《基于数据挖掘的入侵检测研究》由会员分享,可在线阅读,更多相关《基于数据挖掘的入侵检测研究(78页珍藏版)》请在金锄头文库上搜索。
1、南京航空航天大学硕士学位论文基于数据挖掘的入侵检测研究姓名:于梦申请学位级别:硕士专业:计算机应用技术指导教师:谢强20071201南京航空航天大学硕士学位论文 i 摘 要 入侵检测是一种主动的安全防护技术是继防火墙数据加密等传统安全保护措施之后的又一道安全闸门随着计算机和网络技术的不断发展海量存储和高带宽传输技术的普及入侵检测系统需要分析的数据量急剧膨胀用传统的方法对这些数据进行分析需要耗费的时间越来越长因此将数据挖掘技术引入入侵检测系统可以大大提高检测的速度和性能 本文首先介绍了入侵检测和数据挖掘的基本概念 并分析了传统的基于数据挖掘的入侵检测系统存在的不足之处在此基础上给出了一种改进的基
2、于数据挖掘的入侵检测系统框架 并详细阐述了框架中的各个组成部分以及入侵检测的过程 接着研究了该系统所采用的关键技术基于数据挖掘的入侵规则库构建技术和基于滑动窗口和主观贝叶斯方法的实时入侵检测技术针对网络数据的特征提出了长项优先产生的 Apriori 算法通过改变频繁项集的产生顺序来提高算法的效率 同时 根据入侵规则的特征 给出了由频繁项产生入侵规则的方法并利用 XML 文件对入侵规则进行存储利于规则库的访问在实时检测时采用滑动窗口的数据流处理方法 并对保存在窗口中的数据采用主观贝叶斯方法处理阐述了入侵检测分析的过程设计了入侵检测分析算法 最后给出了原型系统的实现并利用原型系统进行了系统的实验
3、关键词关键词数据挖掘入侵检测Apriori 算法滑动窗口主观贝叶斯方法 基于数据挖掘的入侵检测研究 iiABSTRACT Intrusion detection is an active security defending technology after the traditional safe protective measures, such as firewall, data encrypted etc. With the development of computer and network technologies, the popularization of numerous
4、storage and wide-band transportation, the data which the intrusion detection system should analyze expand sharply. It spends much time to analyze these data using traditional methods. Applying the data mining to the intrusion detection can improve the speed and the capability. Firstly, the basic the
5、ories of intrusion detection and data mining are introduced, and the shortcomings of the traditional intrusion detection system based on data mining are analyzed. Then an improved framework of intrusion detection system based on the theories of data mining is proposed and the components of this fram
6、ework and the processing of intrusion detection are described in detail. Then, the key technologies of the system including intrusion rules constructing based on data mining and real-time intrusion detecting based on sliding window and Bayesian method are researched. According to the characteristics
7、 of the network data, an improved algorithm, namely long-item prior producing algorithm, is proposed in this paper. This algorithm progresses the efficiency of data mining algorithm by changing the order of generating frequent itemsets. Meanwhile, the method of producing intrusion rules by frequent
8、items is presented and the XML files have been used to save the rules in order to make a universal rule-base. In the real-time detection module, the system uses the sliding window and deals with the data stored in the window by subjective Bayesian method. Then the process of intrusion detection is e
9、xpounded and the detection algorithm is designed. Finally, the realization of the prototype system and the analysis of the experimental results are presented. Key Words: Data Mining, Intrusion Detection, Apriori Algorithm, Sliding Window, Subjective Bayesian method 南京航空航天大学硕士学位论文 v 图目录 图 1.1 异常检测结构图
10、.6 图 1.2 误用检测结构图.7 图 2.1 系统结构图 .18 图 2.2 数据包捕获流程 .20 图 2.3 入侵检测流程图 .23 图 3.1 规则产生过程的比较.36 图 4.1 检测分析处理框架 .39 图 4.2 检测分析工作流程图 .43 图 5.1 功能实现过程 .48 图 5.2 频繁项集产生流程 .50 图 5.3 匹配检测流程 .54 图 5.4 置信度为 0.60.70.80.9 产生规则集的检测比较 .61 基于数据挖掘的入侵检测研究 vi 表目录 表 5.1 训练数据中的攻击类型 .56 表 5.2 测试数据中新增的攻击类型 .56 表 5.3 单个 TCP 连
11、接的基本特征9 维.56 表 5.3续.57 表 5.4 一次连接中的内容特征13 维.57 表 5.5 在两秒时间窗内得到的传输特征19 维.57 表 5.5续.58 表 5.6 实验数据集攻击类型数量统计 .58 表 5.7 长项优先的 APRIORI算法与 APRIORI算法产生频繁项的比较.59 表 5.8 置信度为 0.9 时产生的入侵规则集的检测实验 .60 表 5.8续.61 表 5.9 随机数据实验结果 .62 表 5.9续.63 承诺书 本人郑重声明所呈交的学位论文是本人在导师指导下独立进行研究工作所取得的成果尽我所知除文中已经注明引用的内容外本学位论文的研究成果不包含任何他
12、人享有著作权的内容对本论文所涉及的研究工作做出贡献的其他个人和集体 均已在文中以明确方式标明 本人授权南京航空航天大学可以有权保留送交论文的复印件 允许论文被查阅和借阅,可以将学位论文的全部或部分内容编入有关数据库进行检索可以采用影印缩印或其他复制手段保存论文 (保密的学位论文在解密后适用本承诺书) 作者签名 日 期 南京航空航天大学硕士学位论文 1 第一章 引言 1.1 课题的研究背景 随着 Internet 迅速发展网络已成为人们不可缺少的信息来源网络改变了人们的生活和工作方式使信息的获取传递处理和利用更加高效迅速中国互联网络信息中心(CNNIC)于 2007 年 7 月发布了第二十次中国
13、互联网络发展状况统计报告1报告显示我国的网民人数已达到 1.62 亿仅次于美国的 2.11 亿位居世界第二网民的年增长率达到 31.7%我国目前上网计算机达 6710 万台比 2006 年同期增加了 1260 万台年增长率为23.1我国的国际出口带宽总量达 312,346Mbps年增长率几乎都在 40以上互联网正在迅速的发展给人们的日常生活和工作带来了极大的便利 计算机网络的广泛使用和网络之间信息传输量的急剧增长人们在得益于网络的同时其上网的数据安全性和人们自身的利益受到了严重的威胁入侵行为正随着 Internet 的发展已经由早期的探索互联网本身或者检验自身机能的攻击演变为出于经济政治或者军事利益驱动有目的有计划大规模的入侵网络信息系统安全的重要性早已得到人们的共识传统的安全机制主要包括数据加密技术访问控制技术认证技术数据完整性控制技术安全漏洞扫描技术防火
