基于聚類的異常檢測技術(shù)的研究.pdf

1、隨著Internet的迅猛發(fā)展，網(wǎng)絡(luò)正在影響社會的政治、經(jīng)濟(jì)、文化、軍事和生活。由于人們對網(wǎng)絡(luò)的依賴程度不斷提高，安全問題變得越來越嚴(yán)峻。入侵檢測作為一種積極主動的信息安全技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵行為。近年來人們在入侵檢測技術(shù)上取得了一些成果，提出了很多適合安全領(lǐng)域的異常檢測技術(shù)，比如基于統(tǒng)計的異常檢測技術(shù)、基于機(jī)器學(xué)習(xí)的異常檢測技術(shù)、基于數(shù)據(jù)挖掘的異常檢測技術(shù)，但是仍然有

2、需要改進(jìn)的地方。 本文以降低誤報率和提高檢測范圍為目的，提出了一種基于聚類的無監(jiān)督異常檢測技術(shù)。從提高實(shí)時性、改善自適應(yīng)性、提高檢測粒度的角度出發(fā)，提出了一種改進(jìn)的混合IDS系統(tǒng)框架，期望為推動本領(lǐng)域的發(fā)展作一點(diǎn)貢獻(xiàn)。 論文的內(nèi)容主要包括如下幾個方面： 1.從整體上介紹入侵檢測的相關(guān)概念，包括體系結(jié)構(gòu)、誤用檢測和異常檢測，然后分析目前國內(nèi)外的研究現(xiàn)狀。 2.介紹了異常檢測技術(shù)的思想，對其進(jìn)行了歸類。詳細(xì)分

3、析了每類異常檢測技術(shù)的思想、優(yōu)缺點(diǎn)，在此基礎(chǔ)上總結(jié)了現(xiàn)有異常檢測技術(shù)的不足。 3.提出了一種基于聚類的無監(jiān)督異常檢測技術(shù)，該模型從多個聚類器中選取DB指數(shù)最小的分簇結(jié)果，并利用最小簇內(nèi)距離、最大簇內(nèi)距離對每個簇進(jìn)行分類，從而識別出攻擊。實(shí)驗表明該模型明顯提高了檢測率、降低了誤報率。 4.提出了一種改進(jìn)的混合IDS框架，詳細(xì)分析了其關(guān)鍵技術(shù)，包括網(wǎng)絡(luò)數(shù)據(jù)包的捕獲技術(shù)、協(xié)議分析技術(shù)、異常檢測技術(shù)、規(guī)則格式及生成機(jī)制，為設(shè)計混