论文摘要
入侵检测系统是继“防火墙”、“数字签名”、“访问控制”等传统静态安全保护措施之后的又一道安全闸门。传统的入侵检测系统采用模式匹配的方法来实现检测,在自适应性方面表现得不够理想。将数据挖掘技术应用于网络入侵检测,可以充分发挥数据挖掘处理大数据量的优势,提高检测的效率和准确性,但是存在一定的误检率。本文首先设计了一个基于模式匹配和数据挖掘的入侵检测系统模型,具体分析了每个模块完成的功能并给出模块的具体实现方法,在基于模式匹配的检测设计部分提出了使用经典的AC_BM多模匹配算法进行检测的思想。论文详细地分析了引入数据挖掘的知识对网络数据包首部信息进行检测的模块,完成了对原始数据的预处理、高精度分类模型的构造和系统的功能实现。预处理的过程就是基本属性的提取过程,在构建分类模型时,特征属性的选择直接影响模型的精度,而特征属性来源于基本属性,因此本文设计了一个完整的预处理过程,实现了从原始数据集中对连接记录的基本属性的提取。论文通过分析影响分类模型精度的多种因素,在大量的实验基础上选择了合适的特征属性以构建分类模型。在分类算法中通过对ID3、C4.5以及一些扩展算法的分析,选择了规则易于理解、准确率较高并且也符合实时性要求的C4.5算法。在模型中实现连接记录的转化、属性的选择和规则的形成功能。实验表明本系统所提出使用的特征属性所构建的分类模型能够较好地区分“正常”数据和“异常”数据。
论文目录
摘要Abstract目录1 绪论1.1 课题研究的背景、目的及意义1.2 国内外发展状况1.2.1 国外研究现状1.2.2 国内研究现状1.3 本文的主要内容和结构2 入侵检测与数据挖掘技术2.1 入侵检测2.1.1 入侵检测的概念2.1.2 入侵检测的模型2.1.3 入侵检测的分类2.1.4 入侵检测的方法──模式串匹配2.1.4.1 单模匹配算法2.1.4.2 多模匹配算法2.2 数据挖掘2.2.1 数据挖掘的概念2.2.2 知识发现2.2.3 数据挖掘的模式和方法2.2.4 基于数据挖掘的入侵检测2.2.5 数据挖掘算法2.3 本章小结3 数据预处理3.1 协议分析3.2 WINDUMP 截获数据包的分析3.2.1 WINDUMP 原始数据集格式3.2.2 TCP 数据报文段的处理3.2.2.1 原始数据报文段的基本属性的提取3.2.2.2 形成一次连接的报文块3.2.2.3 形成一条连接记录3.3 本章小结4 基于多检测器混合的入侵检测系统的结构设计4.1 系统模型设计4.2 在线模块4.2.1 数据捕获模块4.2.2 模式匹配4.3 离线模块4.3.1 预处理模块4.3.1.1 数据集的选择4.3.1.2 数据集处理输出格式4.3.2 数据挖掘模块4.4 分类模型构建4.4.1 分类4.4.1.1 分类的评估4.4.1.2 分类器的构造方法4.4.2 基于决策树的分类4.4.2.1 典型决策树分类算法4.4.2.2 本文中的基于决策树的分类模型4.5 本章小结5 分类模型的构建及系统实现5.1 使用基本属性构建分类模型5.2 使用扩展属性构建分类模型5.3 系统实现5.4 本章小结6 结论及今后的工作6.1 本文的工作6.2 今后的工作致谢参考文献
相关论文文献
标签:入侵检测论文; 数据挖掘论文; 分类模型论文; 算法论文;
