網站入侵檢測研究.pdf

1、隨著信息技術的發(fā)展,網絡入侵行為的模式、載體、類型都在不斷發(fā)生新的變化,因此主動發(fā)掘并分析異常數據并維護網絡平臺安全有著重要意義。入侵檢測是當今網絡平臺安全不可或缺的組成部分,對維護網絡安全穩(wěn)定有著重要的意義。當前主流的商業(yè)入侵檢測系統(tǒng)基本遵循兩種模式:濫用檢測和異常的檢測。兩者都依賴于攻擊特征知識庫的建立,而網絡環(huán)境的瞬息萬變,新的網絡攻擊不斷產生,依賴攻擊特征知識庫的檢測模式開始展現其弱勢,即知識庫的更新速度落后與新網絡攻擊的產生速

2、度。另一方面,由于對網站的攻擊有可能來自于網站內部,因此為了實現網絡平臺的安全,通過數據庫的訪問審計日志進行入侵行為檢測已經成為當前的入侵檢測領域的一個熱點。本文研究的重點分兩部分:無監(jiān)督入侵檢測算法的改進和增量序列模式挖掘的數據庫入侵檢測算法的設計。
　　本文首先介紹了課題的背景和研究現狀,其次介紹了入侵檢測系統(tǒng)的總體概要、基本原理和當前的各種分類,著重研究了基于數據挖掘技術的入侵檢測成果,并介紹了相應解決方案的基本原理。

3、>　　針對傳統(tǒng)檢測模式依賴知識庫從而導致更新速度落后的特點,本文提出了基于FCM-Vote(FCM-Vote based algorithm)的無監(jiān)督網絡入侵檢測方法。它通過捕捉主干網絡上的異常時間片,并對時間片內的數據流特征進行聚類分析。根據聚類分析的結果,系統(tǒng)將對數據流進行甄別并過濾可能隱藏網絡攻擊的數據流。本文建立了基于FCM-Vote的無監(jiān)督網絡入侵檢測系統(tǒng)模型,并付諸于具體實驗。實驗證明,基于FCM-Vote的網絡入侵檢測方法

4、在檢測數據量不斷增加的情況始終保持了95％以上的入侵行為檢出率,同時相比依賴知識庫的傳統(tǒng)異常檢測方法可以在海量數據的檢測中保持不高于3％的誤報率。
　　針對數據庫惡意行為檢測過程中誤報率高和規(guī)則集構建算法效率低下的問題,本文提出的基于增量序列模式挖掘的數據庫入侵檢測,利用數據庫的歷史正常審計數據構造規(guī)則集,實現了數據庫入侵檢測。實驗證明,在對不同的SQL操作語句進行異常檢測實驗時能將誤報率限制在2.31％-4.58％之間,相比對參

5、數敏感的傳統(tǒng)方法具有更好的自適應性。同時,本文進行了算法執(zhí)行效率的比較,結果表明基于增量序列模式相比其他算法在數據庫入侵檢測中有著更出色的適應性。實驗結果顯示,在設定最小支持度為7％且單線程的情況下,在序列集增長到3000條以上后傳統(tǒng)方法需要10s左右時間開銷而本文方法則將因此引起的時間開銷控制在了1s以內。
　　本文的研究依托浙江省重大項目“基于云計算感知的Web漏洞防護系統(tǒng)”課題,研究成果可為網絡平臺安全體系的構建提供技術支撐