基于聚类分析的入侵检测方法研究

【摘要】： 随着网络的快速发展,网络所面临的安全问题也变得越来越突出,各种各样的攻击也越来越频繁。虽然防火墙的应用在一定程度上阻止了网络的入侵,但随着网络攻击技术的发展,已经不能满足人们对网络安全的需求。越来越多的蠕虫、病毒、木马成功突破了防火墙的保护,因为传统的防火墙只能对付已知的攻击,而对于一些潜在的攻击却无所适从。在这种背景下,具有网络安全预警功能的入侵检测开始愈来愈多的受到人们的关注。 入侵检测的关键是在如何收集有效的数据,并对各种入侵行为进行分析。目前一般采用两类入侵检测技术,即误用检测和异常检测。误用检测假定入侵行为和手段都可以表达为一种模式或特征,它可以准确地检测已知的入侵行为,但不能检测未知的入侵行为。而异常检测是基于行为的检测,但由于目前分析方法还不很成熟,误报率和漏报率较高。聚类分析是数据挖掘中的一个热点研究领域,它通过对大量数据的分析,可以对大量的数据对象自动进行归类,适合用于异常检测。因此在聚类的基础上提出了一种基于最小差异度的聚类入侵检测方法,并据此设计了入侵检测模块。实验结果表明该入侵检测模块可以发现一些未知的入侵,并具有较好的时间复杂度。 本文首先介绍了网络安全的基本概念、基本体系结构及当前常用的安全技术,指出了入侵检测在网络安全中的研究意义。接着对传统入侵检测技术进行了比较分析,指出其存在的不足;然后通过对聚类的介绍和分析,提出了一种基于最小差异度的聚类入侵检测方法并设计了入侵检测模块。最后对基于最小差异度的聚类检测技术进行了总结,并对聚类分析在入侵检测中的应用作了进一步的分析和展望。