基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測研究.pdf

1、隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，特別是Internet的快速普及，促進了計算機與互聯(lián)網(wǎng)科技的不斷創(chuàng)新與升級。網(wǎng)絡(luò)設(shè)施和資源對于國家、企業(yè)和個人的重要性日益增強，在不斷改變?nèi)藗儌鹘y(tǒng)的生活、工作與學(xué)習(xí)方式的同時也帶來了新的問題和挑戰(zhàn)。人類社會信息化程度日益增加，對網(wǎng)絡(luò)依賴性日益增強，如何能夠保證信息化社會的正常、安全、平穩(wěn)地運轉(zhuǎn)，其中計算機網(wǎng)絡(luò)的安全性是最重要的環(huán)節(jié)之一，必須不斷地得以充實、強化和提高。目前，網(wǎng)絡(luò)互聯(lián)領(lǐng)域的廣度和深度

2、不斷擴展，開放特性不斷深化，造成越來越多的網(wǎng)絡(luò)系統(tǒng)面臨攻擊和入侵的威脅。 本論文基于上述研究背景，開展了基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測研究，以提高檢測算法對未知入侵的檢測有效性為目標，從檢測率和誤報率兩個重要指標出發(fā)，提出以聚類分析為主線的相關(guān)檢測算法，并進行了計算機仿真實驗；與此同時，針對數(shù)據(jù)挖掘中的數(shù)據(jù)預(yù)處理存在的問題提出了相應(yīng)算法的改進。 本論文主要研究工作如下：1.從入侵檢測研究背景和發(fā)展歷程出發(fā)，介紹了入侵、入侵檢

3、測和入侵檢測系統(tǒng)的基本概念和原理，闡述了將數(shù)據(jù)挖掘引入入侵檢測領(lǐng)域的背景，分析其出發(fā)點、可行性以及此領(lǐng)域的研究進展和存在的相關(guān)問題。 2.對數(shù)據(jù)挖掘中的特征子集選擇問題進行分析，提出了基于改進遺傳算法的特征子集選擇算法。此部分討論了研究特征子集選擇的必要性，介紹了特征子集選擇的主要方法，并針對LVF算法存在的問題，提出改進算法以優(yōu)化算法結(jié)果，通過計算機仿真實驗，獲得較LVF算法更優(yōu)良、穩(wěn)定的特征子集集合。 3.針對網(wǎng)絡(luò)入

4、侵檢測中存在的檢測有效性和效率問題，對Portnoy等人提出的檢測算法經(jīng)過認真分析，提出基于遺傳聚類的網(wǎng)絡(luò)入侵檢測算法—NIDBGC算法。NIDBGC算法由Leader聚類階段和遺傳優(yōu)化階段兩部分組成，能自動實現(xiàn)初始聚類簇集合建立、組合優(yōu)化和入侵行為標識的整個檢測過程。計算機仿真實驗結(jié)果表明，NIDBGC算法在保持較大入侵行為比例的情況下，平均檢測率和平均誤檢率仍保持了一定水平，這表明該算法的思想和方法對于未知入侵檢測是可行的，能夠取得

5、一定效果。 4.針對以聚類簇中心矢量代表聚類簇進行聚類分析的過程進行了討論，并舉例分析；針對網(wǎng)絡(luò)入侵檢測研究，考慮到由于網(wǎng)絡(luò)行為分布未知，特別對于未知入侵攻擊行為，其分布方式不一定按超球面形式分布，因此提出非球型網(wǎng)絡(luò)入侵檢測算法-NIDBNNGC算法，算法由最鄰近聚類階段和遺傳優(yōu)化階段兩部分組成，能自動實現(xiàn)初始聚類簇集合建立、組合優(yōu)化和入侵行為標識的整個檢測過程。計算機仿真實驗結(jié)果表明，它的平均檢測率和平均誤檢率水平較NIDBG

6、C算法有一定提高。 同時，考慮到NIDBNNGC算法中遺傳算法的變異算子作為局部搜索算子采用隨機變異方式的情況，未能有效解決遺傳算法自身局部性能方面的問題。提出采用Tabu搜索算法作為遺傳算法的變異算法以改進隨機變異的不足，并將此思想運用到入侵檢測研究，從而提出了新的檢測算法—Tabu-NIDNNGC算法，算法在降低了遺傳算法中種群和迭代規(guī)模的情況下，其檢測結(jié)果較NIDBNNGC算法有了進一步改進，并減小了加權(quán)因子w較小時誤檢率

7、波動的區(qū)域，提高了檢測精度。 5.以Tabu搜索算法為核心，提出了新的檢測算法—基于Tabu搜索的網(wǎng)絡(luò)入侵檢測算法(NIDBTS)，算法以提高檢測率，降低誤檢率為目的，建立了利用Tabu搜索算法進行入侵檢測研究的算法模型。NIDBTS算法由最鄰近聚類階段和Tabu搜索優(yōu)化階段兩部分組成。本論文提出鄰域球和概率門限相結(jié)合以提高Tabu算法全局和局部搜索能力，在算法迭代的前期利用鄰域球提高相鄰解的多樣性，而后期利用概率門限提高對當(dāng)前