IPv6网络中基于数据挖掘的入侵检测系统研究

摘要

与IPv4相比，IPv6具有更好的安全性，但是由于IPSec的密钥管理存在缺陷，以及IPv6对应用层上的网络安全无能为力等原因，使得IPv6网络中仍需要入侵检测系统以及防火墙等网络安全设备共同来构建网络安全体系结构。同时，由于基于数据挖掘的入侵检测系统具备良好的自我学习能力而受到广泛的关注。为此，本文对IPv6网络中基于数据挖掘的入侵检测系统进行了深入研究。
　　 通过对网络安全现状的分析，提出能够同时应用于IPv4和IPv6网络的基于数据挖掘技术的入侵检测方案。在这个方案中，怎样同时对IPv4数据与IPv6数据进行检测、怎样提高检测效率和精度是本文研究的主要问题。针对这些问题，本文进行了如下几个方面的工作:
　　 (1)通过改进的K-means聚类算法将标准化后的网络数据进行聚类，将大量的正常用户数据进行过滤，从而减少了检测过程中需要比对的数据数量，提高了入侵检测的效率。
　　 (2)通过使用Apriori关联规则算法来深入挖掘入侵数据的关联规则，并且将得到的关联规则存入规则库中，从而使得系统具备自我学习能力，提高入侵检测的准确率。
　　 (3)通过对Snort开源入侵检测系统数据嗅探器的改造，将网络中的IPv4数据和IPv6数据进行标准化，从而使得系统能够同时应用于IPv4和IPv6网络中。

目录

声明

摘要

第一章 绪论

1．1 研究背景

1．2 研究现状

1．3 研究内容

1．4 本文篇章结构安排

第二章 相关技术简介

2．1 IPv6网络安全问题

2．2 IPv6与IPv4数据格式比较

2．3 基于数据挖掘的入侵检测算法

2．3．1 K-means算法

2．3．2 Apriori算法

第三章 K-means算法的改进

3．1 K-means算法描述

3．2 K-means算法的不足及改进

3．2．1 K-means算法的不足

3．2．2 改进的K-means算法

3．2．3 改进K-means算法设计

3．3 实验及结果分析

3．3．1 测试数据

3．3．2 评价指标

3．3．3 实验结果与分析

第四章 入侵检测系统设计

4．1 系统结构分析

4．2 事件产生器模块设计

4．2．1 数据包嗅探器

4．2．2 预处理器

4．3 聚类分析模块设计

4．3．1 数据包性质分析

4．4 事件分析器模块设计

4．4．1 异常检测引擎

4．4．2 误用检测引擎

4．5 事件数据库模块设计

4．6 响应单元模块设计

4．7 关联规则分析模块设计

4．7．1 关联规则分析流程

4．7．2 Apriori算法设计

4．8 系统测试

4．8．1 测试环境设计

4．8．2 误检率测试

4．8．3 性能测试

4．9 系统实际使用情况

4．9．1 现有的入侵检测系统

4．9．2 基于数据挖掘的入侵检测系统优点

第五章 总结

5．1 本文所做工作

5．2 下一步工作展望

参考文献

致谢