基于数据挖掘的入侵检测技术研究综述
入侵智能检测实验报告(3篇)
第1篇一、实验背景随着信息技术的飞速发展,网络安全问题日益凸显。
入侵检测技术作为网络安全的重要手段,能够实时监控网络系统的运行状态,及时发现并阻止非法入侵行为,保障网络系统的安全稳定运行。
本实验旨在通过构建一个入侵智能检测系统,验证其有效性,并分析其性能。
二、实验目的1. 理解入侵检测技术的基本原理和实现方法。
2. 掌握入侵检测系统的构建过程。
3. 评估入侵检测系统的性能,包括检测准确率、误报率和漏报率。
4. 分析实验结果,提出改进建议。
三、实验材料与工具1. 实验材料:KDD CUP 99入侵检测数据集。
2. 实验工具:Python编程语言、Scikit-learn库、Matplotlib库。
四、实验方法1. 数据预处理:对KDD CUP 99入侵检测数据集进行预处理,包括数据清洗、特征选择、归一化等操作。
2. 模型构建:选择合适的入侵检测模型,如支持向量机(SVM)、随机森林(Random Forest)等,进行训练和测试。
3. 性能评估:通过混淆矩阵、精确率、召回率等指标评估入侵检测系统的性能。
4. 实验结果分析:分析实验结果,总结经验教训,提出改进建议。
五、实验步骤1. 数据预处理(1)数据清洗:删除缺失值、异常值和重复数据。
(2)特征选择:根据相关性和重要性选择特征,如攻击类型、服务类型、协议类型等。
(3)归一化:将数据特征进行归一化处理,使其在相同的量级上。
2. 模型构建(1)选择模型:本实验选择SVM和Random Forest两种模型进行对比实验。
(2)模型训练:使用预处理后的数据对所选模型进行训练。
(3)模型测试:使用测试集对训练好的模型进行测试,评估其性能。
3. 性能评估(1)混淆矩阵:绘制混淆矩阵,分析模型的检测准确率、误报率和漏报率。
(2)精确率、召回率:计算模型的精确率和召回率,评估其性能。
4. 实验结果分析(1)对比SVM和Random Forest两种模型的性能,分析其优缺点。
基于深度学习的入侵检测技术研究
基于深度学习的入侵检测技术研究随着互联网的普及和应用,网络安全问题越来越受到人们的关注,如何保护网络安全成为现代社会面临的重要问题之一。
其中,入侵检测技术作为网络安全的重要组成部分,得到了广泛关注。
而基于深度学习的入侵检测技术,其应用前景更加广阔。
一、深度学习的概念深度学习是一种模仿人脑神经网络进行机器学习的算法,其核心是神经网络模型。
传统的机器学习算法需要人工对数据进行特征工程,提取数据的关键特征,然后输入到模型中进行学习,但是深度学习不需要进行特征工程,它可以自动从原始数据中提取特征,并对数据进行分类、识别等任务。
尤其是在图像、语音、自然语言处理等领域,深度学习已经取得了很大的进展。
二、入侵检测的概念入侵检测是指通过对网络数据流的分析,识别出是否存在入侵行为的过程。
其目的是及时发现并阻止网络攻击,对网络安全起到重要作用。
入侵检测可以分为主机入侵检测和网络入侵检测两类。
主机入侵检测是指在主机上对异常行为进行检测,如病毒、木马、恶意软件等攻击方式。
而网络入侵检测则是指对网络中传输的数据进行分析,识别网络攻击行为。
三、深度学习在入侵检测中的应用传统的入侵检测技术主要是基于规则的方法和基于统计的方法,都需要先进行特征工程或手工设计特征,然后再将特征输入到模型中进行分类。
但是传统方法往往存在特征选择不完备、计算效率低等问题,因此在处理大规模数据时的表现不佳。
而基于深度学习的入侵检测技术可以解决传统方法中的问题。
首先,深度学习可以自动提取从原始数据中学习到的特征,可以更好地处理大规模数据;其次,深度学习可以对非线性的数据进行建模,能够更好地识别复杂的入侵攻击。
因此,基于深度学习的入侵检测技术被认为是未来入侵检测的趋势。
四、基于深度学习的入侵检测技术研究现状目前,基于深度学习的入侵检测技术已经被广泛研究。
现有的主要方法可以分为三类:卷积神经网络、循环神经网络和卷积-循环神经网络。
卷积神经网络主要用于处理图像数据,在入侵检测中主要用于提取数据的时序特征。
浅析数据挖掘算法在入侵检测中的应用
随 着 网 络 技术 的 快 速发 展 , 用 丰 富 的 网络 资 源进 行 攻 击 的手 这类对象 的有关特征 。 利 法千变万化 , 通过一些简单的操作就 可以实施极具破坏力的攻击行 34偏 差 检 测 . 为 , 何有 效 的检 测 并 阻止 这 些 攻 击 行为 的发 生成 了 目前 计 算 机行 如 偏 差 包 括 很 多潜 在 的知 识 。 据挖 掘 技 术 是 最 新 引入 到 入 侵检 数
做出极具准确性的预测性。 数据挖掘最终要实现的是从众多的数据
库 中发 现 隐 含 的且 理 论极 具 有 意 义 的 知 识 。
入 侵检测系统主要关注的是来 自系统 外部 的攻 击行 为。 然而 , 大部分造成严重后果的系统入侵正是 由内部攻击者引起 的, 因此通 过对基 于内部用户行为模 式的异常检测进行 了相应的试验 。 在实验
系统提供免受外部攻击 、 内部 攻 击 和 误 操 作 的安 全 保 障 。 入侵 检 测
42通 过 采 用加 权 关联 规 则 来挖 掘 算 法 .
通常分为一下三个部分 : 数据采集 、 数据分析以及 系统响应。 数据采
加权关联规则技术引入的入侵检测 系统 可更精确地表 示入 侵 集 主 要是 从 网络 系 统 中进 行 采 集 网络 中相 关 的数 据 包 、 要 文 件 以 模 式 。 主 要 是 考 虑 到 了审 计 数 据 的时 间效 应 。 重 这 同时 , 用 加 权 关 联 使 及 与 用 户 活 动 有 关 的 数 据 等 。 据 分 析 则 通 过 模 式 匹配 、 常 检 测 规 则 可 以更 加容 易 、 数 异 有效 地 从 各种 各 样 的 审 计 数据 中发 现 出有 用 信 和完整性检测三种技术手段对采集的数据进行分析 。 入侵检测系统 息。 因此 , 加权 关联规则 技术 比关联规则技术更加适合用来 构建 入 旦 发 现 入 侵 行 为 , 即会 进 入 响 应 过 程 。 立 侵检测系统 的入 侵模 块数据库 。
数据挖掘技术在网络入侵检测中的应用探讨
0引 言
2数 据 挖掘技 术在 网络 入侵检 测 中的应 用探讨
2 1数 据挖掘 技术 与 网络入侵 检测 系统 的融合 .
的协 同作 用 ;对 子系 统调 用序 列数 据 ,可 以采 用序 列模 式挖 掘 算法 ;对 于
果能够 为 用户 和系 统 的所有 正常 行 为总 结活 动规 律 并建立 行 为模 型 ,那 么
入 侵检 测 系统 可 以将 当前捕 获到 的 网络行 为 与行 为模 型相 对 比 ,若入 侵 行 为偏 离 了正常 的行 为轨 迹 ,就可 以被 检测 出来 。它主 要存 在 以下 缺 点: 误 报 率高 、行为 模型 建立 困难 、难 以对 入侵 行为 进行 分类和 命名 等 。
一
个 入侵 信 息库 ,那 么入 侵检 测 系统 可 以将捕 获 的网络 行 为特 征与 入侵 信
数据 广——_ 。 据 ,
挖 掘 数据 J
息库 中 的特征 信 息相 比较 ,如 果 匹配 ,则 当前 行为 就被 认 定为 入侵 行 为 , 这种 方法 与大 部 分杀毒 软 件采 用 的特 征码 匹配 原理 类似 ,但 它 也存 在很 多 缺 陷,如 不能 检测 出新 的 入侵 行为 、完 全依 赖 于入 侵特 征 的有 效性 、维 护
哥伦 比亚大 学和 北卡 罗来纳 州立 大 学 的研 究人 员于 20 年首 先提 出将 00
数据 挖 掘 的方法 用于 入侵 检 测 。与基 于模 式 匹配 的入 侵检 测技 术不 同 ,基
于数 据 挖掘 的入 侵检 测 技术 可 以 自动 地从 训 练数据 中提取 出可 用于 入侵 检
数据挖掘技术在入侵检测系统中的应用研究
随着 Itre 的迅速 发展 , nen t 计算 机 网络在 现 代
社会 中起 了越 来 越重 要 的 作用 , 与此 同 时 , 们 也 它 成 为许 多恶意 攻击 者 的 目标 , 网络 安全 问题 日渐 突
出
测 系统 就 变得 十分必 要 。
本文 将数 据挖 掘技 术引入 到入 侵检 测 系统 中 , 利用 数据 挖掘 , 海量 的系统 数据 或 网络 数据 流 中 从 实时 提取特 征 , 断 更 新 特 征库 , 高 了系 统 的 检 不 提 测 效率 , 并有 效地 降低 了误 报率 和漏报 率 。
由 于海 量 数 据 的存 在及 网络 环境 和 网络攻 击
的复 杂性 , 传统 的基 于手 工编码 建 立模 型的方 式缺
乏精 确 性 、 时性 和 自适应 能 力 。所 以 , 实 开发 一套
全 策略 的行 为和 被攻击 的迹 象 , 能对 攻击 行 为作 并
出响应 [ 。
能根 据 审计数 据 自动产 生 入 侵检 测 模 型 的入 侵检
Ab t a t s r c :T h o c p fi tu in d tc i n s se a d d t i i g i ntod c d.A fe he c m ・ e c n e to n r so e e to y t m n a a m n n si r u e trt o
Re e r h o plc to f Da a M i n c s a c n Ap i a i n o t ni g Te hno o y Us d i l g e n I t u i n De e to y t m n r so t c i n S s e
P AN i.i Jn i,YUE Ja ,GU n l in Yu ・i ( ai gUn e i f noma o c n e n ehooy Naj g2 0 4 , hn ) N ni i r t 0 [[r t nSi c dT cn l , ni 10 4 C ia n v sy i e a g n
基于深度学习的网络入侵检测技术研究
基于深度学习的网络入侵检测技术研究随着互联网的迅猛发展,网络安全问题也日益突出。
网络入侵行为给个人和组织带来了巨大的损失和风险。
因此,网络入侵检测技术的研究和应用变得至关重要。
近年来,深度学习作为一种强大的数据分析工具,已经在各个领域取得了显著的成果。
本文将讨论基于深度学习的网络入侵检测技术研究。
一、深度学习简介深度学习是机器学习领域的一个重要分支,其核心思想是模拟人脑神经网络的学习和识别能力。
相比传统的机器学习方法,深度学习通过多层次的神经网络结构来学习数据的表征,能够自动提取特征并进行高效的分类和预测。
二、网络入侵检测的问题和挑战网络入侵检测是指通过监测和分析网络流量中的异常行为来识别潜在的入侵者和安全威胁。
然而,传统的入侵检测方法往往依赖于专家设计的规则或者特征工程,无法适应不断变化的网络安全环境。
此外,网络入侵涉及大量的数据和复杂的模式,传统方法往往无法有效捕捉到其中的隐藏规律和关联性。
三、基于深度学习的网络入侵检测技术基于深度学习的网络入侵检测技术通过使用深层次的神经网络结构来自动学习和提取网络流量中的特征,并进行入侵行为的分类和预测。
相比传统方法,基于深度学习的入侵检测技术具有以下优势:1. 自动学习特征:深度学习能够从原始的网络流量数据中自动学习到最具代表性的特征,无需依赖于繁琐的特征工程。
2. 多层次表示:深度学习模型可以通过多层次的神经网络结构来学习不同层次的特征表示,从而提高检测的准确性和泛化能力。
3. 强大的泛化能力:深度学习通过大规模的训练数据和优化算法,能够捕捉到网络入侵中的隐含规律和关联性,具有较强的泛化能力。
4. 实时响应:基于深度学习的入侵检测技术能够实时处理大规模的网络流量数据,并快速准确地检测到入侵行为,提高了网络安全的响应速度。
四、基于深度学习的网络入侵检测模型基于深度学习的网络入侵检测模型可以分为两类:基于传统神经网络的模型和基于卷积神经网络的模型。
1. 基于传统神经网络的模型:传统的神经网络模型如多层感知机(Multi-Layer Perceptron, MLP)和循环神经网络(Recurrent Neural Network, RNN)可以应用于网络入侵检测任务。
基于数据挖掘技术的网络入侵检测系统
前行 为 特征与 特征 数据 库 中的 特征进行 比较 ,若 两者 偏 差 足够大 , 则说 明发 生 了异 常 。 种 方法 的优点是 能 这
检 测未知 的攻 击类 型 ,缺点 是误 检率 较 高 。 根 据检 测的数 据 来源 .入侵 检 测 系统可 以分 为基 丁主 机 的入 侵检 测 系统和 基 于 同络 的 入侵 检 测 系统 。
ig n )方法 的优 势 在于它能 从大 量 数据 中提 取 人们感 兴 趣的、 事先未 知 的知识 和规律 , 而不 依赖 经验 。 用此 利 件分 析器 ;( )响应 单 元 ;( )事件数据 库 。事件 产生 3 4
技 术 实现 网络安 全 在国 内外都 是~种 新尝 试 。
器可 以捕 获 网络数 据包 或审 计数据 、 系统 日志等 信息 。 事件分 析器 分析从 事 件 产生器 得到 的数 据 ,并 产生分
Байду номын сангаас
基于 主机 的入 侵检测 系统是 通过 分析 审计 数据 和 系统 的 日志 来发 现可能 的入 侵 基于 网络 的入侵检 测 系统
是通 过 分析 网络数 据包 来检测 可能 的入侵 。 人们提 出了网络安全的第二道 防线一 入侵检测技 CI DF ( Com m o nt u i n De e to a e o k) n I r s o t c i n Fr m w r 术 。现 有的A 侵 检测 系统 又都 采 用 专家 系统或 基于 统 阐述 了一个入 侵检 测系 统 的通 用模型 它将 一个入 侵 计 的方 法 , 需要 较 多的经验 , 数据挖 掘 (aari 检 测 系统 分 为 以下 4个 组件 :( ) 这 而 dt n a 1 事件 产 生器 ;( )事 2
( p rm e to e t o c a ia i n En i e rn De a t n fE] c r me h n z to gn e i g,S ln a g B o d a tn i e st ,S e y n 1 0 3,Ch n ) L y n r a c s i g TV Un v r iy e hn a g 0 0 1 ia Ab t a t A t u i n d t c i n s s e u i g d t n n e h o o y i t o c d sr c i r s o e e t y t m sn a a mi ig tc n l g si r u e .As o i to u e f r b i i g i tu n o n s ca i n r ] 0 ul n n r — d s n d t c i n mo e s a d d t ci g a o l e l e . Th s s s e d 。c e e d。 i e e t d l n e e t n ma y a e r ai d g o n r z i y t m o n p n 口e p re c s th sfe i i t . d x e in e ,i a x b l y l i
基于数据挖掘算法的入侵检测方法
[ s at Ab t c]Ho e c oiiacutr gcrs f Me s n S AN ot toterslo d tmiigAi n th rbe ti r wt sl t r n l ls i oe K— a dDB C o e g en o n a ii r ut f aa n . migate o l h s smp a t h e n n p m,
安全技术主 要有数据挖掘入侵检测 技术 等。本文分析 了数 j 据挖掘技术【的 2种常 用算法 D S A 和 K— a s ] BC N Men ,并将 DB C N和改进 的 K Men 算法结合应用于入侵检测系统 , SA — as 对 入侵行为进行检测 ,形成 入侵检测分析系统。
() 2计算标准化 的度量值 :
:
,
12 一 ,
() 2
“f
其中,
是标准化后第 i 个对象的第,个属性值。由此将原
来 的数据转换到一个标准空间。 用于判断的准则函数通常采用均 方误差和 , 其定义如下 :
.
2 常用的数据挖掘算法
将物理或抽象对象 的集合分组成 由类似的对象组成 的多
中圈分类号: P0. T39 2
基 于数据挖 掘 算 法 的入侵 检 测 方 法
陈小辉
( 淮阴师范学院计算机科学与技术学院 ,淮安 2 3 0) 2 3 0
摘
要 : — a s和 D S A K Men B C N算法初始聚类中心的选择对数据挖掘结果的影 响较大 。针对 上述 问题 , 用信息熵改进初始聚类中心选择 利
.
=∑∑ l — ml
i =1
( 3 )
其 中, E是数据库 中所有对象 的均方误差总和 ; x表示给定的 数据对象 ; m 是簇 c中数据对象 的加权平均值 和 都是 i 多维的) ;簇 c的数 目取决于待划分类数 。 i 每个对象与簇 中心的距离采用欧几里德距离,定义如下 :
一种基于数据挖掘的网络入侵检测系统
T 技 术
一种基于数据挖掘的网入侵检测 系统
贾宝刚
( 山东省东营职业学院现代 教育技术中 心
山东东曹
257091)
摘 要: 为了 提高网 络安全保护 措施, 将数据挖掘 技术应用干网 侵检测, 络人 采用了 组件的 块化设计, 计了 独立 模 设 一种4 于数 据挖掘 的
实验中, 相似度闭值为0. 8, 采用的相似度比 较 算法是相关函数法。假设X 和 Y 分别代表要 进行比较的两条连接记录, (i)表示X连接记 X 录的第i个属性(0 s i s Length( X) 一 } Y 1) i k)表示Y 连接记录的第, 个属性((Osi+ (十 十、 “ 二Length (Y } 一 , 1) 定义函数Equ (i , k) 为X (i 和 Y(i +k)的比较结果。
目 的主机端口 号、服务类型、发送字节数、 接收字节数和连接结束时的状态标志等组成,
即: < Src . IP , Src .Por t , Dst . IP , Dst . Port , Ser vice , Src .To , Dst . Fr om , Flag)。若 相似度的值大于用户定义的闭值, 则认为此行 为是异常行为, 否则是正常行为。在本文的
系统的实时性。
设计
, 基干数据挖掘的网 络入俊检测系 统总体
提出如下框架的幕千数据挖掘的网络实
时入 侵检测系 统DMNIDS(Network Intrus ion De t ect ion Sy st e m b a sed on Da t a
Minin g ) 。 其入侵检测系 统是基于网络实现 的, 包括以下三个大模块: 网络数据采集子系 统、分类器子模块、入侵检测模块。 系统总体设计思路: ( 1)将异常检测和误用检测两种检测技术 相结合。异常检测的优点是可以检测到未知 类型的入侵行为, 而当用户的正常行为稍微发 生变化时, 就往往会被疑为入侵, 因此缺点是 误报率高‘ 误用检测是对已 知的攻击方式或系 统的弱点进行建模, 将与预先定义好的攻击特 征相匹配的行为确定为攻击, 其优点是可以有 效地检侧到已知攻击, 缺点是对新的人侵行为 无能为力, 漏报率高。鉴干异常检测和误用检 测各自 的优缺点, 在系统框架设计过程中, 本 文把两种检测技术结合起来。 (2)二基于主机入侵检测和基于网络入侵 检测相结合。准确性是入侵检测系统的基本 要求, 在当今网络计算环境下, 可扩展性和自 适应性对入侵检测系统来说同样重要。在一 个网络系统中, 往往有多个可能导致人侵发生 的“ 渗透点” 为了更为有效的检测入侵, 。 我们 在网络系统中各个 “ 渗透点”进行检测, 不同 渗透点的活动往往被记录到不同的审计数据 格式中, 而且当网络计算环境发生变化时 , 一 个入侵检测系统往往要求被扩展以适应新的 需求。鉴干以上考虑, 我们将基于主机入侵检 侧和基于网络的入侵检测相结合。 (3)检测模块检测过程中用到的规则库并 不是一成不变的, 随着新的系 统安全漏洞和人 侵方法不断的被发现, 一个入侵检测系统必须 经常及时更新它的规则库, 规则库的学习过程 是连续而不间断的, 这要求构造一个自 适应的 人侵检测系统。
基于数据挖掘技术的电力入侵检测系统防护结构及性能分析
的各种入侵和潜在攻击 , 人侵检测系统是一种能
够及 时发 现并 报告 网络系统 中未 授权行 为或异 常 现象 的网络 安全 系统 . 因此 , 研究 入侵检 测系统 对 电力 调度信息 系统 的网络安 全具 有重要 意义 .
收稿 日期 :2 1 0 0 00— 1— 7
Ab t a t Ac o d n o t tu t r n e s c rt e u r me t fee t c p we s a c n sr c : c r i g t he sr c u e a d t e u iy r q ie ns o lcr o rdip thig h i s se ,t r i gprn i e o ei tu in d t ci n s se a d e it r b e n t e i tu in y tm hewo k n i cpl ft n r so ee to y tm n xsi p o l msi n r so h ng h d tc in s se ee t y tm a e o r prs n e e e td. I ve n iw o h c re t rblms te i e e c s ewe n he f t e u r n p o e , h d f r n e b t e t i tuso ee to y tm a e n d t nig a d o e n r in d tci n s se r o a e n r i n d t ci n s se b s d o aa mi n n t ri tuso e e t y t msa e c mp rd, h o t e d tc in r t n h a e o as ee to r n lz d. h e e t a e a d t e r t ffle d t cin a e a a y e o Ke r s: i tu in dee t n;d t nig;p we ip th n y wo d n r so tc i o aa mi n o rdsac ig
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关键 词 :网络 安 全 ;入 侵 检 测 ;数 据 挖 掘
0 引
言
1 提 出 问题
虽然对入侵 检测方法 及技术 的研究 已经有 2 0多
近 年 来 . 着 网 络 技术 快 速 发 展 种 各 样 的 问题 随 各 也 随 之 产 生 . 中 网络 安 全 问 题 尤 为 突 出[ 目前 常 见 其 1 1
络安全就没有社会信息化 .如何争取在信息战 中取得 主动权 , 保护国家信息安全 , 是刻不容缓 的研究课题 , 也
隐藏 的异 常 模 式 . 而 进 行 入 侵 检 测 。近 1 进 0年来 , 出 提 了许 多 方 法 . 括 关 联 规 则 、 类 、 包 分 聚类 以 及 从 稀 有 类
是 所 面 临 的重 要 问题 之一
为是 防 火墙 之后 的第 二 道 安 全 闸 门 .它 在 不 影 响 网络 性 能 的情 况 下 对 网 络进 行 监 测 . 而提 供 对 内部 攻 击 、 从
2 典 型 的 解 决 方 案
将入侵检测看作一个数据分析过程的观点导致 了 基 于数 据 挖 掘 的入 侵 检 测 方 法 的研 究 。通 过 对 基 于 主 机 的 审计 轨 迹 ( 如 U I 的 B M 数 据 1 基 于 网 络 的 例 NX S 和
年 的历程 . 目前 I SIt s nD t t nSs m 入侵 但 D ( r i e c o yt ) nu o ei e
检 测系统仍处于相当初级 的阶段: 商业化产品在实施方
法 上 大都 采用 类 似 于 防病 毒 软 件 的硬 编 码 机 制 ,这 显 然 不适 合 日益 变 化 的 网络 攻 击 行 为 :实 验 室 研 究 虽 然 提 出 了各 种新 方 法 来 检 测 新 类 型攻 击 行 为 .但 离 实 际 应 用 还 有 相 当 的距 离 当前 研 究 机 构 和 工 业 界 的 入 侵
的网络安全技术主要有加密技术 、身份 鉴别 和认 证技
术 、 问控 制 技 术 、 火墙 技术 和入 侵 检 测 技 术 等[1 访 防 2。 - 3 这 4 技 术都 属 于传 统 的静 态 安 全 技 术 .在 保 护 种 网络安 全方 面虽 然 起 到 了很 大 的积 极 作 用 . 这 种 保 护 但 常 常是 被动 的 . 能主 动地 发 现一 些安 全 隐患圈 不 而 入侵 检 测 技 术是 属 于 主 动 的保 护 网络 安 全 技 术 .是 当今 一 种 非 常 重要 的 动态 安 全技 术 入 侵 检 测 技 术作 为 网络 安 全 研 究 的 重 要 内 容 .更 是 引起 了 国 内外 学 者 的 广 泛 关 注问 入 侵检 测 技 术 是 二 十 年 多年 来 出现 的一 种 主 动
基于数据挖掘 的入侵检测技术研究综述
刘小明 . 熊 涛
( 江西 理 工 大 学 理 学 院 ,赣 州 3 1 0 ) 4 0 0
摘
要: 入侵 检 测技 术 是 近 年 来 研 究 的 热 点 , 先 说 明入 侵 检 测研 究 的 重要 意 义 和 必 要 性 , 后 在 首 然 深入 研 究数 据 挖 掘技 术 和入 侵 检 测 技 术 的基 础 上 . 对 目前 入 侵 检 测 系统 中存 在 的 一 些 问 针 题 , 绍 几 种 典 型 的解 决方 案 , 介 并对 它 们 进行 比较 和 分 析 , 论 今 后 研 究 发展 方 向 。 讨
修 稿 日期 : 0 0 4 6 2 1 -0 —1
作 者 简介 : 小明 ( 9 1 , , 西 瑞金 人 , 士研 究 生 , 究 方 向 为智 能 计 算 智 能软 件 刘 1 8 一) 男 江 硕 研
囝 现 计 机 21o4 代 算 0o
.
研 究 与 开 发
/
//
者 的各 种 入 侵 行 为之 间 的 相 关 性 关 联 规 则 挖 掘 是 数 据 挖 掘 最 为 广 泛 应 用 的 技 术 之 一 .也 是 最 早 用 于 入 侵 检 测 的技 术 现 在 已有 多种 关 联 规 则 算 法 例 如 A r r pi i o 算 法 等 用 于 入 侵 检 测 关 联 规则 最早 被 用 于 分 析 网络 流数 据 .随后 也 将 关 联 规 则 的挖 掘 结 果 作 为后 挖 掘 的 输 入 数 据 .以便 能 挖 掘 出 更 优 的 结 果 乔 治 梅 森 大 学 的研 发 人 员 发 展 了 关 联 挖 掘 在 入 侵 检 测 方 面 的 重 要 应 用 .并 提 出一 种 新 型 的 应 用 于 异 常 检 测 的 多重 检 测 方 法 他 们 的研 究 成 果 主 要 在 A A (u i D t A a s n n 系 统 D M A dt a nl i adMi n a ys i 中得 到应 用 。 步 的实 验 结 果 非 常 理 想 。 D M 系 统 在 初 A A
是在未来信息社会 中能够生存 的必 由之路 因此 . 致力
于入侵检测的研究具有重要 的社会意义和现实意义翻 中学Biblioteka 的技术 和基于代价的建模技 术等。
2l 基 于关联 规 则 的入 侵 检 测技 术 -
在 网 络安 全 系统 中 .可 以用 关 联 分 析 来 找 出入 侵
收 稿 日期 :0 0 3 1 2 1 —0 —1
审 计 轨 迹 f 如 tp u 例 c d mp数 据) 行 挖 掘 分 析 , 现 其 中 进 发
外部攻击和误操作 的实时保护
当今 , 络 犯 罪 日益 严 重 . 障 网 络 系 统 的 安 全 . 网 保 给 广大 网 民一 个 洁 净 的 网络 环 境 已是 当务 之 急 网络 安全 已成 为 国家 与 国 防安 全 的重 要 组 成 部 分 .没 有 网
保 护 自己 以 免 黑客 攻 击 的新 型 网 络安 全 技 术 它被 认
检测 系统普遍存在 的最 突出的共性 问题是 :系统只能
检 测 已知 类 型 的攻 击 行 为而 对 新 攻 击 类 型 往 往 会 误 报
漏 报 . 而失去应有 的性 能 . 从 系统在检测攻击行为时实 时性不够 , 除此之外 . 系统 操作非常 繁琐 , 配置复杂也