数据挖掘技术在网络流量异常检测中的应用研究

摘要

入侵检测技术作为一种主动安全防护技术，可以及时的检测出各种恶意入侵攻击,并能够在网络系统受到危害时进行主动响应。它是传统安全技术如防火墙的合理补充，也是当前计算机网络安全理论研究的一个热点。 基于现有的检测技术和入侵检测系统的改进，提出将数据挖掘技术应用在入侵检测系统中，建立了一个自学习的网络流量异常入侵检测系统模型，给出了系统总体框架图和系统主要的流程步骤，并详细说明了其中的数据挖掘模块，该模块主要使用了机器学习技术中的反向传播算法；并在借鉴了MIT林肯实验室的入侵检测系统训练测试数据集的基础上，成功的实现了神经网络技术在入侵检测系统中的应用，提高了入侵检测系统的性能。 异常流量检测系统可以划分为两个部分：数据采集整理模块和数据挖掘模块。在此入侵检测系统框架之上，基于异常流量的入侵检测特性而提出了一系列实用的攻击特征属性，并使用反向传播算法对这些特征属性进行筛选和验证，最终确定了一系列合适的可以达到异常流量入侵检测目的的特征属性。这些特征属性既作为数据采集整理模块的输出，也作为数据挖掘模块的输入，对这些特征属性选取的合理性直接关系到数据挖掘分析模块的性能，进而影响到整个异常流量检测系统的建模。具体实现方法是直接针对于常见的攻击行为提取出其攻击特征，再使用数据挖掘技术来筛选合适的特征属性，数据挖掘模块的输入是附有攻击标签的特征属性组合，通过观察数据挖掘模块输出的入侵检测准确率就可以确定其合理与否。不断重复这样的比较就可以确定最佳的特征属性组合，这将最终用来指导整个异常流量入侵检测系统的建模。