数据挖掘算法及其在入侵检测系统中的应用

摘要

入侵检测系统(IDS)是防火墙的必要补充，与传统的加密和访问控制方法相比，IDS是全新的计算机安全措施。在收集到系统和网络的原始数据后，如何建立入侵检测模型是入侵检测领域的研究重点。通过手工书写规则和其它特殊方式实现的检测模型，使多数入侵检测系统只具有有限的有效性和适应性。将数据挖掘技术应用于入侵检测，其思想是用一种以数据为中心的观点：尽可能除去在入侵检测系统构建过程中的人工行为，把测试过程看作分析数据的过程，从而提高入侵检测系统构建过程的自动化程度。 本文通过研究入侵检测系统和数据挖掘技术，将数据挖掘技术应用于传统的入侵检测系统来处理入侵检测系统中的海量数据，以提高整个系统的检测性能，有效的减少整个系统的虚警率和误警率。数据挖掘技术主要是用来对攻击诱骗环节提供的大量网络行为数据进行挖掘，使其变为可以对规则集合进行训练的有效的样本数据。关联规则挖掘、序列模式挖掘等可以用于入侵检测从而得到入侵规则库。本文所作的工作主要有以下几点： 1.通过研究和分析传统入侵检测系统，论证入侵检测系统规则库的建立对于海量网络行为数据的依赖性，而数据挖掘技术正是一个强有力的数据处理工具，从而说明了数据挖掘技术应用于入侵检测系统的必要性。 2.比较数据挖掘技术中的诸算法，结合该技术所要应用的环境——入侵检测系统，得出关联规则和序列模式挖掘算法更适合入侵检测系统规则挖掘的结论。 3.为了提高数据挖掘算法的效率，得到有用的关联规则，对关联规则算法的两个子问题分别通过改变频繁项目集元素的生成方法和对导出规则进行关键属性及最小置信度筛选的方法进行了改进，并通过具体实例说明了改进的有效性。 4.对序列模式挖掘算法，本文采用关键属性查找频繁相关，再从这些相关中产生串行频繁序列模式。这种改进算法不仅消除了不相关的规则，对审计记录数据关系的描述也提供了更加有用的信息。 5.设计了一个基于Windows的入侵检测平台，该平台通过管理配置模块实现了人机交互，手动控制该平台使其完成数据生成、数据预处理和数据挖掘等功能，并详细介绍了规则库的建立与更新。基于数据挖掘的入侵检测研究是一个非常活跃的研究领域。本文在最后给出了一些作者认为在今后针对该领域需要研究和改进的方向。

目录

文摘

英文文摘

1绪论

1.1课题的提出背景及意义

1.2基于数据挖掘的入侵检测研究的国内外现状

1.3本文的研究内容与安排

1.3.1本文研究的主要内容和贡献

1.3.2本文的结构安排

2入侵检测系统

2.1入侵检测的概念和功能

2.1.1入侵检测的概念

2.1.2入侵检测的功能

2.2入侵检测系统的原理

2.3入侵检测系统的分类

2.4入侵检测系统目前的技术趋势

3数据挖掘算法

3.1数据挖掘概述

3.2数据挖掘算法

3.3关联规则算法

3.3.1基本概念

3.3.2 Apriori算法

3.4序列规则算法

3.4.1序列分析算法相关定义

3.4.2序列分析算法的主要算法

4关联规则算法和序列模式算法的改进

4.1关联规则算法的改进

4.1.1第一个子问题的改进

4.1.2第二个子问题的改进

4.2序列模式算法的改进

4.2.1算法改进

4.2.2举例说明算法

5基于Windows的IDS平台设计

5.1基于Windows的IDS平台的基本结构

5.2数据挖掘模块和检测分析模块

5.3规则集的构建过程

5.3.1规则集的建立

5.3.2规则集的合并

5.3.3合并规则的实验

6总结与展望

6.1总结

6.2展望

致谢

参考文献

附录1攻读硕士学位期间发表论文

附录2附图列表

附录3附表列表