毕业设计（论文）-基于数据挖掘的入侵检测系统.doc

生产实习设计（ 论文 ） 基于数据挖掘的入侵检测系统 院 系： 计算机科学系 专 业：计算机科学与技术 学 号： 2007210487 姓 名： 刘 兵 指导老师： 李 源 (1):目 录摘 要前 言1. 选题背景及研究现状2. 本文研究内容3. 全文组织结构第一章 入侵检测系统概述1.1 入侵检测的概念1.2 入侵检测的模型建立方法1.3 入侵检测的技术分类1.3.1 基于统计方法的入侵检测技术1.3.2 基于神经网络的入侵检测技术1.3.3 基于专家系统的入侵检测技术1.3.4 基于模型推理的入侵检测技术1.4 入侵检测系统分类1.4.1 基于主机的入侵检测系统1.4.2 基于网络的入侵检测系统第二章 Win32 API编程技术2.1 Win32 API概论2.2 跨进程API Hook2.2.1 API Hook理论2.2.2 API Hook的实现2.2.3 跨进程理论2.2.4 跨进程的实现和几点注意2.2.5 在跨进程API Hook时可能用到的其他技术第三章 利用数据挖掘技术的入侵检测系统模型3.1 传感器3.2 通信器3.3 检测器3.4 数据仓库3.5 报警器第四章 系统主要模块研究4.1 传感器部分4.2 基于数据挖掘的模型生成器部分算法研究4.2.1 问题描述4.2.2 归一化处理4.2.3 聚类算法4.2.4 实时检测入侵第五章 系统性能分析第六章 全文总结 及 展望 致 谢参考文献(2):摘 要在允许各种网络资源以开放方式运作的前提下，入侵检测系统成了确保网络安全的一种必要手段。入侵检测就是发现或确定入侵行为存在或出现的动作，它实际上是一种信息识别与检测技术，而从以数据为中心的观点看，入侵检测本身就是一个数据分析过程。在许多相关的领域，如欺诈检测和故障管理中，数据挖掘已经取得了成功的应用。于是，研究数据挖掘方法在入侵检测领域中的应用，自然就成为一个热门话题。本文研究和设计了一种基于数据挖掘的主机入侵检测系统，介绍了它的体系结构，并说明了其传感器、通信器、检测器和数据仓库等基本组件的构成。另外介绍了Windows下部分传感器实例以及监测器中模型生成器使用的数据挖掘的聚类算法。最后讨论了当前存在的几个问题和今后的研究方向。关键词 入侵检测 数据挖掘 基于主机 异常检测 体系结构(3):前 言1. 选题背景及研究现状随着网络技术和网络规模的不断发展,网络入侵的风险性和机会也越来越多，这些入侵有的是针对计算机系统和软件的漏洞，有的是针对网络系统本身的安全缺陷，但是它们都对主机和网络造成了破坏，网络安全已经成为人们无法回避的问题，因此为了保护现在越来越多的敏感信息，入侵检测技术得到了越来越多的重视。入侵检测按照监测对象的不同一般可分为两类：基于主机的和基于网络的。但是当将基于网络的入侵检测系统整合到一个保护系统中时，一般都需要使用基于主机的入侵检测系统。尽管目前大部分的攻击都是通过网络来实现的，但是所有这些攻击都来自于主机(攻击者自己的或者是被其破坏控制的主机)，而且有些攻击是产生并保持在主机系统中的。基于网络的入侵检测有以下几点缺陷：第一，因为它是监测网络数据的，而网络数据可以看成是代表用户行为的，但是不一定能代表用户行为所造成的后果；第二，几乎不可能将所有的网络数据全部接收到；第三，即使将所有的网络数据全部接收到也不能检测到所有的入侵；第四，数据加密会使网络入侵检测失效；另外基于网络的入侵检测可能会遗漏一些系统级的攻击。而基于主机的入侵检测可以很方便地收集在该主机上所有用户的行为及这些行为造成的后果，并且在做基于主机的数据收集和分析时可以不用担心网络上的海量数据，因此研究基于主机的入侵检测系统仍然是非常必要的。基于主机的入侵检测系统，不管是对于单用户或多用户的操作系统来说，要想找到一个满足所有要求的解决方案是不可能的。因此在这里研究一种基于数据挖掘的主机入侵检测系统，这种技术利用了现有的比较成熟的数据挖掘技术和一种比较健壮以及轻量的数据收集系统来构造一个强有力的基于主机的入侵检测系统。当今数据库的容量已经达到上万亿的水平(T) 1,000,000,000,000 个字节。从而形成一个新的挑战：在这被称之为信息爆炸的时代，信息过量几乎成为人人需要面对的问题。随着数据的急剧膨胀，数据的时效性和复杂性远远超