论文摘要
随着Internet的迅猛发展,网络正在影响社会的政治、经济、文化、军事和生活。由于人们对网络的依赖程度不断提高,安全问题变得越来越严峻。入侵检测作为一种积极主动的信息安全技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵行为。近年来人们在入侵检测技术上取得了一些成果,提出了很多适合安全领域的异常检测技术,比如基于统计的异常检测技术、基于机器学习的异常检测技术、基于数据挖掘的异常检测技术,但是仍然有需要改进的地方。本文以降低误报率和提高检测范围为目的,提出了一种基于聚类的无监督异常检测技术。从提高实时性、改善自适应性、提高检测粒度的角度出发,提出了一种改进的混合IDS系统框架,期望为推动本领域的发展作一点贡献。论文的内容主要包括如下几个方面:1.从整体上介绍入侵检测的相关概念,包括体系结构、误用检测和异常检测,然后分析目前国内外的研究现状。2.介绍了异常检测技术的思想,对其进行了归类。详细分析了每类异常检测技术的思想、优缺点,在此基础上总结了现有异常检测技术的不足。3.提出了一种基于聚类的无监督异常检测技术,该模型从多个聚类器中选取DB指数最小的分簇结果,并利用最小簇内距离、最大簇内距离对每个簇进行分类,从而识别出攻击。实验表明该模型明显提高了检测率、降低了误报率。4.提出了一种改进的混合IDS框架,详细分析了其关键技术,包括网络数据包的捕获技术、协议分析技术、异常检测技术、规则格式及生成机制,为设计混合IDS提供了思路。
论文目录
摘要ABSTRACT第一章 绪论1.1 传统网络安全技术的缺陷1.2 入侵检测1.2.1 入侵检测系统体系结构1.2.2 误用检测1.2.3 异常检测1.3 国内外研究现状1.4 本文研究目的及主要工作1.5 论文的组织结构第二章 异常检测技术2.1 异常检测的主要思想2.2 基于统计的异常检测技术分析2.3 基于机器学习的异常检测技术分析2.3.1 系统调用序列2.3.2 贝叶斯网络2.3.3 马尔可夫模型2.4 基于数据挖掘的异常检测技术分析2.4.1 关联分析2.4.2 分类分析2.4.3 聚类分析2.5 异常检测技术的不足2.6 本章小结第三章 基于聚类的无监督异常检测模型3.1 检测模型3.1.1 目的3.1.2 模型建立的前提条件3.1.3 模型的系统结构3.2 关键技术3.2.1 数据预处理3.2.2 常用聚类算法分析及选择3.2.3 评估指数3.2.4 评判准则3.3 实验仿真3.3.1 数据源3.3.2 ROC曲线3.3.3 实验结果及分析3.4 本章小结第四章 混合误用检测和异常检测IDS的关键技术研究4.1 混合IDS系统结构4.2 网络数据包捕获机制4.2.1 原始套接字4.2.2 内核驱动程序4.2.3 libpcap4.3 网络数据包检测技术4.3.1 协议分析模块4.3.2 异常检测模块4.4 规则格式及生成机制4.4.1 已知攻击规则格式及生成机制4.4.2 未知攻击规则格式及生成机制4.5 本章小结第五章 总结与展望5.1 论文总结5.2 未来工作展望参考文献致谢攻读硕士学位期间的主要研究成果
相关论文文献
标签:异常检测技术论文; 聚类论文; 指数论文; 混合框架论文;
