數(shù)據(jù)流挖掘技術(shù)在入侵檢測(cè)中的研究與應(yīng)用.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的不斷發(fā)展，人們?cè)诘靡嬗诰W(wǎng)絡(luò)的同時(shí)，其上網(wǎng)的數(shù)據(jù)安全性和人們自身的利益受到了嚴(yán)重威脅，信息和網(wǎng)絡(luò)系統(tǒng)的安全性變得至關(guān)重要。入侵檢測(cè)是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)監(jiān)控，在系統(tǒng)受到危害之前攔截和響應(yīng)入侵。但由于網(wǎng)絡(luò)結(jié)構(gòu)的不斷復(fù)雜化，傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)已經(jīng)無(wú)法適應(yīng)網(wǎng)絡(luò)新攻擊層出不窮和數(shù)據(jù)量日益增大的趨勢(shì)。當(dāng)前入侵檢測(cè)系統(tǒng)中誤報(bào)率高、實(shí)時(shí)性差和很難發(fā)現(xiàn)復(fù)雜的分步驟攻擊等問(wèn)題成為

2、當(dāng)前安全領(lǐng)域亟待解決的問(wèn)題之一。
　　 數(shù)據(jù)流挖掘技術(shù)是一種對(duì)高維的、動(dòng)態(tài)變化的大量流式數(shù)據(jù)進(jìn)行挖掘的新方法，如何在有限的空間和時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行快速處理以獲取有用信息，成為當(dāng)前數(shù)據(jù)挖掘領(lǐng)域的研究熱點(diǎn)。網(wǎng)絡(luò)數(shù)據(jù)流是實(shí)時(shí)到達(dá)的，通過(guò)對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行處理，發(fā)現(xiàn)其中的頻繁模式用來(lái)提取用戶(hù)行為特征、建立檢測(cè)模型，能夠提高入侵檢測(cè)系統(tǒng)的實(shí)時(shí)性和適應(yīng)性，是實(shí)現(xiàn)入侵檢測(cè)自動(dòng)化的重要途徑。
　　 本文分析了當(dāng)前入侵檢測(cè)系統(tǒng)的現(xiàn)狀和面臨的

3、挑戰(zhàn)以及數(shù)據(jù)流挖掘技術(shù)。針對(duì)數(shù)據(jù)流海量、快速、以特定次序到達(dá)等特點(diǎn)，通過(guò)采用事務(wù)與時(shí)間相結(jié)合的滑動(dòng)窗口模型、使用帶權(quán)的位對(duì)象和位對(duì)象組表示數(shù)據(jù)、構(gòu)造位頻繁模式樹(shù)MFP-Tree等手段，提出了一個(gè)可以在非恒定流速的數(shù)據(jù)流中挖掘最大頻繁模式的算法MFP-Stream。為了解決當(dāng)前入侵檢測(cè)系統(tǒng)實(shí)時(shí)性差、漏報(bào)率高等問(wèn)題，本文提出了一個(gè)基于數(shù)據(jù)流挖掘技術(shù)的入侵檢測(cè)系統(tǒng)，系統(tǒng)主要包括抓包及過(guò)濾模塊、預(yù)處理模塊、數(shù)據(jù)流挖掘模塊、特征提取模塊和控制模塊

4、等，利用Snort系統(tǒng)開(kāi)源、系統(tǒng)規(guī)則簡(jiǎn)潔、易擴(kuò)展、易操作等特性，將MFP-Stream算法挖掘出的最大頻繁模式通過(guò)特征編碼、加入規(guī)則文件等方式形成一個(gè)正常行為模式庫(kù)，并將其應(yīng)用到Snort系統(tǒng)中，正常行為模式庫(kù)保存了用戶(hù)的正常行為，當(dāng)待檢測(cè)數(shù)據(jù)與模式庫(kù)中數(shù)據(jù)不匹配時(shí)即被認(rèn)定為入侵行為。源源不斷流入的數(shù)據(jù)流和MFP-Stream算法實(shí)時(shí)挖掘的特性，可以保證這個(gè)正常行為模式庫(kù)實(shí)時(shí)更新，保證了系統(tǒng)的實(shí)時(shí)性以及面對(duì)未知方式入侵時(shí)的檢測(cè)能力。最后