数据挖掘算法在入侵检测中的应用研究的论文.docVIP

　　数据挖掘算法在入侵检测中的应用研究的论文 摘要 该文对入侵检测的现状进行了分析， 在此基础上重点研究了数据挖掘算法在异常检测和误用检测中的具体应用。对于异常检测，主要研究了分类算法；对于误用检测，主要研究了模式比较和聚类算法，在模式比较中又以关联规则和序列规则为重点研究对象。最后对目前数据挖掘算法在入侵检测中应用所面临的难点进行了分析，并指明了今后的研究方向。 关键字 入侵检测；数据挖掘；异常检测；误用检测；分类算法；关联规则；序列规则；聚类算法 0 引言 随着网络技术的发展，现在越来越多的人通过丰富的网络资源学会各种攻击的手法，通过简单的操作就可以实施极具破坏力的攻击行为，如何有效的检测并阻止这些攻击行为的发生成了目前计算机行业普遍关注的一个问题。 用于加强网络安全的手段目前有很多，如加密，vpn ，防火墙等，但这些技术都是静态的，不能够很好的实施有效的防护。而入侵检测（intrusion detection）技术是一种动态的防护策略，它能够对网络安全实施监控、攻击与反攻击等动态保护，在一定程度上弥补了传统静态策略的不足。 1 入侵检测中数据挖掘技术的引入 1．1 入侵检测技术介绍 入侵检测技术是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。. 从检测数据目标的角度，我们可以把入侵检测系统分为基于主机、基于网络、基于内核和基于应用等多种类型。本文主要分析基于网络的入侵检测系统的构造。 根据数据分析方法（也就是检测方法）的不同，我们可以将入侵检测系统分为两类： （1） 误用检测（misuse detection）。又称为基于特征的检测，它是根据已知的攻击行为建立一个特征库,然后去匹配已发生的动作，如果一致则表明它是一个入侵行为。它的优点是误报率低,但是由于攻击行为繁多，这个特征库会变得越来越大，并且它只能检测到已知的攻击行为。 （2） 异常检测（anomaly detection）。又称为基于行为的检测，它是建立一个正常的特征库，根据使用者的行为或资源使用状况来判断是否入侵。它的优点在于与系统相对无关,通用性较强，可能检测出以前从未出现过的攻击方法。但由于产生的正常轮廓不可能对整个系统的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高。 将这两种分析方法结合起来，可以获得更好的性能。异常检测可以使系统检测新的、未知的攻击或其他情况；误用检测通过防止耐心的攻击者逐步改变行为模式使得异常检测器将攻击行为认为是合法的，从而保护异常检测的完整性。 入侵检测的数据源可以通过一些专用的抓包工具来获取，在p和arpining）技术是一个从大量的数据中提取人们感兴趣的模式的过程。挖掘的对象不仅是数据源、文件系统，也包括诸如eans、模糊聚类、遗传聚类等。基于聚类的入侵检测是一种无监督的异常检测算法，通过对未标识数据进行训练来检测入侵。该方法不需要手工或其他的分类，也不需要进行训练。因此呢功能发现新型的和未知的入侵类型。 3.结论 入侵检测中数据挖掘技术方面的研究已经有很多，发表的论文也已经有好多，但是应用难点在于如何根据具体应用的要求，从用于安全的先验知识出发，提取出可以有效反映系统特性的属性，并应用合适的算法进行数据挖掘。???一技术难点在于如何将数据挖掘结果自动应用到实际ids中。 入侵检测采用的技术有多种类型，其中基于数据挖掘技术的入侵检测技术成为当前入侵检测技术发展的一个热点，但数据挖掘还处于发展时期，因此有必要对它进行更深入的研究。