论文部分内容阅读
入侵检测系统是继“防火墙”、“数字签名”、“访问控制”等传统静态安全保护措施之后的又一道安全闸门。传统的入侵检测系统采用模式匹配的方法来实现检测,在自适应性方面表现得不够理想。将数据挖掘技术应用于网络入侵检测,可以充分发挥数据挖掘处理大数据量的优势,提高检测的效率和准确性,但是存在一定的误检率。本文首先设计了一个基于模式匹配和数据挖掘的入侵检测系统模型,具体分析了每个模块完成的功能并给出模块的具体实现方法,在基于模式匹配的检测设计部分提出了使用经典的AC_BM多模匹配算法进行检测的思想。论文详细地分析了引入数据挖掘的知识对网络数据包首部信息进行检测的模块,完成了对原始数据的预处理、高精度分类模型的构造和系统的功能实现。预处理的过程就是基本属性的提取过程,在构建分类模型时,特征属性的选择直接影响模型的精度,而特征属性来源于基本属性,因此本文设计了一个完整的预处理过程,实现了从原始数据集中对连接记录的基本属性的提取。论文通过分析影响分类模型精度的多种因素,在大量的实验基础上选择了合适的特征属性以构建分类模型。在分类算法中通过对ID3、C4.5以及一些扩展算法的分析,选择了规则易于理解、准确率较高并且也符合实时性要求的C4.5算法。在模型中实现连接记录的转化、属性的选择和规则的形成功能。实验表明本系统所提出使用的特征属性所构建的分类模型能够较好地区分“正常”数据和“异常”数据。