基于數(shù)據(jù)流挖掘分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究.pdf

1、入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）從檢測(cè)技術(shù)上分為誤用檢測(cè)(MisuseDetection)和異常檢測(cè)(AnomalyDetection)兩種。誤用檢測(cè)技術(shù)是基于匹配入侵特征庫的原理，其特點(diǎn)是誤報(bào)率低、漏報(bào)率高;異常檢測(cè)技術(shù)是基于分析行為模式的原理，其特點(diǎn)是漏報(bào)率低，誤報(bào)率高。這兩種技術(shù)各有優(yōu)劣，如何將這兩種技術(shù)有效的結(jié)合起來以提高入侵檢測(cè)系統(tǒng)的性能是當(dāng)前信息安全領(lǐng)域研究的重要問題之一。誤用檢測(cè)

2、技術(shù)的典型應(yīng)用代表有Snort系統(tǒng)。Snort是一個(gè)開源的網(wǎng)絡(luò)入侵檢測(cè)軟件，它采用規(guī)則驅(qū)動(dòng)的語言和插件擴(kuò)充的形式，能夠?qū)崟r(shí)對(duì)數(shù)據(jù)流量進(jìn)行分析、對(duì)網(wǎng)絡(luò)數(shù)據(jù)包和系統(tǒng)日志進(jìn)行檢測(cè)。Snort系統(tǒng)的功能非常強(qiáng)大，其代碼的簡潔性、免費(fèi)性和可移植性使得Snort成為入侵檢測(cè)系統(tǒng)的原型系統(tǒng)。而異常檢測(cè)技術(shù)一直處于理論研究之中，并且多數(shù)足基于數(shù)據(jù)挖掘的方法進(jìn)行研究的，目前缺乏成熟和完美的系統(tǒng)。數(shù)據(jù)挖掘(DataMining)綜合了人工智能技術(shù)、機(jī)器學(xué)習(xí)

3、技術(shù)和數(shù)據(jù)庫理論，它是知識(shí)發(fā)現(xiàn)(KnowledgeDiscoveryinDatabase，簡稱KDD)理論的擴(kuò)展。
　　 本文立足于對(duì)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的分析，著重研究網(wǎng)絡(luò)數(shù)據(jù)流的異常檢測(cè)算法。網(wǎng)絡(luò)數(shù)據(jù)流屬于典型的數(shù)據(jù)流類型的數(shù)據(jù)，從數(shù)據(jù)流分析的角度看，異常檢測(cè)可以看作足如何發(fā)現(xiàn)異常數(shù)據(jù)流的問題，該問題可以看作是數(shù)據(jù)挖掘領(lǐng)域的離群點(diǎn)分析問題。而對(duì)于數(shù)據(jù)流的挖掘分析問題又是在數(shù)據(jù)挖掘領(lǐng)域里極具挑戰(zhàn)性的新課題。因?yàn)閿?shù)據(jù)流具有海量、動(dòng)態(tài)

4、變化的特點(diǎn)，使得傳統(tǒng)的數(shù)據(jù)挖掘算法對(duì)數(shù)據(jù)流的分析效果不是很好，如何改進(jìn)現(xiàn)有數(shù)據(jù)挖掘算法使其能有效的檢測(cè)出數(shù)據(jù)流中的異常行為，是當(dāng)前數(shù)據(jù)挖掘領(lǐng)域的一個(gè)難點(diǎn)和熱點(diǎn)問題。其難點(diǎn)之一就是要求算法只能一次或有限次數(shù)的掃描數(shù)據(jù)集，并且要求算法的處理速度相當(dāng)快。在對(duì)數(shù)據(jù)流處理的方法中，具有代表性的算法有數(shù)據(jù)流聚類算法CluStream。本文將CluStream算法應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)流的研究，提出了一種改進(jìn)的雙層框架結(jié)構(gòu)的數(shù)據(jù)流異常檢測(cè)算法ADStream