网络安全检测关键技术研究——基于数据挖掘技术的网络异常检测方法研究

摘要

随着Internet在全球的普及和发展，越来越多的计算机用户可以通过网络足不出户地享受丰富的信息资源，方便快捷地收发信息。计算机网络已经和人们的学习、工作紧密的联系在一起，成为许多人生活中不可或缺的重要部分。但是，在人们享受网络带来的巨大便利时，计算机网络的安全性也日益受到关注。一方面随着网络结构的日趋复杂和应用的多元化，使得系统存在漏洞的可能性大大增加；另一方面黑客攻击手段日新月异，加之内部工作人员有意或无意的非法越权操作，对于网络的正常运行均构成了极大的威胁。原有的安全保障措施，诸如：信息加密、授权访问和防火墙等已经无法满足实际需要。入侵检测系统作为一种新兴的安全技术，主要通过监控网络与系统的状态、用户行为及资源的使用情况来发现系统内部用户的越权使用和外部入侵者的入侵攻击企图。入侵检测技术是对原有计算机网络安全机制的合理补充，它的应用极大地扩展了网络和系统安全的防御纵深。目前，入侵检测系统正在成为网络安全体系中不可或缺的重要组成部分。 本文首先阐述了当前网络所面临的安全问题以及常见的安全保障措施，并且说明了入侵检测技术的现状和发展趋势；继而针对当前入侵检测系统所面临的主要问题开展了大量的研究工作，并提出了相应的解决方法。本文的研究内容主要包括： 分析了当前主要的入侵检测技术和检测模型的优缺点，探讨了入侵检测系统当前所面临的急待解决的标准问题以及入侵检测系统性能的评估方法。 分析了当前主要的数据挖掘方法，并将关联挖掘与序列模式挖掘方法应用到基于网络的异常检测中，提出了计算挖掘正常流量与异常流量得到的规则集之间的相似度来判断网络是否发生异常的检测方法，并通过实验证实了该方法的有效性。对于包含数值属性并且带标识的网络流量数据，我们提出了先对数值属性进行聚类划分，而后再使用关联规则挖掘的检测方法。实验结果表明，该方法可以有效地进行网络误用检测。 针对现有异常检测方法实时性较差的缺陷提出了基于关联规则的在线式检测方法，并根据当前网络攻击的特点提出了自底向上合并IP地址和子网地址的域层次关联规则挖掘方法，从而增强了系统检测分布式集团攻击的能力。 提出了基于模糊挖掘技术的入侵检测新方法，将模糊逻辑结合到关联规则挖掘和频繁情节挖掘方法中。根据模糊集来分类网络流量中的数值属性，并采用遗传算法构造了描述模糊集的隶属函数，从而避免了经典集合理论分类时存在的“尖锐边界”问题。实验结果表明结合模糊逻辑的数据挖掘方法是一种有效的异常检测手段。 提出了一种自适应的入侵检测系统框架，该框架最初根据训练数据建立用于异常检测的正常行为规则库，而后在检测过程中采用了一种基于滑动窗口的动态关联规则挖掘算法，通过挖掘窗口中的数据来动态地更新原有的规则库，从而使入侵检测系统具备了自适应的功能。 提出了非监督式的异常检测方法，该检测方法的特点是无需专门训练，而且对于低密度的攻击检测效果良好。因此，采用该方法对基本处于正常情况下的网络流量数据进行检测，通过调整检测率就可以获得监督式检测方法所必需的训练数据。

目录

文摘

英文文摘

第一章绪论

1.1网络安全的研究背景

1.2网络安全问题的原因

1.3解决网络安全问题的现有措施

1.3.1非技术措施

1.3.2技术措施

1.4入侵检测研究的意义与现状

1.4.1入侵检测系统的研究意义

1.4.2入侵检测系统的研究现状

1.4.3入侵检测的发展趋势

1.5论文的主要研究工作及创新点

1.6论文的结构与内容安排

第二章入侵检测的技术方法和分类

2.1入侵行为的分类

2.2入侵检测系统的分类

2.2.1基于主机的入侵检测系统HIDS

2.2.2基于网络的入侵检测系统NIDS

2.3入侵检测的方法

2.3.1异常检测

2.3.2误用检测

2.3.3异常检测与误用检测的比较

2.3.4入侵检测的标准

2.3.5入侵检测工作组IDWG

2.3.6通用入侵检测框架CIDF

2.4入侵检测系统的拓扑结构

2.5入侵检测系统及检测算法的性能分析

2.5.1评价入侵检测系统性能的要素

2.5.2评价入侵检测系统性能的参数

2.6本章小结

第三章基于数据挖掘技术的网络入侵检测方法

3.1数据挖掘的概念

3.1.1数据挖掘的系统结构

3.1.2数据挖掘的分析方法

3.2关联规则的挖掘

3.2.1关联规则的基本概念

3.2.2Apriori算法

3.3频繁情节的挖掘

3.3.1频繁情节挖掘的定义

3.3.2串行频繁情节挖掘算法

3.4采用数据挖掘方法进行入侵检测的实验

3.4.1实验一

3.4.2实验二

3.5基于关联规则挖掘的实时入侵检测技术研究

3.6本章小结

第四章结合模糊逻辑的数据挖掘方法在入侵检测中的研究

4.1模糊逻辑

4.2模糊数据挖掘技术

4.2.1属性值的模糊聚类

4.2.2抽象概念的形成

4.2.3模糊映像关系的获取

4.3模糊关联规则挖掘

4.3.1模糊关联规则

4.3.2支持度

4.3.3置信度

4.3.4模糊关联规则挖掘算法

4.4模糊频繁情节挖掘

4.5采用遗传算法构造隶属函数

4.5.1遗传算法简介

4.5.2标准遗传算法

4.5.3隶属函数的构造

4.5.4实验结果

4.6本章小结

第五章自适应入侵检测系统的框架

5.1自适应入侵检测系统的框架结构

5.2动态递增的关联规则挖掘算法

5.3非监督式的异常检测方法

5.3.1基于聚类的方法

5.3.2改进的k最近邻算法

5.3.3实验及结果

5.4本章小结

结束语

致 谢

博士研究生期间所发表的学术论文

参考文献

西北工业大学学位论文知识产权声明书及西北工业大学学位论文原创性声明