论文摘要
随着网络应用范围的不断扩大,网络信息安全正日益得到人们的关注,入侵检测技术研究则成为IT业界的热门研究方向之一。面对网络环境中各类攻击与破坏的与日俱增,我们急需一个良好的检测方法,使其对各种网络攻击行为都有较高的检测率和较低的误检率,并且具备自动识别新的异常行为的能力。本论文从分析当前入侵检测技术及其发展趋势出发,对基于数据挖掘的入侵检测技术进行研究,结合网络数据源的特征,提出了一种面向混合类型数据的增量式快速启发式聚类算法(增量式FHCAM)的入侵检测方法。它是一种基于无指导学习的、能快速识别网络中的正常行为和异常行为的检测方法,具备自动识别新的异常行为的能力。文章首先介绍了入侵检测的相关理论,并对入侵检测技术的现状作了较深入的分析。另外还讨论了评测一个入侵检测技术性能的一些测度。其次,介绍了数据挖掘的基本概念和几种常见的挖掘方法。其中着重对聚类分析算法和FHCAM算法进行了分析,指出了FHCAM算法的不足及降低其时间复杂度的改进思路。最后,提出和实现了一种基于增量式FHCAM的入侵检测方法,使其在提高识别入侵行为的速度的同时保证了入侵检测的精确性和对未知入侵行为的自适应性,在实验环境中进行了测试验证并取得了较好的效果。本课题的主要特色和创新之处在于:(1)根据网络数据集的异构特性,对数值型属性和字符型属性分别采用几何距离和相异度的度量方法,使得聚类算法能够处理异构数据。(2)对FHCAM算法进行了改进,降低其时间复杂度,明显提高了聚类速度。(3)提出和实现了一种基于无指导学习的增量式FHCAM的入侵检测方法,能快速识别网络中的正常行为和异常行为,并且具备自动识别新的异常行为的能力。