一种数据挖掘方法在入侵检测实践中的应用.docVIP

一种数据挖掘方法在入侵检测实践中的应用 　　【摘 要】在深入分析现有入侵检测系统模型运行机制的基础上，针对已有检测机制存在的对于未知攻击行为无能为力、漏报率较高、检测效率低以及缺少规则库自动扩充机制等问题，结合数据挖掘技术的相关知识，对于提高入侵检测系统的准确性及完备性有很大的参考价值。 　　【关键词】入侵检测 数据挖掘 数据价值 　　一、数据入侵检测的分析方法及缺陷 　　数据入侵检测作为继“数据加密”、“防火墙”等传统安全防护措施之后的新一代安全保障技术，已有效地补充和完善了其他安全技术和手段的不足。然而，随着网络带宽的不断增加以及网络处理速度的不断加快，现有入侵检测系统会出现检测率低和漏报率高的问题。因此，研究现有入侵检测模型，改善现有入侵检测系统存在的问题，对于增强现代网络的网络安全具有重要的理论和现实意义。 　　入侵检测归根结底处理的是数据，因此，实际上入侵检测的过程完全可以看作是一个数据处理的过程[1]。入侵检测的分析方法主要有以下三种类型： 　　（一）基于主机的数据入侵检测分析方法 　　数据源一般都是使用操作系统的审计以及跟踪日志。基于主机的检查分析方法会主动与主机系统进行交互，从而获得不存在于系统日志中的信息来检测入侵。这种类型的数据检测系统对网络流量不敏感，不需要额外的硬件.效率高，并且能准确定位入侵，及时进行反应，但是其弊端是占用主机资源，依赖于主机