论文部分内容阅读
随着网络攻击手段的多元化和复杂化,单纯依赖防火墙等静态防御已经难以胜任网络安全的需要。入侵检测作为一种主动的安全措施,可以有效地弥补传统安全防护技术的缺陷。但是面对日益增长的网络流量和层出不穷的攻击方式,传统的入侵检测模型也暴露出很多不足。本文引入当今的研究热点数据挖掘技术,从收集到的系统和网络行为记录中挖掘出潜在的入侵信息,自动识别入侵模式,大大减轻了人工工作量,提高了检测效率。
本论文主要作了如下的工作:1.阐述了当前入侵检测系统的分类,系统全面地介绍了入侵检测系统的研究发展状况,并分析了当前存在的问题。然后阐述了数据挖掘技术的分类,并对各个方法进行分析。
2.研究了系统调用序列的异常检测,并建立一个基于Markov链的系统调用序列检测系统。针对异常检测的实时性要求,推导出系统调用长序列的求解异常度的高效计算方法。试验比较了单步、多步Markov链模型的检测能力。
3.针对网络记录的混合型数据集提出了一种基于聚类的QNI检测算法,并给出了正常模式和异常模式的划分原理和方法,相关试验表明该算法的实现效果是满意的。最后分析了聚类方法在入侵检测领域中的具体应用方法。
4.最后提出一个综合检测系统序列调用和网络数据包的体系结构模型CR,该模型可以大大提高检测的准确率。