随着计算机网络安全问题的不断增加,网络安全成为人们关注的焦点。目前,解决网络安全问题的主要技术手段有加密技术、防火墙技术、安全路由器等,虽然完成大部分安全功能,但它们多采用静态的安全策略,在防御网络入侵方面具有一定的局限。入侵检测系统通过动态探察网络内的异常情况,及时发出警报,有效弥补了其他静态工具的不足。其通过对计算机网络或计算机系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。目前,入侵检测所分析的数据源是系统日志或网络数据包,因而存在一些明显的不足:(1)非实时性,讨论的焦点是在入侵完成后将入侵行为记录下来,还是在入侵完成前就发现并阻止其对系统的入侵;(2)分析方法关注的是入侵的形式而非本质,容易被新型的或者精心设计的攻击手段绕过检测。 本文首先研究了入侵检测的研究现状与发展趋势,介绍了入侵检测与数据挖掘的基础知识。其次根据目前入侵检测存在的问题提出了基于数据挖掘的主机入侵检测系统的模型与实现方案,该模型有以下特点:(1)使用关联规则和分类规则两类数据挖掘算法;(2)采用误用检测与异常检测结合的办法(关联规则应用用于异常检测,分类规则应用用于误用检测);(3)并采用了贪心算法实现了同种类数据挖掘算法间的规则合并;(4)最后,采用统计学的思想评价系统调用序列正常与否。通过实验证明该方案实现了较低的误报以及较少的训练时间。 本文采用系统调用序列这一特殊的数据源:在Linux,Unix,Sun OS,Solaris等这类开放源码的系统下,入侵检测可以基于这样的方式——它通过监控系统中的系统调用来发现和阻止入侵行为。大多数对系统的攻击最终也是通过非法执行系统调用来达到目的。所以通过监控系统调用,阻止非法的系统调用,则可以检测并阻止大多数入侵行为,达到了保护系统的作用。