基于RoughSet的数据挖掘技术在网络安全中的应用研究-计算机学院.PPTVIP

2004-5-22 基于Rough Set的数据挖掘技术在网络安全中的应用研究——邮件分类和入侵检测 答辩人：李志君 导 师：吴渝教授 主要内容 研究背景以及理论基础 基于Rough Set的邮件分类系统的研究 基于Rough Set的网络入侵检测系统的研究 总结与未来工作 致谢 研究背景 网络安全 数据挖掘 Rough Set理论 主要研究工作 基于Rough Set的电子邮件分类模型 基于Rough Set的网络入侵检测系统的规则获取模型 论文得到了教育部科学技术研究重点项目、重庆市教委基金项目、重庆市科委应用基础研究项目的资助。 利用Rough Set解决问题的步骤 理解相关的先验知识，建立系统模型 收集大量样本填充决策表 规则挖掘过程 数据预处理 删除多余属性，求出属性约简； 删除多余的属性值，得到值约简； 根据值约简求出逻辑规则 测试以及使用规则解决问题 基于Rough Set的邮件分类系统的应用研究 研究思路 目前的解决方案：Bayesian、Na?ve Bayesian，Broosting tree, Co-training 存在的问题 我着重考虑分析邮件头中蕴含的有用信息，利用基于Rough Set的数据挖掘方法将这些有用信息提取出来 邮件头示例 Email Route 1 H (, 8) Xi’an, China 建立分类模型 一个电子邮件分类系统是一个四元组S=U, R=C?D, V, f U是邮件的集合；R为属性的集合，其中C为邮件特征的集合，D表示决策属性，即邮件的分类，V是属性值的集合，f是信息函数，表示U上每个对象x的属性值。 决策表 属性的定义 A0：邮件中继次数，即邮件头中“Received”标签的个数； A1：收件人个数； A2：邮件路由信息中的中断次数，邮件路由信息中断定义为：若前一条“Received”标签中接收站点的域名和IP与后一条“Received”标签中发送站点的域名和IP均不相同，则被视为路由信息中断； A3：“Received”项中的各个域名与其IP不匹配的次数； A4：“Received”中发送站点项缺少域名的次数； A5：“Received”中的by项缺少域名的次数； A6：“Received”中的from项缺少IP的次数； A7：“From”中的原始发送地址与“Received”中的原始发送地址是否一致；一致则取值为1，否则取值为0； A8：“To”中的目的地址与“Received”中的实际收信人的地址是否一致；一致则取值为1，否则取值为0； A9：“Delivered-To”项和“To”项是否一致，若一致则取值为1，否则取值为0，若不存在“Delivered-To”项，则这一属性值的缺省值为1； A10：“Return_Path”项和“From”项是否一致，若一致则取值为1，否则取值为0，若不存在“Return_Path”项，则这一属性值的缺省值为1； 邮件分类决策表示例 规则挖掘过程 测试 在小数据量的情况下 数据量逐渐增多的情况下 大数据量的情况下 在邮件过滤中邮件分类模型的效果 算法正确性测试 算法稳定性测试 处理大数据量的算法测试 垃圾邮件判定测试 基于Rough Set的邮件分类系统 邮件接收模块 利用POP3协议，构造POP3类 邮件路由分析模块 利用邮件头中的Received标签对邮件的传送路由进行分析记录 邮件分类模块 系统界面 小结 从另外的角度出发，着重分析邮件头中蕴含的安全信息 国内国际首次将Rough Set理论应用在邮件分类领域 给邮件分类问题的解决提供了一个新的途径 基于Rough Set理论的 网络入侵检测的研究 Rough Set 在入侵检测中的研究 入侵检测的必要性 传统技术存在的局限 基于数据挖掘的入侵检测系统的现状及存在问题 采用Rough Set技术的可行性 建立分类模型 收集样本填充 为了方便数据挖掘过程的处理，进行简单编码 规则挖掘过程 增量式学习算法 部分规则示例 算法正确性测试 传统算法和增量式算法比较测试 基于Rough Set的入侵检测系统 系统界面 系统功能测试 小结 国内国际首次将Rough Set应用于入侵检测中 试验证明基于Rough Set的规则获取模型和算法是切实有效的 是Rough Set理论在网络安全中的又一成功应用 结论 Rough Set理论在邮件分类和入侵检测中得到了很好的应用 多个仿真试验表明Rough Set的方法能很好的解决邮件分类问题和入侵检测的问题， 既是Rough Set理论在网络安全领域的一次新的尝试，也给网络安全技术的研究提供了一