基于数据挖掘的入侵检测方法研究

【摘要】： 随着网络和其它信息技术的广泛应用,网络系统的安全变得至关重要。入侵检测技术作为一种主动的安全保障措施,有效地弥补了传统网络安全防护技术的缺陷,已经成为网络信息安全的一个重要研究领域。将数据挖掘技术应用于入侵检测也取得了一些成果和进展。如何将数据挖掘算法更有效地结合到入侵检测中,是研究要解决的问题之一。 本文通过分析数据挖掘技术,将关联规则算法和聚类算法运用于入侵检测。所作的工作主要有以下几点: 为了对未标识网络数据进行入侵检测,提出了一种新的基于聚类的无监督检测方法。该方法通过欧氏距离度量数据之间的差异,根据相似性准则建立初始聚类簇,然后用混合遗传算法对初始聚类进行优化组合,进行入侵检测。该方法不需要预设聚类数目,克服了初始聚类对结果的影响,提高了聚类质量,实验结果表明该方法有较好的检测率和较低的误警率。 在用关联规则算法进行入侵检测中,关联规则算法直接影响到入侵检测的效率,因此本文提出一种改进的基于FP-tree的关联规则算法,该算法将数据库划分为不重叠的几部分,对各部分进行关联规则挖掘,在挖掘过程中采用对事务集进行重新排序的方法,最后合并满足最小支持度的各部分频繁模式得到全局频繁模式。该方法避免了产生大量侯选集,减少了建树时间,降低了内存开销,从而提高了算法的效率。 本文还采用基于FP-tree的增量更新算法对模式库进行更新,从而对入侵模式库进行补充,来提高检测的效率。最后提出一种实时的检测方法思想。该方法通过采用改进关联规则算法来建立正常行为模式库和入侵行为模式库,然后通过对实时网络数据进行增量挖掘,来更新模式库,通过与模式库的匹配实现入侵检测。