文档介绍：摘要
随着计算机与网络通讯技术的迅速发展,网络环境日益复杂、攻击手
段日新月异,入侵检测作为网络安全的第二道防线,能有效地保障网络安
全, 已成为当前网络安全领域的研究热门。
现有的检测技术无法满足高维的和变形的网络数据包的处理,如存在
检测效果不理想、检测精度较低及检测响应时间长等问题。本文在
RF C 81 5IP 分片重组的基础上,.采用二叉搜索树进行分片排序、重组对数据
包进行快速处理。再利用网络协议的高度规则性,将数据进行初步的分类。
由于目前关联规则算法对海量数据的处理检测精度低、检测处理能力有限
以及空泛值低的缺点。针对多维数据的稀疏性和离散性特点,本文在原有
关联算法的基础上,提出了一种矩阵加权关联规则的核模糊聚类算法。该
算法的核心是根据样本的特征向量提取样本的相似度,再在该关联规则算
法上进行聚类来寻找相似关系的频繁项目集。通过引入核函数,样本点被
非线性变换映射到高维特征空间进行聚类,提高了聚类性能。针对现有的
检测模型对多维数据处理有效性、可信性不高及即时检测响应时间差等问
题。本文提出了半监督自适用检测算法,该算法的主要思想是首先利用滑
动窗口将正常的系统调用序列切分为短序列,作为后面分析的特征值。然
后利用区间 K- 五度ean s 算法对序列中的多维特征向量进行分割,获得初始
聚类中心。最后利用以上的检测方法对训练样本中未标记的样本集进行检
测。利用以上训练出来的模型进行识别、标记。将识别出来的正常样本加
入标记样本集合。重新进行模型的训练,得到新的聚类中心和新的半监督
模型状态转移矩阵。通过分析异常检测矩阵中的样本是否为空来判断检测
过程是否结束,得到最终的检测模型。
本文对多维特征数据的处理上,通过对频繁项目集的剪枝策略达到对
多维数据降维的目的。在子空间聚类引入核函数以提高数据聚类性能。该
方法是一个新的思路,实验结果表明在解决多维数据上取得较好的效果。
然后根据对多维数据聚类的实验分析结果,通过对样本集的训练进行标识
和机器自学****过程来判别异常检测矩阵。实验表明,半监督自适用算法能
较好地解决入侵检测的即时异常进程问题。
关键词入侵检测,协议分析,聚类算法,半监督
A B S T R A C T
私 th th e r尽P id d ev e lop m ent o f int em et,th e n etw o rki n g env iro nme nt
beeom es inereasingly eom P lex an d at aek m ean s ehan ge r拜Pid琢,w hleh m ak e
in trusio n d eteetio n ,as a seeo n d lin e o f d efen se in n e七刃o rk seeuri ty, sh ou ld
effe ctiv ely P roteet the n etw o rk securi ty. C u rren tiy,in trusion d etection h as
b eeo m e the h ot are a o f n etw o rk seeuri ty researc h . In this P ap er, IP frag 叮eni
re as sem b ly 15 in tro du e e d firstiy, an d e lus terin g 15 m ad e b a sed o n P ro to e o l
an aly sis. M ean w hile,the data fro m eluste ring algorithm 15 aPPlied to the
se而一suP erV ise d adav tiv e testing .
Th e e对sting deteetion techn ology eannot m eet the high 一d加 ensional an d
deform ation of w ork Paeket Proc essing needs,such as the better
Proc essing effe et,the high er detection aceuLracy an d lower deteeting resPon se
t而 e . B as e d on R F C 8 1 5 ,an im P rov e d IP fraglm ent re as sem b ly alg o ritilm 15
P re sent ed . F rag m ent s are