數(shù)據(jù)挖掘算法在入侵檢測(cè)中的應(yīng)用研究_1

《數(shù)據(jù)挖掘算法在入侵檢測(cè)中的應(yīng)用研究_1》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。

1、從本學(xué)科出發(fā)，應(yīng)著重選對(duì)國(guó)民經(jīng)濟(jì)具有一定實(shí)用價(jià)值和理論意義的課題。課題具有先進(jìn)性，便于研究生提出新見解，特別是博士生必須有創(chuàng)新性的成果數(shù)據(jù)挖掘算法在入侵檢測(cè)中的應(yīng)用研究摘要該文對(duì)入侵檢測(cè)的現(xiàn)狀進(jìn)行了分析，在此基礎(chǔ)上重點(diǎn)研究了數(shù)據(jù)挖掘算法在異常檢測(cè)和誤用檢測(cè)中的具體應(yīng)用。對(duì)于異常檢測(cè)，主要研究了分類算法；對(duì)于誤用檢測(cè)，主要研究了模式比較和聚類算法，在模式比較中又以關(guān)聯(lián)規(guī)則和序列規(guī)則為重點(diǎn)研究對(duì)象。最后對(duì)目前數(shù)據(jù)挖掘算法在入侵檢測(cè)中應(yīng)用所面臨的難點(diǎn)進(jìn)行了分析，并指明了今后的研究方向。關(guān)鍵字入侵檢測(cè)；數(shù)據(jù)挖掘；異常檢測(cè)；

2、誤用檢測(cè)；分類算法；關(guān)聯(lián)規(guī)則；序列規(guī)則；聚類算法0引言隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，現(xiàn)在越來越多的人通過豐富的網(wǎng)絡(luò)資源學(xué)會(huì)各種攻擊的手法，通過簡(jiǎn)單的操作就可以實(shí)施極具破壞力的攻擊行為，如何有效的檢測(cè)并阻止這些攻擊行為的發(fā)生成了目前計(jì)算機(jī)行業(yè)普遍關(guān)注的一個(gè)問題。用于加強(qiáng)網(wǎng)絡(luò)安全的手段目前有很多，如加密，VPN，防火墻等，但這些技術(shù)都是靜態(tài)的，不能夠很好的實(shí)施有效的防護(hù)。而入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的防護(hù)策略，它能夠?qū)W(wǎng)絡(luò)安全實(shí)施監(jiān)控、攻擊與反攻擊等動(dòng)態(tài)保護(hù)，在一定程度上彌補(bǔ)了傳統(tǒng)靜態(tài)策略的不足。課題份量和難易程度要恰當(dāng)，博士生能在

3、二年內(nèi)作出結(jié)果，碩士生能在一年內(nèi)作出結(jié)果，特別是對(duì)實(shí)驗(yàn)條件等要有恰當(dāng)?shù)墓烙?jì)。從本學(xué)科出發(fā)，應(yīng)著重選對(duì)國(guó)民經(jīng)濟(jì)具有一定實(shí)用價(jià)值和理論意義的課題。課題具有先進(jìn)性，便于研究生提出新見解，特別是博士生必須有創(chuàng)新性的成果1入侵檢測(cè)中數(shù)據(jù)挖掘技術(shù)的引入1．1入侵檢測(cè)技術(shù)介紹入侵檢測(cè)技術(shù)是對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性與可用性。從檢測(cè)數(shù)據(jù)目標(biāo)的角度，我們可以把入侵檢測(cè)系統(tǒng)分為基于主機(jī)、基于網(wǎng)絡(luò)、基于內(nèi)核和基于應(yīng)用等多種類型。本文主要分析基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的構(gòu)造

4、。根據(jù)數(shù)據(jù)分析方法的不同，我們可以將入侵檢測(cè)系統(tǒng)分為兩類：誤用檢測(cè)。又稱為基于特征的檢測(cè)，它是根據(jù)已知的攻擊行為建立一個(gè)特征庫(kù),然后去匹配已發(fā)生的動(dòng)作，如果一致則表明它是一個(gè)入侵行為。它的優(yōu)點(diǎn)是誤報(bào)率低,但是由于攻擊行為繁多，這個(gè)特征庫(kù)會(huì)變得越來越大，并且它只能檢測(cè)到已知的攻擊行為。課題份量和難易程度要恰當(dāng)，博士生能在二年內(nèi)作出結(jié)果，碩士生能在一年內(nèi)作出結(jié)果，特別是對(duì)實(shí)驗(yàn)條件等要有恰當(dāng)?shù)墓烙?jì)。從本學(xué)科出發(fā)，應(yīng)著重選對(duì)國(guó)民經(jīng)濟(jì)具有一定實(shí)用價(jià)值和理論意義的課題。課題具有先進(jìn)性，便于研究生提出新見解，特別是博士生必須有創(chuàng)

5、新性的成果異常檢測(cè)。又稱為基于行為的檢測(cè)，它是建立一個(gè)正常的特征庫(kù)，根據(jù)使用者的行為或資源使用狀況來判斷是否入侵。它的優(yōu)點(diǎn)在于與系統(tǒng)相對(duì)無關(guān),通用性較強(qiáng)，可能檢測(cè)出以前從未出現(xiàn)過的攻擊方法。但由于產(chǎn)生的正常輪廓不可能對(duì)整個(gè)系統(tǒng)的所有用戶行為進(jìn)行全面的描述，況且每個(gè)用戶的行為是經(jīng)常改變的,所以它的主要缺陷在于誤檢率很高。將這兩種分析方法結(jié)合起來，可以獲得更好的性能。異常檢測(cè)可以使系統(tǒng)檢測(cè)新的、未知的攻擊或其他情況；誤用檢測(cè)通過防止耐心的攻擊者逐步改變行為模式使得異常檢測(cè)器將攻擊行為認(rèn)為是合法的，從而保護(hù)異常檢測(cè)的完整

6、性。入侵檢測(cè)的數(shù)據(jù)源可以通過一些專用的抓包工具來獲取，在Windows系統(tǒng)一下，一般采用Winpcap來抓獲數(shù)據(jù)包，在Unix系統(tǒng)下，可以通過Tcpdump和Arpwatch來獲取。在數(shù)據(jù)分析階段將會(huì)用到我們這里重點(diǎn)要介紹的是數(shù)據(jù)挖掘技術(shù)，響應(yīng)部分分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。1．?dāng)?shù)據(jù)挖掘技術(shù)數(shù)據(jù)挖掘技術(shù)是一個(gè)從大量的數(shù)據(jù)中提取人們感興趣的模式的過程。挖掘的對(duì)象不僅是數(shù)據(jù)源、文件系統(tǒng)，也包括諸如Web資源等任何數(shù)據(jù)集合；同時(shí)數(shù)據(jù)挖掘的過程并不是一個(gè)直線型的過程，而是一個(gè)螺旋上升、循環(huán)往復(fù)的多步驟處理過程。課題份量和難易程

7、度要恰當(dāng)，博士生能在二年內(nèi)作出結(jié)果，碩士生能在一年內(nèi)作出結(jié)果，特別是對(duì)實(shí)驗(yàn)條件等要有恰當(dāng)?shù)墓烙?jì)。從本學(xué)科出發(fā)，應(yīng)著重選對(duì)國(guó)民經(jīng)濟(jì)具有一定實(shí)用價(jià)值和理論意義的課題。課題具有先進(jìn)性，便于研究生提出新見解，特別是博士生必須有創(chuàng)新性的成果數(shù)據(jù)挖掘通過預(yù)測(cè)未來趨勢(shì)及行為，做出預(yù)測(cè)性的、基于知識(shí)的決策。數(shù)據(jù)挖掘的目標(biāo)是從數(shù)據(jù)庫(kù)中發(fā)現(xiàn)隱含的、有意義的知識(shí)，按其功能可分為以下幾類：關(guān)聯(lián)分析關(guān)聯(lián)分析能尋找數(shù)據(jù)庫(kù)中大量數(shù)據(jù)的相關(guān)聯(lián)系，常用的2種技術(shù)為關(guān)聯(lián)規(guī)則和序列模式。關(guān)聯(lián)規(guī)則是發(fā)現(xiàn)一個(gè)事物與其他事物間的相互關(guān)聯(lián)性或相互依賴性，可用于

8、如分析客戶在超市買牙刷的同時(shí)又買牙膏的可能性；序列模式分析將重點(diǎn)放在分析數(shù)據(jù)之間的前后因果關(guān)系，如買了電腦的顧客則會(huì)在3個(gè)月內(nèi)買殺毒軟件。聚類輸入的數(shù)據(jù)并無任何類型標(biāo)記，聚類就是按一定的規(guī)則將數(shù)據(jù)劃分為合理的集合，即將對(duì)象分組為多個(gè)類或簇，使得在同一個(gè)簇中的對(duì)象之間具有較高的相似度，而在不同簇中的對(duì)象差別很大。自動(dòng)預(yù)測(cè)趨勢(shì)和行為數(shù)據(jù)挖掘自動(dòng)在大型數(shù)據(jù)庫(kù)中進(jìn)行