基于数据挖掘的网络入侵特征提取及入侵检测系统技术研究
目前主流的入侵检测系统主要采用特征匹配来检测网络入侵.这种方式的优点是检测速度快,检测的准确性也高.缺点是不能检测未知的网络入侵.且由于入侵特征采用人工编写方式,规则编写效率很低,很难应对层出不穷的网络入侵方式.而数据挖掘技术(又被称为知识发现技术)善于从大量的数据里提取有用的规则.显然采用数据挖掘技术来辅助安全专家提取入侵特征,编写入侵检测规则是一个很好的办法.该文分两部分:第一部分首先分析入侵网络分组数据的特点.然后展示了几种类型的数据挖掘技术.最后阐述了在该课题中研究的如何使用APRIORI算法和CAEP(通过聚集现露模式分类)来提取入侵特征.APRIORI算法主要用于关联规则挖掘,在该课题中主要是利用其挖掘频繁项集的方法来提取候选特征序列.之后通过CAEP来提纯能够代表特定网络入侵的特征序列,最后安全专家可以据此来编写入侵检测规则.文章的第二部分主要是研究入侵检测引擎所用到的一些技术.其中包括如何在WINDOWS系统上捕获网络数据分组,如何对IP碎片进行重组,如何检测端口扫描,以及如何建立可动态加载的入侵检测函数库.并提出使用XML这种可自解释的新的标记语言来描述入侵检测规则,并解析了用微软公司的MSXML4.0来读取规则的方法.最后则展示了一个入侵检测引擎的框架.
入侵检测;数据挖掘;网络分组捕获;COM组件;XML
北京化工大学
硕士
计算机应用
董小国
2004
中文
TP393.08;TP311.13
83
2004-10-21(万方平台首次上网日期,不代表论文的发表时间)