孤立点分析在防火墙入侵检测的研究.docVIP

　　孤立点分析在防火墙入侵检测的研究 --论文题目：孤立点分析在防火墙入侵检测的研究 论文语种：中文 您的研究方向：计算机、计算机网络及其安全相关 是否有数据处理要求：否 您的国家：中国 您的学校背景：一般重点 要求字数：3000字左右 论文用途：发表论文-省级 补充要求和说明： 孤立点分析在防火墙入侵检测的研究 关键词：孤立点分析；防火墙；入侵检测； 1. 引言 防火墙的入侵检测是检测和响应计算机误用的技术，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。但是，现在大多数入侵检测系统都存在一个共同的问题，即系统位于不同的主机上，各自有各自的训练集和数据库。它们只对经过本机的数据进行分析和检测，而对于整个网络来说，它们之间是孤立的。采用孤立点的方法比如基于密度的孤立点检测方法直接从异常本质出发来发现异常，给每个对象都赋予一个异常因子来表示其异常程度，然后把异常因子大的那些行为认为是入侵行为，相比聚类技术更适合网络入侵的异常检测。 2. 数据挖掘技术在防火墙中的应用 2.1 数据挖掘技术 数据挖掘是从大量数据中揭示有效的、新颖的、具有潜在效用以及最终可理解的知识和模式的非平凡过程。一般而言，数据挖掘的任务主要有分类分析、聚类分析、关联分析、异常检测以及预测分析等[1]。 数据挖掘是知识发现中的一个步骤，这个步骤会利用特定的算法和工具，在计算机和用户可接受的时间内，完成一个处理序列，并向用户返回某种结果的过程。 2.2数据挖掘在网络入侵检测中的应用 目前应用最广的入侵检测系统是基于特征签名的方法，这种方法只能检测到特征签名库中已知的攻击，因此特征签名库必须对新的入侵行为的特征进行手工更新。这些局限性使基于数据挖掘的入侵检测系统的研究越来越受到重视[2]。 基于数据挖掘的入侵检测模型的构建过程与知识发现过程相似，同样要经过数据准备、模型构建和解释评估三大阶段。网络入侵检测系统中常用的数据挖掘方法主要有关联分析、序列模式方法、分类分析、聚类分析、以及孤立点挖掘。 2.3 聚类分析 聚类分析是将物理或抽象的对象组成的集合分组成为由类似的对象组成的多个簇，使得处于相同簇中的对象具有最大的相似性，而处于不同簇中的对象具有最大的差异性的方法及过程。在许多应用中，可以将一个簇中的数据对象作为一个整体来对待，从而可以辅助人们从整体上对于有多个事物所构成的群体取得认识[3]。通过聚类，能够找出数据属性之间潜在的相互关系。聚类分析已经广泛应用在许多领域中，如模式识别，数据分析，图象处理，以及市场研究等。 作为数据挖掘的功能之一，可以将聚类分析作为一个独立的工具来获得数据分布的情况，观察每个簇的特点，从而集中对特定的某些簇做进一步的分析。在很多情况下，聚类分析也可以作为其它算法（如特征和分类等）的预处理步骤，这些算法在生成的簇上再进行处理。 3. 基于入侵检测的防火墙系统 3.1 防火墙中的孤立点算法 算法的开始先有一个聚类过程，经过这一步骤后，算法在处理不同密度的区域是表现很好。在聚类处理过程中，不同密度区域中的点落到各个聚类中，可以一簇一簇地而不是一个一个地发现潜在的孤立点[4]，这就使试验中的孤立点检测算法与当前的所有方法相比是高效的。 聚类过程是一个可适应性的过程，它能够根据不同的分布状况聚成不同的类，可适应性体现在聚类点间的方差作为停止聚类的一个量度。从数据集中的一个随机点开始聚类，离它最近的各点依次被加入到聚类中，每个点加入后，都要重新计算一下聚类的方差。当一个点加入后计算所得的方差增加得相当大时，该聚类就停止生长了，因为这意味着这个点不应该属于此聚类[5]。算法从这个点开始生成一个新的聚类。重复这个过程，直到数据集中的所有数据点都被处理过。 3.2算法流程 算法分为三个主要步骤。第一步，可适应性地将数据点聚成不同密度的聚类；第二步，选择包含很少点的簇（即小聚类）作为候选孤立点集。第三步，也就是孤立点检测步骤，计算候选孤立点集与非候选孤立点集之间的距离，如果候选集离所有的非候选集都很远的话，它们中的点被标定为孤立点[6]。 Step1:从数据集中的一个随机数据点开始，将它加入最近的聚类中，计算加入后的聚类的均值和方差，加入更多的点到此聚类中，直到加入点引起聚类方差增加巨大。此时停止当前聚类的生长，将刚加入的点从此聚类中移除。 Step2:从刚移除的点开始一个新的聚类，重复Step1 Step3:重复Step2直到数据集中所有点都被处理过 Step4:计算各聚类中点的个数。如果一个聚类中点的个数少于K个，选择它为候选孤立点集。 Step5:计算每个候选孤立点集与所有非候选孤立点集之间的距离，如果距离大于既定的阈值D，标定此候选集为孤立点集，否则标定它为非孤立点集。 Step6:重复Step5直到所有的候选孤立点集被处理过。 4