一种基于DFC的集群入侵检测方法的研究

摘要

随着计算机技术及电子商务的发展，越来越多的个人及单位参与到互联网当中，使得网络安全问题日益凸显。网络环境的复杂化导致传统的被动的防御方式在对计算机进行安全防护时显得力不从心，入侵检测系统应运而生。由于网络带宽的增加，传统的单一的入侵检测系统已经不能满足对网络环境实时监测的需要，集群入侵检测系统已成为目前网络安全研究的热点。它对网络数据包进行实时分流的思想有效地解决了网络包掉包的现象。
　　 目前，市场上存在着许多入侵检测产品，这些产品主要用于企业网站及军事部门，用来检测入侵行为。然而在集群入侵检测系统中普遍采用模糊C-均值入侵检测算法聚类由于未考虑数据流的相关性，会影响入侵检测的准确率，且由于聚类大小差别较大现在，影响探测器负载的平衡。怎样进一步提高集群入侵检测系统的检测准确率并且提升负载均衡能力，成为集群入侵检测系统中需要重点解决的问题。这一问题的解决关键是找到一种较为合理的将数据流分流的方法，本文将就此问题进行深入的研究。主要研究内容如下：
　　 ⑴提出了一种数据流相关性聚类算法(Data Flow Correlated Clustering Algorithm，DFC)。在此算法中，本人主要做了以下几方面工作：①从数据流属性集合抽取出一个具体六元组，这个六元组作为该数据流特性的表示，较全面地描述了数据流的属性。②提出数据流匹配操作及数据流相关性的概念，对每个数据流与聚类中心的六元组中各个属性进行匹配，用匹配结果来判断数据流相关性。③提出数据流逻辑距离概念，并给出逻辑距离公式，使数据流间逻辑距离的判定方式从语义上的描述发展到用形式化的公式来判定。人们可以更精确地判定数据流之间的逻辑距离。
　　 ⑵提出了一种基于DFC的集群入侵检测方法，它将来自外部网络的数据流分流，分流的依据是数据流之间的逻辑距离，若数据流间逻辑距离大于阈值，将此数据流作为新产生的聚类中心，否则将此数据流放入原有与之逻辑距离最近的聚类中。将此方法应用到集群入侵检测系统模型中，该算法设定了聚类中数据流数目的上限，有效地将聚类中数据流的数目限制在一定范围内，平衡了探测器的负载。
　　 ⑶采用来自DARPA检测评估计划的KDD Cup1999数据集上的数据来验证DFC的有效性，从而进一步证明了该方法是一个检测率高且效率高的集群入侵检测方法。

目录

文摘

英文文摘

声明

第1章绪论

1.1研究背景

1.2国内外的研究现状

1.3课题研究内容与本人所做工作

1.4创新点

1.5论文组织结构

第2章基本理论知识

2.1入侵检测技术概述

2.1.1入侵检测系统的概念

2.1.2入侵检测系统分类

2.1.3入侵检测系统模型

2.1.4典型的入侵检测系统部署

2.1.5入侵检测系统性能评估指标

2.1.6入侵检测系统的问题

2.1.7入侵检测系统未来发展方向

2.2入侵检测系统的组成

2.2.1信息收集模块

2.2.2信息分析模块

2.3传统负载平衡算法

2.4基于模糊C-均值聚类算法(FCM)的入侵检测方法

2.4.1模糊C-均值聚类算法(FCM)

2.4.2基于模糊C-均值聚类算法的入侵检测过程

2.5本章小结

第3章基于DFC的集群入侵检测方法

3.1引言

3.2网络连接记录特征提取

3.2.1 TCPDUMP

3.2.2 TCPDUMP输出数据处理框架

3.2.3输出数据分解过程

3.3数据流相关性

3.4逻辑距离

3.5 DFC

3.5.1属性值加权

3.5.2改进的欧氏距离

3.5.3阈值选取

3.5.4 DFC

3.6本章小结

第4章实验结果与分析

4.1实验环境

4.2实验数据集

4.3实验验证

4.3.1基于DFC的入侵检测过程

4.3.2集群入侵检测系统的设计与实现

4.3.3结果分析

第5章结论与展望

5.1工作小结

5.2未来工作展望

参考文献

致 谢

发表论文及参加课题