資源描述:
《數(shù)據(jù)挖掘算法在入侵檢測中的應(yīng)用研究_1》由會員上傳分享,免費在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。
1����、從本學(xué)科出發(fā),應(yīng)著重選對國民經(jīng)濟具有一定實用價值和理論意義的課題����。課題具有先進性,便于研究生提出新見解��,特別是博士生必須有創(chuàng)新性的成果數(shù)據(jù)挖掘算法在入侵檢測中的應(yīng)用研究摘要該文對入侵檢測的現(xiàn)狀進行了分析���,在此基礎(chǔ)上重點研究了數(shù)據(jù)挖掘算法在異常檢測和誤用檢測中的具體應(yīng)用�。對于異常檢測�,主要研究了分類算法;對于誤用檢測�,主要研究了模式比較和聚類算法,在模式比較中又以關(guān)聯(lián)規(guī)則和序列規(guī)則為重點研究對象���。最后對目前數(shù)據(jù)挖掘算法在入侵檢測中應(yīng)用所面臨的難點進行了分析���,并指明了今后的研究方向����。關(guān)鍵字入侵檢測��;數(shù)據(jù)挖掘��;異常檢測��;
2��、誤用檢測��;分類算法���;關(guān)聯(lián)規(guī)則���;序列規(guī)則;聚類算法0引言隨著網(wǎng)絡(luò)技術(shù)的發(fā)展�����,現(xiàn)在越來越多的人通過豐富的網(wǎng)絡(luò)資源學(xué)會各種攻擊的手法���,通過簡單的操作就可以實施極具破壞力的攻擊行為�����,如何有效的檢測并阻止這些攻擊行為的發(fā)生成了目前計算機行業(yè)普遍關(guān)注的一個問題��。用于加強網(wǎng)絡(luò)安全的手段目前有很多���,如加密,VPN�����,防火墻等����,但這些技術(shù)都是靜態(tài)的,不能夠很好的實施有效的防護����。而入侵檢測技術(shù)是一種動態(tài)的防護策略,它能夠?qū)W(wǎng)絡(luò)安全實施監(jiān)控����、攻擊與反攻擊等動態(tài)保護,在一定程度上彌補了傳統(tǒng)靜態(tài)策略的不足。課題份量和難易程度要恰當(dāng)�����,博士生能在
3�、二年內(nèi)作出結(jié)果,碩士生能在一年內(nèi)作出結(jié)果����,特別是對實驗條件等要有恰當(dāng)?shù)墓烙嫛谋緦W(xué)科出發(fā)�,應(yīng)著重選對國民經(jīng)濟具有一定實用價值和理論意義的課題。課題具有先進性��,便于研究生提出新見解�����,特別是博士生必須有創(chuàng)新性的成果1入侵檢測中數(shù)據(jù)挖掘技術(shù)的引入1.1入侵檢測技術(shù)介紹入侵檢測技術(shù)是對系統(tǒng)的運行狀態(tài)進行監(jiān)視��,發(fā)現(xiàn)各種攻擊企圖���、攻擊行為或者攻擊結(jié)果�,以保證系統(tǒng)資源的機密性�����、完整性與可用性。從檢測數(shù)據(jù)目標(biāo)的角度�,我們可以把入侵檢測系統(tǒng)分為基于主機、基于網(wǎng)絡(luò)���、基于內(nèi)核和基于應(yīng)用等多種類型。本文主要分析基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的構(gòu)造
4���、��。根據(jù)數(shù)據(jù)分析方法的不同�����,我們可以將入侵檢測系統(tǒng)分為兩類:誤用檢測���。又稱為基于特征的檢測,它是根據(jù)已知的攻擊行為建立一個特征庫,然后去匹配已發(fā)生的動作����,如果一致則表明它是一個入侵行為。它的優(yōu)點是誤報率低,但是由于攻擊行為繁多��,這個特征庫會變得越來越大,并且它只能檢測到已知的攻擊行為��。課題份量和難易程度要恰當(dāng)�,博士生能在二年內(nèi)作出結(jié)果,碩士生能在一年內(nèi)作出結(jié)果��,特別是對實驗條件等要有恰當(dāng)?shù)墓烙?。從本學(xué)科出發(fā),應(yīng)著重選對國民經(jīng)濟具有一定實用價值和理論意義的課題����。課題具有先進性,便于研究生提出新見解���,特別是博士生必須有創(chuàng)
5�、新性的成果異常檢測�。又稱為基于行為的檢測,它是建立一個正常的特征庫�����,根據(jù)使用者的行為或資源使用狀況來判斷是否入侵����。它的優(yōu)點在于與系統(tǒng)相對無關(guān),通用性較強����,可能檢測出以前從未出現(xiàn)過的攻擊方法��。但由于產(chǎn)生的正常輪廓不可能對整個系統(tǒng)的所有用戶行為進行全面的描述�����,況且每個用戶的行為是經(jīng)常改變的,所以它的主要缺陷在于誤檢率很高���。將這兩種分析方法結(jié)合起來,可以獲得更好的性能�����。異常檢測可以使系統(tǒng)檢測新的�、未知的攻擊或其他情況;誤用檢測通過防止耐心的攻擊者逐步改變行為模式使得異常檢測器將攻擊行為認為是合法的�,從而保護異常檢測的完整
6、性��。入侵檢測的數(shù)據(jù)源可以通過一些專用的抓包工具來獲取�����,在Windows系統(tǒng)一下,一般采用Winpcap來抓獲數(shù)據(jù)包��,在Unix系統(tǒng)下�,可以通過Tcpdump和Arpwatch來獲取。在數(shù)據(jù)分析階段將會用到我們這里重點要介紹的是數(shù)據(jù)挖掘技術(shù)�,響應(yīng)部分分為主動響應(yīng)和被動響應(yīng)。1.?dāng)?shù)據(jù)挖掘技術(shù)數(shù)據(jù)挖掘技術(shù)是一個從大量的數(shù)據(jù)中提取人們感興趣的模式的過程�����。挖掘的對象不僅是數(shù)據(jù)源�����、文件系統(tǒng)��,也包括諸如Web資源等任何數(shù)據(jù)集合���;同時數(shù)據(jù)挖掘的過程并不是一個直線型的過程����,而是一個螺旋上升�、循環(huán)往復(fù)的多步驟處理過程。課題份量和難易程
7��、度要恰當(dāng),博士生能在二年內(nèi)作出結(jié)果�����,碩士生能在一年內(nèi)作出結(jié)果�����,特別是對實驗條件等要有恰當(dāng)?shù)墓烙?��。從本學(xué)科出發(fā)����,應(yīng)著重選對國民經(jīng)濟具有一定實用價值和理論意義的課題����。課題具有先進性����,便于研究生提出新見解,特別是博士生必須有創(chuàng)新性的成果數(shù)據(jù)挖掘通過預(yù)測未來趨勢及行為�,做出預(yù)測性的、基于知識的決策����。數(shù)據(jù)挖掘的目標(biāo)是從數(shù)據(jù)庫中發(fā)現(xiàn)隱含的�、有意義的知識��,按其功能可分為以下幾類:關(guān)聯(lián)分析關(guān)聯(lián)分析能尋找數(shù)據(jù)庫中大量數(shù)據(jù)的相關(guān)聯(lián)系����,常用的2種技術(shù)為關(guān)聯(lián)規(guī)則和序列模式。關(guān)聯(lián)規(guī)則是發(fā)現(xiàn)一個事物與其他事物間的相互關(guān)聯(lián)性或相互依賴性��,可用于
8����、如分析客戶在超市買牙刷的同時又買牙膏的可能性;序列模式分析將重點放在分析數(shù)據(jù)之間的前后因果關(guān)系�,如買了電腦的顧客則會在3個月內(nèi)買殺毒軟件。聚類輸入的數(shù)據(jù)并無任何類型標(biāo)記�����,聚類就是按一定的規(guī)則將數(shù)據(jù)劃分為合理的集合�����,即將對象分組為多個類或簇����,使得在同一個簇中的對象之間具有較高的相似度���,而在不同簇中的對象差別很大。自動預(yù)測趨勢和行為數(shù)據(jù)挖掘自動在大型數(shù)據(jù)庫中進行
