关于粒子群和模糊聚类算法的入侵检测方法分析.pdf

广。冒大掌工为H夏士掌位论文 墓于割E产群和模糊聚类算法的入侵检测方法研究 第一章绪论 1．1研究背景及意义 随着信息技术的快速发展和互联网应用的深入推广，信息数据量和网络行为增长的 速度也前所未有，互联网对人们的学习、工作和生活越来越深入的影响，其应用领域也 从传统的业务向大型的、关键业务系统扩展，人类社会活动对计算机网络的依赖程度到 了空前的高度。据统计【l】，截至2014年底，我国网站规模总量已达到364．7万个，网站 使用的独立域名为481．2万余个，互联网接入服务商达1068家，网民规模达6．49亿， 互联网普及率达到47．9％。 伴随着互联网应用的全面扩展，计算机网络的安全问题也越来越突出，已经严重威 胁到了国家的政治、经济、国防、科研和教育等领域。报告显示，仅2014年，我国境 内感染木马僵尸网络的主机为1108．8万余台，仿冒我国境内网站的钓鱼页面99409个， 国网络安全面临的形式和威胁不容忽视。 网络安全作为国家政治、经济与国防安全的一个重要组成部分，得到党和国家空前 的重视。2014年，中央关于网络安全的最高领导机构——网络安全和信息化领导小组成 立了，表明了在新时期国家最高层全面深化改革的进程中对保障网络安全的重视。网络 安全己成为关系到信息技术健康发展乃至国家安全的关键课题。 在信息安全技术领域，无论是研究结构还是高技术IT企业都进行了大量应用研究， 开发了如防火墙、访问控制列表、数字认证系统、扫描器、病毒检测、安全审计系统等 一系列安全的软硬件产品，但都存在一定的不足之处【3】。复杂的网络环境总是瞬息万变 的，即使依靠上述各种产品，网络安全管理员也很难从中发现入侵者的攻击迹象。 以防火墙为例，作为保护园区网络最重要的设备，它并不能抵御来自内部的攻击， 而且容易招致来及黑客针对防火墙本身的攻击，因此防火墙并不能很好的保护网络的安 全。在黑客技术逐渐扩散的今天，企业网络面临的大部分攻击都将来自于内部，防火墙 由于部署在网络边界位置，对于内部攻击鞭长莫及。为了进一步地增强网络的安全性， 确保对网络的全方位安全监控，入侵检测(IntrusionDetection)技术被广泛的应用于目 前的网络基础设施中。 入侵检测通过对采集到的数据进行分析进而判断是否有入侵，按照检测方法可分为 误用检测和异常检测。由于当前网络中的信息量爆炸式增长，入侵检测的检测率低、误 报率高，并且缺乏系统的有效性、适用性等成为遏制入侵检测发展的重要问题，人们也 越来越多在从数据挖掘和智能计算领域开始对入侵检测方法作进一步的研究。 作为数据挖掘的重要手段之一，聚类(Clustering)分析扮演了身份重要的角色。聚 l 万方数据 广西大掌工糟H蕊士掌位论文 基于粒子群和模糊聚类算法的入侵检镧g方法研究 类可作为是一种无监督的异常检测嗍方法，在入侵检测中已经得到越来越多的重视，是 数据挖掘和信息安全技术方面的研究重点方向。用聚类方法进行入侵检测，可免去对数 据的先验标识以及人工指导，使入侵检测系统具有更多的可适应性。模糊聚类分析对聚 类分析方法的进一步优化，而且适合解决网络中的入侵检测问题，有必要在这一领域进 行深入研究，以开发出实用的检测方法。 1．2国内外研究现状 侵行为的明确界定。后来不久，在1987年，研究人员设计了一个入侵检测模型，对用 户行为审计记录、检测匹配模式以及异常行为之间的关系做了详细论述，为在此以后的 入侵检测进一步研究奠定了框架基础[61。美国加州大学戴维斯分校(ucDavis)的研究 人员提出了一个通用的入侵检测模型CIDF【7】，根据CIDF的描述，入侵检测系统是由四 响应单元(Response)和数据库(Database)。 1990年以后，互联网技术和应用在全世界范围内得到了迅速的发展和普及，与其相 关的网络安全技术也迈入了快速发展的时期，在入侵检测技术方面，智能化方法的研究 和分布式的研究成为主要的趋势。后来，WereLee开始研究在DS技术中使用智能计 算方法，数据挖掘技术便是其研究的主要算法瞄J，是典型的智能算法在入侵检测领域的 应用。 作为数据挖掘的一种重要方法