文档介绍:数据挖掘技术在入侵检测系统中的应用
1
1 入侵检测系统
入侵检测系统的概念
入侵检测系统的作用
入侵检测系统的分类
2
入侵检测系统的概念
James Anderson在1980年提出入侵检(Intrusion Detection )的概念, Dorothy Denning在1987年建立了第一个入侵检测模型,取名为IDES(入侵检测专家系统)。
从网络和主机上收集信息,并进行分析,检测并判断出是否有入侵行为或安全问题。
3
入侵检测系统的作用
是位于防火墙之后的第二道安全闸门
它通过收集和分析网络行为、安全日志、审计 入侵检测图片、数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象
是一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵
4
入侵检测系统的分类
根据检测的数据来源
基于主机(HIDS)
基于网络(NIDS)
根据检测方式
异常监测(Anomaly detection)
误用检测(Misuse detection)/特征检测(Signature-based detection)
5
入侵检测系统的分类
根据部署方式
集中式
分布式
6
2 数据挖掘
数据挖掘的定义
商业角度的定义
数据挖掘与传统分析方法的区别
7
技术上的定义
数据挖掘(Data Mining)是从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中,提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。
数据源必须是真实的、大量的、含噪声的;发现的是用户感兴趣的知识;发现的知识要可接受、可理解、可运用;
8
商业角度的定义
数据挖掘是一种新的商业信息处理技术,其主要特点是对商业数据库中的大量业务数据进行抽取、转换、分析和其他模型化处理,从中提取辅助商业决策的关键性数据。
按企业既定业务目标,对大量的企业数据进行探索和分析,揭示隐藏的、未知的或验证已知的规律性,并进一步将其模型化的先进有效的方法。
9
原始数据可以是结构化,如关系数据库中的数据;也可以是半结构化的,如文本、图形和图像数据;甚至是分布在网络上的异构型数据。
发现知识的方法可以是数学的,也可以是非数学的;可以是演绎的,也可以是归纳的。
发现的知识可以被用于信息管理,查询优化,决策支持和过程控制等,还可以用于数据自身的维护。
10