——2004年学术年会论文集[C];2004年
6 李艳辉;李雷;万明;;基于分层结构的无线传感器网络入侵检测系统[A];2010年通信理论与信号处理学术年会论文集[C];2010年
7 青华平;傅彦;;基于模式匹配和神经网络的分布式入侵防御系统的研究[A];第二十次全国计算机安全学术交流会论文集[C];2005年
8 闫耀辉;臧洌;黄同心;;基于协同训练的Co-Forest算法在入侵检测中的应用[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(下册)[C];2010年
9 王敏;高翔;李宏伟;;模糊逻辑及遗传算法在入侵检测中的应用[A];首届信息获取与处理学术会议论文集[C];2003年
10 沈权;;基于自治代理的分布式入侵检测系统的研究[A];全国第16届计算机科学与技术应用(CACIS)学术会议论文集[C];2004年
中国博士学位论文全文数据库 前10条
1 向继东;基于数据挖掘的自适应入侵检测建模研究[D];武汉大学;2004年
2 马振婴;混合软计算技术在入侵检测中的应用研究[D];重庆大学;2010年
3 郑凯梅;基于统计机器学习的网络入侵检测分类研究[D];中国矿业大学(北京);2010年
4 耿立中;基于入侵检测的附网存储设备安全关键技术研究[D];清华大学;2010年
5 吴静;入侵检测中神经网络融合学习方法的研究[D];吉林大学;2010年
6 赵月爱;基于非均衡数据分类的高速网络入侵检测研究[D];太原理工大学;2010年
7 王飞;入侵检测分类器设计及其融合技术研究[D];南京理工大学;2011年
8 郭陟;可视化入侵检测研究[D];清华大学;2004年
9 马恒太;基于Agent分布式入侵检测系统模型的建模及实践[D];中国科学院软件研究所;2001年
10 潘志松;基于神经网络的入侵检测研究[D];南京航空航天大学;2003年
中国硕士学位论文全文数据库 前10条
1 王瑛;基于模糊聚类的入侵检测算法研究[D];江西理工大学;2010年
2 林乐平;基于无监督的入侵检测[D];西安电子科技大学;2005年
3 王建;基于模式匹配的网络入侵检测系统的研究与设计[D];武汉理工大学;2010年
4 肖海明;基于数据降维和支持向量机的入侵检测方法研究[D];华北电力大学(河北);2010年
5 李盼;基于LLE特征提取的BVM网络入侵检测方法[D];华北电力大学(北京);2011年
6 张炜;高速WLAN入侵检测关键技术的研究[D];河北工程大学;2011年
7 颜辉;人工神经网络在入侵检测中的应用[D];长春理工大学;2004年
8 张振兴;入侵检测及告警信息聚合技术研究[D];河北大学;2011年
9 谢清森;改进的PrefixSpan算法在入侵检测中的应用[D];暨南大学;2010年
10 刘晓;基于BP神经网络的智能入侵检测研究[D];重庆大学;2010年
中国重要报纸全文数据库 前10条
1 钟力 姚兰 梁中骐;抓住罪恶之“手”[N];网络世界;2004年
2 ;NetScreen-IDP 500 高端入侵检测与防护设备[N];计算机世界;2003年
3 行健;启明星辰发布天阗入侵检测与管理系统V6.0[N];国际商报;2004年
4 启明星辰信息技术有限公司总裁兼CEO 严望佳;启明星辰:追求产业创新[N];电脑商报;2008年
5 王明毅;入侵检测融合漏洞扫描技术带来产品新突破[N];中国石油报;2004年
6 Henry Wang;误报漏报是个难点[N];中国计算机报;2004年
7 ;如何选择和使用UTM设备[N];网络世界;2009年
8 北京 张率;防黑第一招[N];中国电脑教育报;2001年
9 李刚;打IDS“组合拳”[N];中国计算机报;2004年
10 ;入侵检测产品功能指标说明[N];网络世界;2001年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978