第28卷第8期.pdf

2005年8月 重庆大学学报(自然科学版) Aug．2005 al Scienc Vo1．28 No．8 ity(Natur e Edition) 第28卷第8期 Journal of Chongqing Univers — — — 文章编号：1000—582X(2005)O8—0060—04 基于Agent和数据挖掘的自适应入侵检测系统’ 杨 武 ，何 波 ，程 勇军 ，李 波 (1．重庆工学院计算机系，重庆 400050；2．重庆大学计算机学院，重庆 400050) 摘 要：入侵检测系统是网络安全保护体系中的一个重要组成部分，目前大多数入侵检测系统不能 适应网络环境的变化，即不具备自适应性．针对这种情况，提出了一种入侵检测系统的自适应策略，该自 适应策略由条件空间和策略空间构成，条件空间用来描述网络环境，策略空间用来描述采用的策略．对 于条件空间中的某一具体的环境状态，在策略空间存在唯一的策略与之对应．在构建自适应策略的基础 上，利用Agent和数据挖掘技术。设计了一个自适应入侵检测系统．模拟实验表明了该自适应策略的有 效性． 关键词：入侵检测系统；数据挖掘；智能体 中图分类号：TP393 文献标识码：A 随着因特网的迅速发展，信息保密性和网络安全 何环境都用这个策略来检测，在检测强度与范围上没 性变得越来越重要．人侵检测系统 (Intrusion Detection 有什么变化。这使得人侵检测系统的误报与漏报比较 System，IDS)…作为防火墙之后的第二道安全闸门， 严重，使得系统的可信度降低，也降低了用户对人侵检 能够检测出多种形式的人侵行为，是安全防御体系的 测系统的信心． 一 个重要组成部分．目前已存在很多人侵检测系统，但 解决的主要方法是构建自适应策略，让检测策略 这些系统基本不具备自适应性，当网络环境发生改变 随着网络环境的改变而调整，通过不同的策略来应对 时，系统难以适应环境的变化，导致对人侵行为的大量 不同的环境． 漏报和误报． 1．2 自适应策略的描述 Agent是可计算实体或程序，它可以感知外界环 自适应策略解决的问题是如何表述人侵检测系统 境并自治运行，实现其设计者和使用者的一系列目标． 的网络环境变换，以及在某种环境下采取什么样的策 Agent具有自治性、反应性和自适应性等特点．数据挖 略．论文引人条件空间和策略空间来描述自适应策略． 掘 技术是一种知识发现技术，其目的是从海量数据 条件空间用来描述网络环境，策略空间用来描述可能 中抽取潜在的、有价值的知识 采用的策略．对于条件空间中的某一具体的环境状态， 论文提出了自适应策略，在此基础上，设计了一个 在策略空间存在唯一的策略与之对应． 基于Agent和数据挖掘的自适应人侵检测系统(简称 网络环境状态C可表示为公式(1)． 为AAIDS)．该系统能自动适应复杂多变的网络环境， C=f(e。，e：，…，e )， (1) 能通过自我学习提高人侵检测能力．模拟实验结果表 其中ei(1≤ ≤ )表示某个环境变量，网络环境状 明，该自适应策略是