基于数据挖掘的分布式网络入侵检测系统研究

摘要

网络技术的发展，推动了社会及生活的进步，与此同时，传统的被动网络安全技术已不能有效地抵御网络入侵行为的攻击。因此作为一种主动防御的安全技术，入侵检测已成为网络安全技术的重要手段。但是随着网络入侵形式的不断变化，依靠传统的入侵检测模型很难检测出复杂及未知的入侵方式。因而就需要解决已有的入侵检测系统的问题，其中，数据挖掘技术是改善现有入侵检测系统的途径之一。 本论文回顾了入侵检测技术的发展史，对目前的入侵检测技术和数据挖掘技术进行了详细研究。针对现有入侵检测系统存在的检测效率不高的缺点，将数据挖掘技术与入侵检测技术结合起来，有效提升了入侵检测效率。 本论文对FP-Growth算法进行了改进，有效解决了传统FP-Growth算法数据挖掘速度制约缺陷，提高了入侵检测系统的执行效率和规则库的准确度。 随着网络入侵手段的不断变化和复杂，目前的商用入侵检测系统已不能满足实际应用。本论文提出了一个分布式入侵检测系统模型，采用三层分布式结构，这样可使系统便于分配功能、管理方面的任务。此外，分层体系使各层的任务和功能相对独立，各层有更大的自主性，系统具有高度的自适应性。系统中任何单个检测引擎出现故障只会造成网络局部的检测准确性的降低，对系统其他部分并没有影响。论文给出了分布式入侵检测系统的架构、工作模式，详细介绍了各模块的组成和实现以及模块间的通讯方式的实现，实际设计与调试完成准业务使用的基于数据挖掘的分布式入侵检测系统，对实验结果作了科学分析。 实验结果表明，FP-Growth改进算法的执行效率较FP-Growth有了明显提高，误报率和漏报率有一定降低。系统能够及时发现入侵行为，准确记录入侵的详细信息，具有较好的检测性能。

目录

文摘

英文文摘

论文说明：缩略词表

声明

第一章绪论

1.1入侵检测技术的产生

1.2国内外发展史与研究现状

1.3本文的研究背景及研究内容

1.4论文的组织结构

1.5本章小结

第二章入侵检测技术

2.1入侵检测系统

2.1.1入侵检测系统的定义

2.1.2入侵检测系统的分类

2.2常用入侵检测方法

2.2.1异常检测技术

2.2.2误用检测技术

2.3典型的分布式入侵检测系统模型

2.3.1具有控制中心的分布式入侵检测系统模型

2.3.2基于攻击策略分析的分布式入侵检测模型

2.3.3基于Agent的分布式入侵检测系统模型

2.3.4基于移动代理的分布式入侵检测系统模型

2.4入侵检测产品

2.5本章小结

第三章数据挖掘技术

3.1数据挖掘技术概述

3.1.1数据挖掘的定义

3.1.2数据挖掘的过程

3.2数据挖掘算法

3.2.1关联分析算法

3.2.2数据分类算法

3.2.3聚类分析算法

3.2.4序列模式分析算法

3.3本章小结

第四章基于数据挖掘的分布式网络入侵检测系统设计

4.1系统模型架构设计

4.1.1系统设计特点

4.1.2系统模型架构

4.2检测引擎的设计

4.2.1模块结构

4.2.2数据采集模块

4.2.3数据解析模块

4.2.4数据预处理模块

4.2.5数据挖掘模块

4.2.6检测模块

4.3特征规则库

4.4告警处理器

4.5日志数据库

4.6中心控制台

4.7模块间的通信设计

4.8本章小结

第五章系统实验

5.1 KDDCup99实验数据集

5.2实验结果

5.3端口扫描攻击测试

5.4本章小结

第六章总结与展望

6.1总结

6.2展望

参考文献

致 谢

攻读硕士学位期间发表的论文