文档介绍:摘要岢霾⒔⒘送镜娜肭旨觳饪蚣传统入侵检测模型的建立过程效率低,研究成本高,而数据挖掘在未知知识获取方面具有独特优势,因此基于数据挖掘的入侵检测成为研究热点。入侵检测不仅需要利用模式匹配技术来发现入侵行为,还需要在此基础上利用数据挖掘技术对审计数据加以分析以发现更为复杂的和隐藏的入侵行为。本文重点是在研究数据挖掘方法的基础一隽恕只旌先肭旨觳庀统的框架。具体工作包括:芯坎⒏慕亓9嬖蛩惴ㄓ糜诮⑼绨卣鞴嬖使用并改进数据挖掘关联规则挖掘算法,对网络包特征进行详细的分析。入侵数据包括网络传感器收集的网络中的大量数据包和主机传感器收集的本地主机系统生成的目志,在入侵检测系统客户端中,我们利用加权关联规则来提取特征和检测模式。。我们使用狟惴ǚ掷嗳肭质荩方面可以取得良好的分类准确度,另一方面分类规则可以被人类专家理解,从而有助于制定入侵预防和防止的措施。分析了入侵检测系统的实现方式和安全性能,探讨了从网络数据采集、数据预处理、构造训练数据集、数据过滤,到利用数据挖掘技术生成入侵检测规则的整个过程的机理和实现方法。在鲅芯康幕∩仙杓撇⑹迪至恕个入侵检测系统框架。关键词:网络安全,入侵检测,核机器两北荡笱Ъ睿翰费宦垡’
琣:,.琑.,琣甀,甊瑆瑃狟.,;,琍,琤琩.
第虑把§课题研究背景益复杂,手段多样性趋势更加明显,入侵和破坏在瞬间即可完成,一般采取目前,计算机和网络系统的安全保护问题越来越突出。首先,网络的迅速发展,使得网络的结构越来越复杂,维护也越来越困难。其次,网络中众多的“黑客”站点不仅提供了大量的系统缺陷的暴露及针对的攻击方法,而且还提供了大量的易于使用的系统漏洞扫描和攻击工具,攻击者不需要具备专门的系统知识,就可以利用相应的入侵工具轻易攻入具有安全缺陷的系统。第三,目前对系统的攻击也不仅仅是那些年轻的黑客们由于好奇侵入系统的玩笑性游戏,入侵者的背后甚至得到一些拥有足够系统资源、专业知识和入侵经验的犯罪组织、竞争对手甚至是敌对国家的支撵。而今,任何人都能对计算机系统进行网络攻击,因为通用网络入侵工县被广为传播,能够从因特网上轻松得到,攻击者可使用这些实用工具来攻击数以万计的系统;与此同时,有经验的入侵者正变得更加狡猾,攻击类型隐藏行踪的手段来逃避检测系统的跟踪,如破坏公麸服务设施,重新装入预制软件系统,删除行为记录等。世纪年代和年代初期,拒绝服务攻击事件较少被报道。并未引起重视,而现在对于从事电子商务、在线证券交易等网络贸易,拒绝服务攻击经常造成系统停止运作。年翸硎荆甑诙径龋蛱ǖ缒允艿饺涑娴墓セ鳎堑谝患径鹊%。与年底相比,被机器人程序扫描过、或者被间谍软件以及广告软件入侵过的电脑数量增长了%。而且在攻击频率高速增长的同时,攻击者所其各的专业知识在下降,攻击手段却日益复杂,各网络系统都面临严峻考验。与此同时,网络技术的飞速发展,各种新型网络体系结构和新型网络通信模式层出不穷。目前,已有相关文献提出在主动网络环境下如何进行有效的网络信息安全保护的问题,可见,虽然网络结构和软件平台用益复杂,更新升级频度日益加快,而其所面薜陌踩纯鋈床蝗堇止邸>荼ǖ溃澜缙骄胫臃⑸黄鸷诳凸セ/入侵事件,在美国每年因此造成的经济损失商选嘁诿涝#婕罢构、军事国防、科研院校、金融商业等各部门。计算机网络犯罪已严重干扰了人们的正常生活,造成巨大的经济损失,直接或侧接地威胁国家安全。随着计算机网络的快速扩展和普及,网络安全问题已经更多地得到重视。攻击者知识日趋成熟,攻击亡具与手法日趋复杂多样,同时,网络安全也向纵深化和多样化的方向发展。并且,网络环境变得越来越复杂,设备的多样复杂、系统的漏洞、原有软件设计的缺陷等等,使得网终和计算机系统遭受入侵的可能性不断加大。以往,以防火墙隔离技术和操作系统加固技术等静态防御技术为核心的网络安全技术己经不能够适应网络复杂性的要求,而以入侵检测系统,为核心的动态安全技术则曰益发展起来,已成为网络安全领域内的一种重要技术和研究方向。入侵检测就是对入侵行为的发觉,它从计算机网络或计算机系统中若于两北荡笱呈垦宦畚
§网络安全与入侵计算机安全§.信息点收集信息,通过对该信息的分析,从中发现网络或系统中是否存在攻击企图、攻击行为或者攻击结果的迹象,以保证系统资源的机密性、完整性和可用性。入侵检测的软件和硬件的组合就是入侵检测系统。入侵检测作为一种动态的安全防护手段,它能主动寻找入侵信号,提供系统对外部攻击、内部攻击以及误操作的抵镪能力,对系统进行保护。入侵检测系统分为数据采集、数据分析和响应三个部分。数据采集是在网络系统的多个信息点进行的,采集内容包括网络数据包、系统同志、用户活动状态和行为、