首页> 正文

数据挖掘技术在入侵检测中的应用研究

2020-11-15阅读(765)

数据挖掘技术在入侵检测中的应用研究

论文题目: 数据挖掘技术在入侵检测中的应用研究

论文类型: 博士论文

论文专业: 计算机应用技术

作者: 刘雪飞

导师: 张秉权

关键词: 入侵检测,数据挖掘,有限状态自动机,系统调用,聚类算法,报警信息根源分析,报警信息因果关联分析

文献来源: 南京理工大学

发表年度: 2005

论文摘要: 入侵检测是网络信息安全保障体系的一个重要环节。有鉴于数据挖掘技术的学习和挖掘能力,本文将其应用于入侵检测,并做了相应的研究工作。包括有限状态自动机学习算法应用到基于程序系统调用的入侵检测,聚类算法应用到入侵检测系统报警信息的报警根源分析。主要取得如下四个方面的研究成果: (1)研究并提出了入侵的检测框架。在Cohen证明病毒入侵检测的不可判定性基础上,提出了不存在入侵的通用检测模型,进而给出了入侵的检测框架。检测框架从多种数据源、多种分析技术实施入侵检测,它综合了主机数据源、网络数据源、报警信息数据源,主机数据源和网络数据源分析综合运用误用检测和异常检测技术,报警信息数据源分析综合运用报警信息根源分析和因果关联分析技术。 (2)研究并提出了报警信息根源分析和报警信息因果关联分析的入侵检测方法。在对入侵检测报警信息和入侵过程分析的基础上,发现入侵检测系统产生的大量报警信息是由少数几个报警信息根源产生,这些报警信息根源暴露于大报警信息集合中;真正入侵产生的报警信息之间存在因果关联关系,通过因果关联,可以再现攻击场景,增强对报警信息的理解。 (3)研究并提出了采用有限状态自动机表示程序系统调用行为的方法。通过对程序分析,发现采用有限状态自动机可以有效表示程序行为,并给出学习程序行为的基本学习算法,同时根据通用程序设计启发性知识,将启发性知识应用于基本学习算法,改善了入侵检测性能,最后对算法学习和检测性能进行了分析,给出了自动机学习算法完整性的证明。 (4)研究和实现了聚类技术应用于报警信息根源分析的方法,给出了报警信息因果关联的实现方法。采用修改后的经典属性泛化聚类技术实现了报警信息根源分析,采用谓词表示报警类型实现了报警信息的因果关联。实验结果表明,综合运用这两种技术,能有效地降低报警信息处理负担,增强对报警信息的理解能力。 总之,本文的研究工作对入侵的检测技术进行了有益的探索,主要是数据挖掘技术在入侵检测中的应用,为进一步构建高性能的入侵检测系统提供了理论基础和指导依据。

论文目录:

基金资助

摘要

ABSTRACT

目录

1 绪论

1.1 引言

1.1.1 安全现状

1.1.2 信息安全的发展和信息保障模型(WPDRR)

1.2 入侵检测研究概况

1.3 有限状态自动机与聚类简介

1.3.1 有限状态自动机

1.3.2 聚类

1.4 数据挖掘技术在入侵检测中的应用研究现状

1.4.1 数据挖掘

1.4.2 数据挖掘技术在入侵检测报警信息处理中的应用

1.4.3 数据挖掘技术在构建入侵检测系统中的应用

1.4.4 其他

1.5 论文研究工作概述

1.6 论文组织结构

2 入侵的检测框架研究

2.1 入侵的检测难度

2.2 入侵的检测框架的提出

2.3 入侵的检测框架

2.4 基于主机数据源的检测

2.5 基于网络数据源的检测

2.6 基于报警信息源的检测

2.6.1 报警信息分析

2.6.2 报警信息根源理论挖掘分析

2.6.2.1 报警信息中存在大量误报警的原因

2.6.2.2 报警根源起因分析

2.6.2.3 报警根源分析技术的可行性分析

2.6.2.4 报警根源暴露于大报警组且大报警组可被模型化的理论证明

2.6.3 报警信息因果关联理论挖掘分析

2.6.3.1 入侵过程分析

2.6.3.2 入侵行为之间关系分析

2.7 本章小结

3 基于系统调用的主机入侵检测研究

3.1 问题的提出

3.2 相关研究工作

3.3 程序系统调用行为分析和行为表示方式选择

3.4 程序系统调用行为的有限状态自动机模型

3.4.1 程序系统调用行为学习算法及其实例

3.4.2 通用程序设计的启发性知识

3.4.3 算法参数对算法性能的影响分析

3.5 算法分析

3.5.1 学习算法分析

3.5.2 检测性能分析

3.6 本章小结

4 基于IDS报警信息的入侵检测研究

4.1 相关研究工作

4.1.1 Tivoli的聚合和关联组件TACC

4.1.2 报警信息概率关联

4.1.3 报警信息流聚合系统

4.1.4 相关方法的分析和新方法的提出

4.2 基于IDS报警信息的入侵检测研究框架

4.3 IDS报警信息根源分析的聚类算法

4.3.1 报警信息聚类思想

4.3.2 报警信息聚类算法

4.4 IDS报警信息因果关联分析

4.5 实验结果

4.5.1 报警信息根源分析实验结果

4.5.1.1 例证性例子

4.5.1.2 报警信息聚类实验

4.5.2 报警信息因果关联分析实验结果

4.6 本章小结

5 结束语

致谢

参考文献

附录

发布时间: 2006-12-06

标签:;  ;  ;  ;  ;  ;  ;  

数据挖掘技术在入侵检测中的应用研究
下载Doc文档

猜你喜欢

© 2024 毕速过 版权所有 鄂ICP备12018319号-5