毕业大论文--基于数据挖掘技术的NIDS警报异常检测系统（钱焜）.docVIP

前 言 1 第一章 绪论 2 1.1 网络安全概述 2 1.1.1 不容忽视的网络安全现状 2 1.1.2 网络安全一般特征 3 1.2 常见的网络攻击方法 4 1.3 网络安全技术 5 1.4 本文的内容结构 10 第二章 入侵检测 11 2.1 入侵检测研究的必要性 11 2.2 入侵检测系统的发展 12 2.3 入侵检测技术原理 13 2.3.1 基于误用的入侵检测检测 14 2.3.2 基于异常的入侵检测 16 2.3.3 两种技术的比较 18 2.4 入侵检测发展面临的主要问题及发展趋势 19 2.4.1 入侵检测面临的主要问题 19 2.4.2 入侵检测的发展趋势 20 2.5 本章小节 20 第三章 数据挖掘技术在入侵警报挖掘中的应用 21 3.1 数据挖掘技术 21 3.1.1 数据挖掘的概念 21 3.1.2 数据挖掘的特点 22 3.1.3 数据挖掘的系统结构及其一般过程 22 3.1.4 常见的数据挖掘分析方法 24 关联分析 24 序列分析 25 分类分析 26 聚类分析 27 3.2 数据挖掘技术在入侵警报分析中的应用 28 3.2.1 网络入侵检测与入侵警报 28 3.2.2 重复警报、误警产生的主要原因 28 3.2.3 利用数据挖掘技术分析警报日志 30 3.2.4 现有的相关研究 31 3.3 本章小节 31 第四章 基于数据挖掘技术的NIDS警报异常检测系统的设计与分析 33 4.1 系统模型框架 33 4.2 数据挖掘模块的设计与分析 36 4.2.1 预处理子模块 36 4.2.2 数据挖掘子模块 36 4.2.3 表达和评价、训练子模块 39 表达子模块 39 评价和训练子模块 39 4.3 警报流分析子模块的设计与分析 40 4.3.1 模式库接口子模块 40 4.3.2 I/O 缓冲区 41 4.3.3 分析子模块 41 4.3.4 警报流采集子模块 43 4.3.4 报警子模块 43 4.4 本章小节 43 第五章 使用Snort工具的系统模拟实验 44 5.1 Snort和Snort警报 44 5.2 模拟实验 45 5.2.1 模拟实验平台 45 实验数据源 45 实验设备 46 5.2.2 模拟实验方案 47 实验目的 47 实验流程 47 实验过程 48 实验结果分析 51 5.3 本章小节 53 第六章 总结与展望 54 6.1 本文的主要贡献 54 6.2 进一步工作展望 55 参考文献 56 基于数据挖掘技术的NIDS异常检测系统模型的设计与实现 摘 要 随着计算机互联网技术的快速发展，网络安全的重要性也日趋突出。入侵检测系统（IDS）作为保障网络安全的重要组成部分，也显的越来越重要。但是在IDS的发展中也面临着新的问题，其中最主要的问题之一就是入侵警报数量的不断增长，误警率居高不下。 数据挖掘作为近年来出现的一种新型人工智能方法，是从数据集中识别出可理解模式的高级处理过程，可对数据进行高层次的分析、研究和日常决策。它可以对海量的审计数据进行智能化处理，并从大量数据中提取感兴趣的数据信息。 本文研究了如何利用数据挖掘技术对入侵检测警报进行分析，以期减少入侵警报量、降低误警率。本文的主要成果及创新之处如下： (1) 研究了大量重复警报和误警对入侵检测系统发展带来的不利影响以及它们产生的主要原因。 (2) 研究了数据挖掘技术的相关知识，针对其从海量数据中挖掘有用知识上的优势，分析了如何将数据挖掘技术应用于入侵警报的分析精简中。 (3) 设计并实现了一种基于数据挖掘技术的NIDS异常检测系统模型，并使用Snort产生的报警数据作为数据源对该模型进行了模拟实验，实验结果证明：系统能够有效地减少入侵警报量、降低误警率。 关键词：IDS 入侵警报 误警率 数据挖掘 正常警报模式 异常检测 第一章 绪论 当今社会已经迈入网络时代，计算机互联网的快速发展给人类社会带来了巨大的变化。但由于网络的开放性、复杂性、信息共享、以及网络协议设计中存在的安全缺陷等原因，计算机网络的发展面临着严峻的安全威胁。网络安全就是在这种背景下产生的，并迅速得到广泛的关注，成为当前计算机网络领域的研究热点。本章概述了网络安全的现状和一般特征，介绍了常见的网络攻击方法，重点阐述了当今常用的网络安全技术。此外还给出了本文的内容组织。 网络安全概述 1.1.1 不容忽视的网络安全现状 据中国国家计算机网络应急处理协调中心（CNCERT/CC）2004年网络安全工作报告[1]称：2004 年CNCERT/CC全年共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件64，686件