基于数据流挖掘分析的网络入侵检测系统研究

摘要

入侵检测系统（IntrusionDetectionSystem，简称IDS）从检测技术上分为误用检测(MisuseDetection)和异常检测(AnomalyDetection)两种。误用检测技术是基于匹配入侵特征库的原理，其特点是误报率低、漏报率高;异常检测技术是基于分析行为模式的原理，其特点是漏报率低，误报率高。这两种技术各有优劣，如何将这两种技术有效的结合起来以提高入侵检测系统的性能是当前信息安全领域研究的重要问题之一。误用检测技术的典型应用代表有Snort系统。Snort是一个开源的网络入侵检测软件，它采用规则驱动的语言和插件扩充的形式，能够实时对数据流量进行分析、对网络数据包和系统日志进行检测。Snort系统的功能非常强大，其代码的简洁性、免费性和可移植性使得Snort成为入侵检测系统的原型系统。而异常检测技术一直处于理论研究之中，并且多数足基于数据挖掘的方法进行研究的，目前缺乏成熟和完美的系统。数据挖掘(DataMining)综合了人工智能技术、机器学习技术和数据库理论，它是知识发现(KnowledgeDiscoveryinDatabase，简称KDD)理论的扩展。
　　 本文立足于对网络入侵检测技术的分析，着重研究网络数据流的异常检测算法。网络数据流属于典型的数据流类型的数据，从数据流分析的角度看，异常检测可以看作足如何发现异常数据流的问题，该问题可以看作是数据挖掘领域的离群点分析问题。而对于数据流的挖掘分析问题又是在数据挖掘领域里极具挑战性的新课题。因为数据流具有海量、动态变化的特点，使得传统的数据挖掘算法对数据流的分析效果不是很好，如何改进现有数据挖掘算法使其能有效的检测出数据流中的异常行为，是当前数据挖掘领域的一个难点和热点问题。其难点之一就是要求算法只能一次或有限次数的扫描数据集，并且要求算法的处理速度相当快。在对数据流处理的方法中，具有代表性的算法有数据流聚类算法CluStream。本文将CluStream算法应用于网络数据流的研究，提出了一种改进的双层框架结构的数据流异常检测算法ADStream（AnomalyDetectionofDataStream，简称ADStream），该方法能在线对数据流进行聚类处理，保存聚类的数据特征信息，并在倾斜时间框架下对聚类的特征信息进行保存，系统再对保存的数据进行离线分析处理，得到数据流的正常和异常行为模式。本文作者将ADStream算法应用到Snort系统中，构造了一个新的既具有误用检测能力，又具有异常检测能力的网络入侵检测模型系统，并用标准的KDD99数据集对它进行了测试。

目录

声明

摘要

第一章 绪论

1．1 研究背景及意义

1．2 国内外研究现状

1．3 课题研究内容

1．4 论文构成

第二章 入侵检测与数据流挖掘

2．1 入侵检测

2．1．1 入侵检测的概念

2．1．2 入侵检测系统的分类

2．1．3 入侵检测系统面临的挑战

2．2 数据流

2．2．1 数据流的概念和特性

2．2．2 数据流处理方法

2．2．3 数据流挖掘分析方法

2．3 基于数据流挖掘分析的异常检测

2．4 本章小结

第三章 基于数据流挖掘分析的异常检测算法

3．1 CluStream算法介绍

3．2 ADStream算法介绍

3．2．1 对CluStream算法的改进

3．2．2 ADStream算法过程

3．2．3 ADStream算法描述

3．3 算法分析

3．4 本章小结

第四章 基于数据流挖掘分析的NIDS模型及实现

4．1 系统模型图

4．2 功能介绍

4．2．1 Snort模块

4．2．2 预处理模块

4．2．3 异常检测模块

4．2．4 控制模块

4．3 本章小结

第五章 实验及结果分析

5．1 KDD99数据集介绍

5．2 实验

5．3 测试结果及分析

5．4 本章小结

第六章 总结与展望

6．1 论文总结

6．2 课题展望

参考文献

致谢

攻读学位期间所发表的论文目录

攻读学位期间参与科研项目情况

学位论文评阅及答辩情况表