论文部分内容阅读
本文在数据挖掘和入侵检测理论的基础上,提出了一种基于数据挖掘技术的入侵检测系统模型。数据挖掘是一个利用各种分析工具能够从大量数据中发现模型和数据间关系的过程,它提供的一些算法和工具对入侵检测很有帮助。本文选取了数据挖掘的两种常用算法:关联规则算法和序列模式算法,应用于此。这些算法用于计算对描述用户行为很重要的审计记录模式。为了从数据中获取有用的模式,文中对基本的关联规则算法和序列规则算法进行了一些改进,在原有的模式挖掘算法中加入两个限制条件,即轴心属性和参考属性,根据挖掘到的模式所涉及的属性,选择其中能够提供有用模式的信息。文中首先把网络记录处理成包含基本特征的连接记录,然后利用改进的数据挖掘算法对其进行计算,得出连接记录的频繁模式,并设计一个实验用于检测该模型的有效性。
最后,文中提出一个分布式的网络入侵检测模型的设计思想,以用于对协同攻击的检测。该系统包含下列三个部分:一个中心控制级检测模块,多个主机级检测模块和网络代理级检测模块。它们之间通过代理协同检测网络行为。
实验表明,将数据挖掘技术应用于入侵检测系统,能够提高系统处理数据的效率;可以将正常行为与可疑行为区分开来,使系统管理员更专注于处理入侵行为;能够发现隐藏于可疑行为背后的实际入侵。实验证明,数据挖掘技术与入侵检测的结合具有广阔的前景。