基于聚类分析的动态自适应入侵检测模式研究

摘要

随着网络基础设施的不断完善和网络应用的越来越丰富，网络应用所具有的便捷高效使人们将更多的学习、生活和工作建立在网络之上，比如企业管理、电子商务等。大量的数据需要得到安全的存储和传输，保证其机密性、完整性和可用性。人们对网络应用的依赖性越高，网络应用系统一旦受到破坏所带来的损失也就越大。现有的网络应用系统为开放式的系统，一方面满足了信息共享的需要，另一方面这种开放性为黑客发动攻击提供了可能性，黑客可以利用复杂的互联的网络和主机系统存在的各种安全漏洞进行攻击而给组织和个人带来一定程度的损失。现有的网络应用安全防护系统无法确保整个系统不存在任何漏洞，因此入侵检测系统在网络安全中起着非常重要的作用，是网络安全防护的必要补充。现有的入侵检测相关的研究并不充分，本论文研究正是在这种背景下产生的，是非常有意义的。
　　 本文首先介绍了入侵检测的概念和发展，介绍了现有的较有影响的国际入侵检测规范建议，入侵检测常用的技术手段，并对入侵检测从不同的角度进行了分类。然后介绍了可用于入侵检测中的数据挖掘算法的应用方式，并对其优缺点进行了分析，还对存在于网络中的入侵类型和特征进行了分析。最后详细说明了本文提出的检测模式，包括入侵检测模式的整体流程，入侵检测属性子集的选择，数据预处理方法和用于入侵检测的聚类算法，并对本文提出的检测模式进行了实验验证和分析。
　　 现有的基于聚类分析入侵检测的研究大都通过改进聚类算法增强入侵检测的效果，并没有充分利用已知的入侵特征信息，事实上我们已经掌握了大量的已知入侵类型的特征信息。由于假定完全不知道被检测的数据特征，这些改进的聚类算法往往具有较高的空间和时间复杂度，这种特点无法适应越来越高的网络带宽和被检测数据量较大的入侵检测环境。本文在对入侵特征进行分析的基础上，提出了用于入侵检测的属性集选择方法。然后本文设计了一种新的入侵检测模式，充分利用已掌握的入侵信息计算得到的各种类型中心向量作为改进K-Means算法的初始聚类中心，有效解决了K-Means算法本身存在初始聚类中心难以确定可能导致局部最优的问题，并保证了算法的简洁性。由于已知类型的中心向量能很好的表征被检测数据的分布情况，因此本检测模式具有较好的收敛性，能满足现有网络越来越高的带宽需求。当检测到新的未知入侵类型时，入侵检测规则库应得到及时的更新，使这种检测模式具有动态检测的效果能适应不断变化的网络入侵环境。通过实验验证这种检测模式是有效的，能检测出某一种具体的入侵类型，并能有效发现可能出现的新的入侵类型。

目录

声明

摘要

第一章 绪论

1．1 选题背景与研究意义

1．2 国内外研究状况

1．3 论文的结构

第二章 入侵检测

2．1 入侵检测的概念与发展

2．2 入侵检测系统通用框架规范

2．2．1 IDWG制定的入侵检测模型

2．2．2 公共入侵检测框架(CIDF)

2．3 入侵检测的分类

2．3．1 按数据来源分类

2．3．2 按检测方法分类

2．3．3 按入侵检测系统体系结构分类

2．4 入侵检测常用的技术

2．4．1 专家系统技术

2．4．2 统计分析

2．4．3 状态转移分析方法

2．4．4 智能代理检测技术

2．4．5 智能信息处理方法

2．5 本章小节

第三章 数据挖掘在入侵检测中的应用

3．1 数据挖掘的概念

3．2 可用于入侵检测的数据挖掘方法的介绍

3．2．1 关联分析

3．2．2 分类分析

3．2．3 聚类分析

3．2．4 数据流挖掘

3．2．5 离群点检测

3．2．6 时间序列和序列数据挖掘

3．3 本章小节

第四章 网络入侵特征分析

4．1 KDD99数据集历史与分类

4．2 入侵特征分析

4．3 本章小节

第五章 入侵检测模式设计

5．1 整体入侵检测流程设计

5．2 入侵检测属性子集选择和数据预处理

5．2．1 属性子集选择标准

5．2．2 数据预处理

5．3 改进K-Means算法处理

5．3．1 聚类算法初始K个中心点的确定

5．3．2 改进的K-Means算法处理流程

第六章 实验与结果分析

6．1 入侵检测数据选取

6．2 实验环境

6．3 改进的K-Means算法参数Y的确定

6．4 实验结果

第七章 结论与展望

7．1 结论

7．2 展望

参考文献

致谢

攻读学位期间发表的学术论文目录