基于序列模式挖掘的误用入侵检测系统及其关键技术研究

论文题目: 基于序列模式挖掘的误用入侵检测系统及其关键技术研究

论文类型: 博士论文

论文专业: 计算机科学与技术

作者: 宋世杰

导师: 金士尧

关键词: 入侵检测,数据挖掘,序列模式,行为分析,关联规则

文献来源: 国防科学技术大学

发表年度: 2005

论文摘要: 入侵检测技术是继防火墙、数据加密等传统安全保护措施之后的新一代安全保障技术。近年来,网络数据流量不断增大,传统的基于人工建模的入侵检测技术已经越来越无法适应新的网络环境,为解决从海量数据中提取出有用信息的问题,人们提出了基于数据挖掘的入侵检测技术。随着入侵手段的不断提高,许多入侵行为往往没有明显的字符串匹配特征,其中任何单独的一条报文或者命令都看似正常,但一系列按时间顺序排列的报文或者命令就构成一次攻击,而且这种攻击序列在一次攻击中只出现一次。为了找寻这种攻击的规律,本文将序列模式挖掘技术引入入侵检测系统。序列模式挖掘算法比数据挖掘的关联规则算法的挖掘粒度更大,它以某种序列攻击的多个样本作为训练数据,挖掘出在一个样本中只出现一次,而在多个样本中频繁出现的攻击行为特征序列,并依此建立检测模型。序列模式挖掘算法克服了关联规则算法中不能反映事件在时间顺序上的前后相关性的缺点,可以检测出应用层R2L(remote to local)和U2R(user to root)攻击,这是目前入侵检测中的一个难点,从而有效地提高了对攻击的检测率。 在研究了现有基于数据挖掘的入侵检测系统的基础上,本文围绕入侵检测技术框架、协议分析和行为分析技术、数据仓库技术以及数据挖掘和序列模式挖掘技术等几个方面展开深入研究,主要创新点包括: 1.提出一种基于序列模式挖掘的误用入侵检测系统框架SEMIDS(a framework of misuse IDS based On SEquential pattern Mining) 通过对各种类型基于数据挖掘的入侵检测系统优劣的分析,本文将序列模式挖掘算法、应用层协议和行为分析、误用检测方法有机地应用于入侵检测系统中,提出一种基于序列模式挖掘的误用入侵检测系统框架SEMIDS。与以往基于数据挖掘的入侵检测系统相比,SEMIDS克服了统计分析的缺点,提取出时间顺序信息,可以检测只出现一次特征的应用层序列攻击。 本文在该系统框架中提出了应用层协议属性的提取与存储方法;适于入侵检测数据格式的高效的序列模式挖掘算法;提出一种候选链结构实现模式匹配和模式比较;利用打分机制为匹配后的数据打分和分流,可以检测出具体攻击或者标记出已获得管理员权限入侵者的可疑行为;使用自适应机制增强了机器自我学习能力,针对变形的攻击重新建立检测模型;判决机制利用状态分析方法,将其它入侵检测系统检测到的可疑行为作为本系统输入,构建了一个开放性的入侵检测系统。实验表明,利用本系统可以描述入侵者的序列攻击行为,建立入侵者的序列攻击特征模型,适用于检测应用层的R2L和U2R攻击。 2.提出了应用层协议属性的提取与存储方法 行为分析充分利用了网络协议的高度有序性,不仅对单个报文进行解析获得应用层信

论文目录:

插图索引

表格索引

摘要

ABSTRACT

第一章 绪论

1．1 研究背景

1．2 主要工作及创新点

1．3 论文结构

第二章 相关研究工作

2．1 入侵检测技术

2．1．1 入侵检测系统的体系结构

2．1．2 入侵检测系统分类

2．1．3 入侵检测的发展方向

2．2 数据挖掘技术

2．2．1 数据挖掘简介

2．2．2 关联规则算法

2．2．3 序列模式挖掘算法

2．2．4 分类算法

2．3 基于数据挖掘的入侵检测系统研究现状

2．4 本章小结

第三章 基于序列模式挖掘的入侵检测系统框架研究

3．1 基于数据挖掘的入侵检测系统分类

3．1．1 网络型误用检测系统

3．1．2 网络型异常检测系统

3．1．3 主机型入侵检测系统

3．2 基于序列模式挖掘的误用入侵检测系统框架SEMIDS

3．2．1 模式比较

3．2．2 模式匹配

3．2．3 打分机制和自适应机制

3．2．4 判决机制

3．2．5 实验结果与分析

3．3 本章小结

第四章 数据预处理

4．1 数据源

4．1．1 DARPA的tcpdump数据

4．1．2 KDDcup99数据

4．2 应用层协议会话的重组

4．2．1 NetMonitor

4．2．2 Bro

4．3 应用层协议属性的提取

4．3．1 FTP协议

4．3．2 Telnet协议

4．3．3 HTTP协议

4．4 应用层协议属性的数据仓库建模

4．4．1 数据仓库的结构

4．4．2 数据仓库的建立

4．4．3 入侵检测系统数据仓库的特性

4．5 本章小结

第五章 序列模式挖掘算法研究

5．1 相关算法

5．1．1 AprioriAll算法

5．1．2 SPADE算法

5．1．3 PrefixSpan算法

5．2 序列模式挖掘算法: HVSM—1

5．2．1 HVSM—1算法流程

5．2．2 序列模式挖掘算法复杂性分析

5．2．3 实验结果和性能比较

5．3 适于入侵检测的序列模式挖掘算法: HVSM—2

5．4 本章小结

第六章 总结与未来工作

攻读博士学位期间撰写的主要论文

攻读博士学位期间参加的科研项目

致谢

参考文献

发布时间: 2005-11-07

参考文献

• [1].基于生物免疫学的入侵检测系统的研究与实现[D]. 张琨.南京理工大学2003
• [2].入侵检测系统数据分析方法及其相关技术的研究[D]. 关健.哈尔滨工程大学2004
• [3].智能网络入侵检测系统关键技术研究[D]. 邹涛.国防科学技术大学2004
• [4].基于数据挖掘的入侵检测关键技术研究[D]. 熊家军.华中科技大学2004
• [5].分布式主动协同入侵检测系统研究与实践[D]. 邓琦皓.中国人民解放军信息工程大学2005
• [6].入侵检测系统性能提高新技术研究[D]. 金舒.南京理工大学2006
• [7].基于免疫遗传算法的入侵检测系统研究[D]. 刘刚.铁道部科学研究院2006
• [8].入侵检测信道模型研究[D]. 饶鲜.西安电子科技大学2006
• [9].网络入侵检测系统关键技术研究[D]. 魏宇欣.北京邮电大学2008
• [10].基于免疫学的入侵检测系统研究[D]. 吴作顺.中国人民解放军国防科学技术大学2003

相关论文

• [1].基于数据挖掘的网络入侵检测研究[D]. 刘勇国.重庆大学2003
• [2].基于数据挖掘的自适应入侵检测建模研究[D]. 向继东.武汉大学2004
• [3].基于数据挖掘的入侵检测关键技术研究[D]. 熊家军.华中科技大学2004
• [4].基于主机的入侵检测方法研究[D]. 田新广.国防科学技术大学2005
• [5].基于机器学习的入侵检测技术研究[D]. 张义荣.国防科学技术大学2005
• [6].数据挖掘技术在入侵检测中的应用研究[D]. 刘雪飞.南京理工大学2005
• [7].几类高效入侵检测技术研究[D]. 张小强.西南交通大学2006
• [8].基于异常分析的入侵检测关键技术研究[D]. 许舟军.天津大学2006
• [9].入侵检测算法及关键技术研究[D]. 段丹青.中南大学2007
• [10].网络入侵检测系统关键技术研究[D]. 魏宇欣.北京邮电大学2008

标签：入侵检测论文;  数据挖掘论文;  序列模式论文;  行为分析论文;  关联规则论文;