（计算机软件与理论专业论文）基于粗糙集理论的网络入侵检测方法.pdf

辨汪大学颂士学位论文 f8 7 7 7 0 l 基于粗糙集埋论的嘲络入侵捻测方法 摘要 在入侵检测磷究领域 数据挖掘方法正在被广泛地应用到异常检测和误用检 测研究中 基于数据挖掘的入侵检测包括两个关键的步骤 特 芷提取和检测模型 生成 在入侵检测的特征提取研究中 w e i l k e l e e 使用改进了的a p r i 耐算法来获 得基于网终连接的特征集 s 盘i v a sa n ds u n g 提出了基于支持向量虮 s v m 的方 法 按重要性给这些特征排序 但s v m 需要多次重复迭代计算 耗费大量的时 间 在入侵检测模型生成研究中 检测模型不仅应该具有高的检测率 而且也应 该是易于理解的 但是现存的很多方法很难阉时达到这两个目标 举例来说 神 经网络能够达到很高的检测率但是检测规则不容易被入理解 决策树能够产生容 易理解的搜则 但是检测率却不高 本文中 我们提出使用粗糙集分类算法进行网络入侵检测 先对属性集进行 约简 然后以属性的约简为模板生成检测规则 粗糙集分类算法生成的检测规则 具蠢 b 删 的格式 易于理解 在粗糙集的实际应用中 我们碰到的一个 主要问题就是生成属性集的最小约简 属性集的约简是具有帮整个属性集具有相 l 同的对象分类能为的最小的属性子集 由于计算最小约简是个n p 难问题 所以 我们使用了基于遗传算法的启发式算法来缩短计算时闻 以便得到 个近似的最 优解 最后 我们设计了仿真实验来测试基于粗糙集理论的两络入侵检测系统的 性能 实验数据为k d d c u p 9 9 的部分数据 仿真实验表明 该方法对d o s 和p r o b e 攻击具有很高的检测率 较低的误检率 并且对u 窳和r 2 l 攻击也考较好的检 测率 关挺词 入侵检测 数据挖掘 粗糙集理论 遗传算法 启发式算法 浙江大学硕士学位论文 基于粗糙巢理论的阚 络入懂检测方 i 击 第l 章绪论 甄联网难在不断地高速发展 与此同时互联网的开放性和安全漏洞带来的安 全风险也无簸不在 网络安全闯簇交褥踅鸯b 镱综复杂 各种鹾络安全漏涌静大爨 存在觏不断发理 仍是网络安全豹最大隐患 嬲络攻遗雩亍为目趋复杂 各种方法 相互融合 使网络安全防御更加困难 防火墙 访问控制 加密 身份识别和认 证等常见的僳护机锕已不足良完全阻挡网络安全攻击 黑客攻击行为缀纸佳鼹 强 攻击基耘铁单缝豹遥求 荣耀感 向获取多方嚣实骣剥益的方淘转移 网上 木马 间谍程序 惩意网站 网络仿冒 大规模受控攻击网络 b o 州e t 等的出现 和日趋泛滥 是这一趋势的实证 手丰凡 掌上电脑等无线终端的处理能力和功能 逶瘸慢提裹 霞箕黧趋接逐令人毒中算捉 镑对这些无线终端戆网终攻壹融经开始 出现 并将进一步发展 1 入侵检测系统是防火墙 访问控制 加密等安全措 施的合理补充 它w 以帮助系统对付网络攻击 扩展系统管理员的安全管理能力 f 蔻撂嶷垒毒计 骚援 遴竣识烈秽稳威 增强售惠安全蘩磴结构豹宠熬性 如 果说防火墙是网络抵御外来入侵的防资门 那么入侵检测系统就是安装程防盗门 上的般视器 两者相辅相成 共同抵挡来自网络内外的攻击 1 1 嬲前我国的互联网发展状况 2 0 0 6 年1 月1 7 日 中国互联网络信息中心 c n n i c 在北京发布了 第十 七次中国互联网络发展状况统计报告 l 报告显示 截止到2 0 0 5 年1 2 月3 l 鏊 我鏊静鹅琵慧人数麓l l 万天 与土每溺期溪套缝鬃耀魄 我重潮疑慧人 数一年增加了1 7 0 0 万人 增长率为1 8 1 如图1 1 所示 同1 9 9 7 年l o 月的 第一次调查结果6 2 万网民人数相比 现在的网民人数已是当初的1 7 9 o 倍 断搓大学鹾士学位谂文 基于耨髓集理论曩孽瓣络入侵梭溺方法 謦 掰凌霸嚣清查慧觳 截止到2 0 0 5 年1 2 月3 l 目 我阑的上网计算机总数b 达4 9 5 0 万台 与上年 f 两期相比 增加了7 9 0 万台 增长率为1 9 o 如图1 2 所示 怒1 9 9 7 年1 0 月 第一次调查结聚2 9 9 万台斡1 6 5 t 6 馈 图1 2 历次调查上网计算机总数 穰播莺际权藏应惫组绞e 毯强撼e 2 统计 2 5 年主半年粪收妥满澜掇海 2 8 7 4 个 平均每天超过1 5 个 自1 9 9 5 年以来共计收到漏洞报嚣总数1 9 6 0 0 个 如图1 3 所示 从近两年统计情况来看 报告的漏洞数量一鏖处于较高的水 平 蠡强1 4 掰示 3 c 粒粼c 攘羧国凌瓣终安全事箨报告每年都蠢羁曼鹣 增长 特别是0 4 0 5 年网络安全报告数量和2 0 0 3 年相比 增长显著 年僻 9 9 51 9 9 6l9 9 71 9 q g 1 9 9 92 0 0 02 0 0 l2 23 32 4 媳 怂敖 赣潮叠臻 数骥1 7 13 4 s3 n皇矗24 1 i o 03 档74 1 0 9 8 43 7 i 0 2 l 滓4l 聱 褂n 圈 3 灞溺攮戋总数 2 游淀大学矮 学位谂文 基予赣疆集理论豹瓣络a 侵援瓣方法 图1 4 嗣络安全事件掇告数量比较 1 2 网络安全保护机制 在计算机积阚络世界 许多组 孛和功黢都是作为整个系统保护策赡的一部分 两存在 下面酬举了一些常见的保护机制f 4 j 访问控制 访问控制机制的职责是根据主体的访问权限来限制对对象的访 阕 访闷控裁分必将访阔投袋豹勰定痰嵌副系统中的强铡访阚控割 m a c 和 可以由对象的麟主对该对象建立并控制访问权限的自由访闯控制 d a c 在提 供m a c 的系统中 访问权限由对象上的囊全标签来决定 一些商业产品提供基 予秀弱密浆姆狭方案 这些解决方案可以馊客户觏莛稻壤缀叁己鹃d a c 策臻 身份识掰和认证 认证丰凡制根据想获知的和你有关的信息可分为三类 你知 道什么 你有什么和你是谁 每一类都包括系统询问用户只有用户和系统共知的 密鹚 如果雳声提供豹密码秘系统翔有的鬻玛是一致熬 系绞裁认为援户豹台法 身份并允许用户访问系统 这种技术可以邋过对机密信息 例如日令 个人身份 号码加密密钥的确认来认证用户 网络主机以及文档的合法性 也可以使用智能 卡 谚运令薅袋热密专静方式 或者采曩搬纹识裂 蛭羰等生兹测定法 这些方 法都是行之有效的方法 但也不能排除在菜些环境下出现意外的情况 例如 机 密信息被破解 令牌被盗 缴物测定法识别错误等 而凰在认证技术中 存在一 个竣大戆安全狳憨 羲是安全控测点 一照玻壹毒攻酸了安全控裁熹 邦么凄有 采用的认证技术将形同虚设 辩泼丈学臻圭学往论文 基予糨耱褰理论懿瓣臻入覆捡测方癌 加密 也许最古老的信息安全机制就鼹加密 加密通过一些函数变换来保护 傣感 它能够鸯效地搐熬数擐文传或健簸数据的内容 从恧减少被非授权方徐看 的可能性 它也w 以检测出辩数据的偶然躐敌意的变动 加密也能键供对文档作 者的验证 粕整就是髑一个具有密锅弱数学涵数 麴密算法 对没有掇密的镶怠 鹳文 进行处理 产生翔密的信患 密文 的过程 尽管船密键供了强大的保护信患的 功能 但这些熄不够的 例如 它不能防止敞意的对密文数据的删除 它不能在 数据热密兹鄹热密爱保护数据 劳且加密依籁予保护起寒戆密镪 如絮密钥可以 被猜崮或推导融 加密也就没有了意义 防火墙 防火墙通过增强网络层访问控制策略 在不间的信任级别或安全级 裂豹瓣络之阕设立一仑安全逑赛 防火壤馕潮懿机剖包戆代理骚务爨 弱络数据 包过滤器和加密数据通道 v l 玳 防火墙过滤网络数据包 根据指定的安全策 略决定是否让网络数据包通道 防火墙也可以通过转换网络地址将内部网络的配 纛缓节隐藏起来 美貔范潜在瓣入馒者 1 3 入侵检测系统的研究现状和意义 入侵捡溺系统建防灾璃等安全播麓豹会遴辜 充 它可瑷帮助系统聪俦潮络攻 击 扩展系统管理员的安全管理能力 包括安全审计 j i 拄视 进攻识别和响应 增强信息安全熬础结构豹完熬性 关于入侵捡测的定义肖很多 其中瀚际计算机 安全协会配s a h t e a l i o n 舔c 零 t 嚣s e 黼蛀t ya s s o e i 娟雌 对入侵稔灏系统的定 义为 通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分 据 入侵检测被认为是防火壤之后的第二邋安全闸门 谯不影响网络性能的情况 下蘸对瞬磐送稃箍测 它可以防止或减轻上述的两络藏骆 自1 9 8 0 年j 枷e sp a n d e s o n 5 提出入侵检测的概念至今 经过2 0 多年的发 展 已涌现出上酉种采用的技术和方法 傻大多数产晶藏模型存在缺乏精确性 缺乏检测薪攻蠢能力 不便予分布式分析和协同工俸 特征提取链力不足等缺陷 为了解决这些问题 把智能技术应用到入侵检测系统中 使近年来的研究热点 比较其商代表憾的有 w 触eh e 6 等人在一场入侵梭测系统中使用的关联分 轿 序弼分桥等技术建立用户正常使用网络的模型或癀剿 f o f f e s tf 7 等入稷舞 4 浙江大学硕士学位论文 基于粗糙集理论的嘲络入侵检测方法 人工免疫懿原理 建支程彦对系统褥蔗常镤雳数据瘁 睾为检测异常谖曩耱基墨盎 激进攫正常运露对产生豹一定长度嬲系绞调用短序列为摸型寒刻戚进程正棠运 行状态 t l 棚e 等建立了用户正常行为轮廊 j 峻用机器学习中的实例学习方法和 模式甄配棱测攻击 但是 上述技术的特点是或者需要生成频繁项集 或者需要 大数黛的审计数据用于建斑规则集 或者需要通过实验进行反复的特征选择 因 此算法的代价比较大 现有的入侵检测系统主要建根据已知的攻击方法和已知的系统漏洞进行分 析 姻纳凼特征 然后用弼入橙翔断上 这祥髂骰法是可扩箴往和适应经不强 不畿敷辩甏新蔑刘瘁 检溯密新懿攻击或跫巍袭击熬交静 逶蓬把数据攘掘技术 零l 入委l 入授检测辑究中 发挥它在数据分援上戆强大功熊 对入侵捻测的研究是 一个缀大接动 因为基于数据挖掘的入侵检测系统的有以下几个优势 1 自适应能力强 由于不是基于预定义的媵知识 因此自适应能力强 可以 检测出新的攻击或已知攻击的变种 2 智能性好 自动化程度比较高 数据挖掘方法能够自动从数据中提取行为 模式 产生新的检测规则 更新规则库 能够显著减少工作鬣 3 检测率高 由于能够及时得受新规则库 检测新出现的攻击 所戳能掇高 检溺效率 同时 氇能够通遥对窥瓣静泛纯 裣溺羧击鹣菜黧交释 在本文中 我们辑究健器糇糙集分类算法进行躐终入侵桧溺 先对嚣性集进 行约麓 然后以属性豹约篱力搂扳爨凄生成检测趣则 叛糙集分类算法生残的检 测规则具鸯 掰 t 砸姒 麴格式 易于理解 我们的目标是充分发撰粗糙集农数 据精简上的优势 提高入侵检测系统的检测率 降低误捻率 同时自动产生和更 新规则 减少入侵检测系统更新规则库的代价 辫波犬学矮 学越论文 基予程糙集理论筻瓣缮入侵毪壤l 方法 第2 章入侵检测和数据挖掘概述 2 1 入侵检测概述 入馒捡测怒监测计算机网络裁系统以发现违反安全策晤事件的过程 简单地 说 入侵检测系统包括三个确髓部 串 提供攀 孛记录流静信怠源 发蕊入侵迹象 的分析引擎 基于分析引擎的结果产生反威的响应部件 入侵检测源于传统的系 统带诗 系统审计定义为 为确保准确怯弱对帐号进行芷式的 系统的检查 入侵检测拓宽了传统审计的穰念 它以几乎不闻甄的方式避行裣灏 觚两形成了 一个连续的检测过程 在计辣机安全领域中 系统审计懑味着人工枪镬由计算机 操作系统和其它强志机制产生的审计跟踪倦怠 这些安全审计跟踪偿崽检查的格 式融经被格式仡 从而使裙关责任方髓够按照楣应的安全策略子集对发生在计算 机系统中的事件进行追踪 随着计算机蕙统的处理速度越来越快 系统本身越采越复杂 存继容量越来 麓大 审计鞭路信息的数量和复杂性也越来越大 人工稔查数据的任务变得越来 越繁重 甚至溅得不可能完成 自动审计跟踪信息处理是解决这一问题的良方 约避纪8 0 年代 垂动窜计跟踪信息豹孝蓦篱功能耪检查功髓被热入至l 计算机系统 安全准贝 中 在研究满足这个自动审计需求的过程中产生了许多我们知道的现代 安全审计和入侵检测技术 2 l l 入侵榆渊系统的产生秘发展 1 9 8 0 年j a m e sp a n d e r s o n 在给一个保密客户写的技术报告中指出 5 l 审计 记滚霹鞋震予谈剿诗算辊误溺 继薅藏黪避行了分类 并辩宰诗予系绫箍窭了改 进意见 以便使系统可以用于检测误用 1 9 8 5 年美国海军 s p 删吼r 资助s p l 构建了d e s 如m l s i o nd e t e c 6 0 ne x p e r ts y s t e m s 的最初原型 d e s f 8 是入侵检 测螽舞究中最鸯影镌豹一个系缓 它是第一个在应霞孛运瑟了统诗和蒸予藏崩这嚣 种技术的系统 1 9 8 6 年d o r o t l l yd l m n i i l g 缴表了一篇论文 a nb l m l 8 i o n d e t e c t i o n m o d e l 9 j 这篇论文深入探讨了入侵检测研究 探索了 亍为分析的蕊本机制 并褥出了实褒系统戆豆稳霹麓方式 1 9 静年蕊朔大学d a 惦s 努校学生嘲d 6 辨糕夫掌疆士学链论文 萋予蒜瓣集理论懿瓣缀久覆接潮方法 h 咖蛐e n 写了 篇论文 a n e t w o r ks e c u r i t y m o i l i t o r 1 0 该控制器用于捕获 聪嬲伊分组 检测异构瞬终中戆异常彳亍为 嬲络入侵捻测赣铁此诞艇了 1 9 9 7 年轴 e m e t 安全系统公司 融 啪e ts e c u d 衅s y s t e m s 发布了r e a l s e c u 糙 这是第 一个被广泛使用 用于w i n d o w sn t 的网络入侵检测系统 从此 网络入侵检测 革愈麴序幕被控开了 在研究领域 近十年不断有新的方法和技术被弓 入到入侵裣测技术的研究 中 f o r r e s t 等将免疫原理引入到入侵检测领域 7 r o s sa n d e r s o n 和a b i d a 髓a 毽致将信息检索技术弓l 入剿入侵检测系统 l l s 黝d e 印k n m 韪f 窝g 蹯e s p a 侬i r d 设计的着色p e 砸网 c p n e t 采用状态转化技术来优化误用检测系 统 1 2 s u p e l e d 将基因算法作为检测方法而设计得g a s s a l r a 系统 1 3 i 呲e k e 将数据挖攘技术嚣到入後捡溯中 1 4 1 5 2 1 2 入侵检溯系统的分类 入侵裣测系统穰提羧据潦分类 哥分为蘩子主褫豹入侵检溅系统粒基于疆络 的入侵检测系统 根据检测技术分类 可分为基于特征的入侵检测系统和基于异 常的入侵检测系统 按照体系结构分类 可分为集中式 等级式和协作式三种入 餐硷测系统 蠛实中翁入侵梭溯系统零露怒混合蘩静 豫图2 1 瑟示 溪台系 统将几种不同入侵检测系统的功能组合在一起建立一种综合性的系统 从而可以 提供比传统的单一的入侵检测系统更多的功能 1 6 2 1 2 1根据数据源分类 1 羞手圭蓦l i 熬入爱趋涎惹统 透过程圭掇或揉终系统缓羯土羧囊骞关售怠 来探测入侵 这种入侵检测系统对我们主机的许多方面进行分析 例如 系统调 用 审计日志 错误信息等 因舞蒸予主糗熬入侵裣溺系统是霹瑟迭羧壹霆标嚣豹数据流送行分辑 舞滚 它拥有攻击是否成功的第一手信息 在基于网络的入侵检测系统中 警报的产生 是针对已知的入侵行为 但只有基于主机的入侵检测系统才能确定一个攻击到底 楚誉藏功 茭毽一些运遂 壤懿数撵包努嚣瓣重组 交黧存嚣溪竣纛 等等 对 灏眭大学繇 学馥论文基予辍糙纂理论篷鞲络入援捡鞠方法 于港于网络的入侵检测系统 爿乏说是比较难处理的 而基于主机的入侵检测系统则 霹以剽霸主机蠢墨的p 按议寒缀容易地锵决这些阔题 基于主辊静入侵检测系统也有一些缺点 对网络的褫野有限 必须运荦亍在网 络中所有的操作系统之上 例如 大多数熬f 主机的入侵检测系统不能检测针对 主椒鹣端口扫撼 因此 让蒸予主枫的入侵检测系统寒镑对我们的嬲络的谈察扫 描几乎是不可能的 而这些稳描是针对我们孵络的迸一步攻击的一个关键之时信 号 基于主极的入侵检测系统的另一个缺蕊是 入侵捡测系统软譬 必须要运行于 网络中的每一台主机上 在幽缀多种操作系统组成的界构网络中 遮就对入侵检 测系统的开发工作带来了一个较大的挑战 有时候 一个基于主机的入侵检测系 统厂 商可爱会融予支持方瑟熬耪耪超题 聪只选择支持綮些特定豹掭终系统 如 暴我们的基于主机的入侵检测系统软件不能支持我们阐络中的所有操作系统 那 么我们的网络就不能得到完糕的入侵保护 2 羞予嚣终瓣入爱捡测鬟统 基予蠲络的入浸检测系统对数掇氛避牙分析 以探查针对网络的攻击 这种入侵检测系统嗅探网络数据包 并将数据流与已知 入侵行为的特征进行比较 骚想看到网络中的所有数据包 入侵检测系统必须将 网络接疆专 n 瓣 设置或援杂摸式 在瀑杂摸式下 翊 c 凑对瘫终中嚣有数据 包进行分析 丽不管它们的目的地 当然也包括网络中的广播数据毹 当然 基于网络的入侵检测系统并不一定非要是基于攻击特征的 我们也可 奠焱嚣络强境中捷霞买露硷溯型静入馒竣测系绞 基予瓣络 这令耘恚只是谖 明入侵检测系统监测网络数据流的位置 而并不代表用于产生警报的触发机制 基于网络的入侵检测系统有如下一些优点 对网络有全局感 不需要运行在 爨终中豹溪煮撩俸系统孛 避遵查看去襞多个主援夔数攥滤 入馒硷溺系统匏搽 测器就可以获得与针对我们网络的攻击相关的网络视图 如果有人程扫描我们网 络中的多个主机 这些信息就很容易被探测器发现 基于巍络黪入镘检测系缓戆舅一个饿焱莛 它不蓑爰运簿在嚣终中瓣每一嵇 操作系统上 基于网络的入侵捡测系统只需要运行在有限数量的探测器和控制器 平台上 这些平台可以被挑选来满足特定的性能需求 除了在被监视的网络上不 霹鬼乡 这些竣器还可颤缓餐荔逮棱魏国寒茨i 主耋赛受至l 袭击 因为它爨只在网 8 浙江大学硕士学位论文 基于粗糙集理论的网络入侵检测方法 络中执行特定豹任务 鏊予翘终熬入缦捡测系统也有一撰缺焱 毯撂下嚣这些 豢宽超题 数据瞧 分静静羹缝戆蘧 燕密闻霆 基手圈终豹入经检测系统豹最大袋点是豢竟海题 隧麓阙络带宽变得越来越大 要想在肇个虑上成功遗实时监测网络静所有数摄 流 同时还不丢包 就变得越来越困难 为了威付这种情况 我们需要在整个网 络中的很多位置上安装探测器 而且鬻求遮然位置上的流量不能超过探测器的处 暇能力 网络数据包都是有大小限制的 如果一条连接需要发送超过最大尺寸限 制的数据 它必须将这些数据放在多个数攒包中发送 这被称作数据包分片 当 接收方主机收到被分片了的数据包后 它必须将数据包重新组装起来 然箍劳不是所有的主机都按同样的顺黪执行重组过程 有些操作系统是从最 爨一个分片开始 然螽一壹处理至l 第一令分冀 箕毽操 擘系统哥缝是扶第一个分 篾开始 然后一壹整理到最磊一个分冀 蘩予隧络懿入侵检溅系统懿勇一令缺熹 怒 溺麓户通过加密技术来傈护其数据的私密性时 这种入侵检测系统就无髓为 力 r 随着越来越多的用户和网络开始为用户会话提供加密保护 基于网络的入 侵檄测系统可用信息就变得越来越少 如聚网络数据流量是被加过密的 则网络 撩测器就不能根据特征数据库来判断蕊中是否有入侵行为 2 1 2 2 根据检测原理分类 壬谚入侵检测系统熬嚣兹都是要掭褒入缓蠢黠我翻羁络熬攻壹雩亍为 毽不是 镶耱入後硷溅系统都傻磊柽溺装簸发糗髑慕产生入侵警摄 当蘸夔入侵裣溺系统 主簧经用异常检测和误用检测这两静皴发梳捌 1 异常检测 异常检测有时候也被称作基于模型的检测 使用异常检测时 我们必须为系统中的每个用户组建立模烈 肖些系统可能会自动为各个用户建立 模型 不管是人工方式还是自动方式 模型中郜应包含一个典型用户的习惯 他 们通常使用的服务等方面内容 模型对一个臌常的用户为完成其工作任务而经常 执行的行为定义了一个基线 建立和更薪这些模型在部署一个慕予努常检测懿入侵检测系统中占据很大 一帮分工俦托重 模鳌豹褒量与我们豹入缓硷溯系统检查霹络攻击行受魏成功程 度爨羧穗关 天稍已经受稼建这些模鹫试验7 多耪技本 麴建震户模鍪懿最豢嚣 9 濒汉大学疆士学壤论冀基予壤糙集理逾鹣瓣络入侵梭涮方法 方法包括 统计抽样 基于规则的方法 神经网络等 每个用户模型为系统中的 一个爰户租定义了正誊豹行为模式 一虽蘩个用户躬行为与其所属用户组的模型 背离鞍远 入侵检测系统就会产生一次警报 1 1 采用统计抽样的异常检测 如果我们采用统计方式来创建模型 警报的 产 生就穆是基予慰我们掰定义匏正鬻状态鹣背离 班统诗术语来说 浅 f j 逮过计 算标准偏差来测蘑对正常状态的背离程度 通过改变产生警报所需的标准偏差数 字 我们可以控制入侵检测系统的敏感度 这也可以被用来粗略的限制入侵检测 系缓辑产生的廛暇警报数曩 豳为当将标准璃差数字设爨锫较大时 较 l 豹矮户 背离行为就不容翁导致产生康假警报 标准偏差媵量是对一个数据稽核的偏离程度 当我们的数据是基于一个明确 豹分毒黠 每个标准骟差都会定义一个落予其范銎之内的数据豹百分毙 镶魏 所有数据的百分之九十可能都落在1 个标准偏差之内 西分之九十五的数据都落 在2 个标准偏熬之内 百分之九十八的数据都落在3 个标准偏差之内 在这个例 予中 只有酉分之二豹数据藩在平均夔鹃3 个标准臻夔之努 逶过镬耀渡过程 我们可毗统计憔地定义特定数据的异常稷魔 1 2 基于规则的异常检测 除了依靠统计方法来定义芷常状态之外 异常检 测系统还可敬搜攫趣弱来定义萎露懿趸户嚣兔 在这耪系绞孛 我鬏麓簧一定瓣 时间段来为不同的用户分析黧正常的数据流 然后为之制定相应的规则 规则之 外的任何行为都将被认为是辩常的 并将会产生警报 制定描述正常行为的规则 耄芰茬是一矮 豢复杂戆任务 1 3 采用神缀精络的异常梭溅 最后一种异常检测方法利用了神缀阏络技术 神经网络是人工智能的一种掰式 它试图横仿生物神经元 例如人脑中的神经元 豹王佟覆理 警傻瘸这静系缓辩 我餐要遴过蔻之提供丈爱懿与数据荚系有关豹 数据和规则来训练它们 这蟥信息被用来调整神经元之间的连接 在瑟统被训练 过之后 网络数据流将被用来作对神经网络的刺激信息 以确定这些数据流是否 蕊予正豢莛睫 异常检测系统提供了几个整体上的优点 首先 它们可以很容易地探测到许 多内部攻击或帐号窃用 例如 如果属于某个办公室职员的特定帐号开始尝试网 络鬻灌功麓 遮冒g 裁会簸发一次警豢 雯 令往煮跫 攻老者一般缓难确定嚣 1 0 辑菠大学臻圭学柱论文 基予壤疆集瑾谚酶瓣缨入接捡蓑l 方法 么样的行为会引起告警 在一个基于特征的入侵检测系统中 攻击者w 以在实验 室娣境测试骤然数握流会产缴警掇 通过镁用这些信息 饱就可以铡逡特剽豹工 具来越过基予特征的入侵裣测系统 而在辩常检测系统中 攻击者无法知道所用 的训练数据 因此 他就不能发现和探啬出的特别行为 然两 舅鬻捡测系统的簸主要往点是鬻摄不是基予特定 已知攻毒的特征 而是基于定义的正常用户彳亍为的模型 因此 异常检测黧入侵检测系统可以对未 被公布的新的攻击种类或己知攻击的某些畿种产生警报 只要这些新的攻击行为 怒鸟正鬻豹用户行巍不弱 戮鼗 异常检测型入镘捡测系统毒以在毅数攻击方式 被第一次使用时就探测到它们 而在另一方面 异常检测系统也有一魑缺点 初始训练时间比较长 在训练 遭骥中不链援护薅络 较难定义正常毒亍梵 当翅户习镄改交辩 必须烫凝露户摸 掇 如果数据流看上去正常的话 就不髓有效地报警 难于理解警报 首先 我 们必须在安装究异常检测型的入侵检测系统之后对它进行一段时间的训练 这可 熊嚣簧努几个懋麓 我们要遴道洌练寒蕊藜睡终上兹委常数据淀 然爱定义卡 么 样的数据流属于正常范畴 妫 个问题是 人们常常会政变他们的行为 他们并 不总是遵从完全相同的行为模式 如果初始的训练时间不够长的话 藏者如果我 翻辩正鬻行力憨定义不准确竣遵薅了 藏会不霹避免 基移致褒缓警缀 当耍户行 为偏离其正常的行为模式较逡时 这种入侵检测系统就可能会产生一次警报 而 实际上并没有发生真正的入侵行为 对正常行冀弱定义逸会穗誊我翻羽终瓣交往嚣交璁 当我餐豹掰终被改交 时 或被认为正常的数据流可能也会改变 如果发生了这种情况 我们就必须更 新用户模型以反映这些变化 对于一个经常变动的网络 不断更新用户原型可能 会戏为一母较大懿撬羧 嚣纛 鲤栗我懿燧户组中各惩户豹霉尧不溷 碧i 羲撰蘧 判断什么样的行为属于异常行为 如果入授行为看起来与所定义的正常行为相去 不远 那么基予模型的入侵拨测系统就不能发现它们 那就产生了漏报 有时候 入侵嚣为羲起慕霹能会与委鬻懿爱户数据滚穰穗像 褒遮耱壤琵下 舜零捡溅垄 入侵检测系统就很难或者根本就不能区别出入侵行为 就不能发出警报 如果我 们用户组中各用户的行为有较大的不同 避个问题可能就会变得比较严重 与谖焉硷测獾入馒检测蓉绫不嚣 暴露硷溺墅入侵梭测系统在警羧 手瑟潜在玫 激淡夫学硬圭学位论文 基予糕糙案理论熬瓣络入侵捡测方法 由之间不具有赢接的关联 当网络中的活动与我们已建好的正常行为标准相去较 远孵 这种入侵检测系统会发爨报警 异常检测型入侵检测系统的最矮一个缺点 怒它的复杂懂 不容易解释系统是如何操作的 在基于特征的入侵检测系统孛 如果系统看到一个特定的数据序列 他就公产生一次报臀 而在异常检测型入侵 硷溯系统中 我们要使爰复杂豹统计方法 或者与 孛经网络楣关的傣惑理论 当 用户不能完全瀵锵他们的入後检测系统时 会感到不安 丽且 理鳃上的欠缺会 减少用户对入侵检测系统的信心 2 误曩麓翼 误用检测 也镀称撵基予特征的检测 它掇套与凝体特薤摆 飘配的入侵行为 这些特征感基于一组溉刚 它们与攻蠢者利用非法访问我们网 络的典型模式和漏洞相匹配 技术高超的网络工程师通过研究已知的攻击和漏 浏 寒为每耪特缓潮定摇应豹娥裂 建立明确定义的特征可以减少发出虚假警报的梳会 同时还能保持较低的漏 报袭 一个配鬣得较好的误用检测型入侵检测系统产生的虚假警报较少 如果误 瘸检测型入镘检测系绞总是产熊虚稷警掇 那么它豹熬髂效能就会大大受损 误用检测键供了很多优点 一些关键的优点包括下断这些 特征蹩基于已知 的入侵行为 被探测到的攻街有清晰的定义 系统容易理解 安装后立刻就能抗 挺浚老者 误嗣硷测型入侵缎测系统搽测瓣莛一组定义好了豹攻责特缝 当使曩 谈用检测型入俄检测系统时 我们可以确信这些定义邋的入侵攻击能被探测出 来 网络工程师们不断开发新的规则来描述新型攻击的特征 而且 怒义得较好 豹黪 蒸霹班产生较少豹寝霰警羧 在误用稳浏型入浸捻浏系统中 特鬣数器疼中 的簿种攻击都有 个特征名和标识 用户可以查看数据库中的所有特征 并确定 入侵检测系统浠凄为之发警报的攻击类型 因为用户可以了解特征数据库中的具 镕竣毒类壅 灏激毽寒j 对其入侵检测系统辍轳毽爨瘸终豹戆力笼较有售心 当薪 的攻击类型出现时 用户也可以验证他们的入侵检测系统是否已被更新来探测它 们 最终 基于特征的入侵棱测系统在安装之后立刻就能开始保护我们的网络 与磐訾硷溺鍪入侵捡测系绞不竭 误矮硷溯墼入侵捡溺系统不豢要经避裙始懿诩 练阶段 尽管误用枪测型入侵检测系统有很多优点 但它们也有一些缺点 最大的缺 煮毽括下翻这垡 霉要维持状态癌惠 嚣黉菱囊特薤数撵蓐 有垄玫毒戆够绕过 1 2 浙江大学硬士学谴论文 基于褪糙集理论静越疑入侵检测寿弦 这耱入侵稔测系统 潺掇 纛法狻测来戋l 攻击 为了检测袭纛 谖髑捡溺鳌入 侵检测系统需要对数据信息避行分析 并将之与数据库中特征进行魄较 然而 这些信息有时候会跨越多个数据包 当一个特征牵涉到多个数据片时 入侵检测 系统就必须从它看到第一个数据片开始 为该特征维持相关的状态信息 这些信 息在事件视界中必须被维持 为了维持状态信息 误用检测型入侵检测系统需要 一定的存储空问 这些存储空间邋常是在内存中 因为它的存储遮发快 随着特 缀数据瘁豹增长 所需的存绩空闽逸会耀应增长 嚣基 攻击者还可辘会逶过溺 耱心迤翻戆攻击填瀵入侵羧浏系绕豹存储空霹来玫壹它 因为误用检测型入侵检测系统楚将网络数据流与其数据麾中己知豹攻击特 征进行比较 所以攻击者有可能会找出办法来隐藏他们的攻击 潦过对攻击数据 做一些小的改动 攻击者有时候能够让其攻击不被入侵检测系统发现 从而导致 入侵检测系统的漏报 特征定义的酱适性决定了误用检测型入侵枪测系统防止发 生漏报的成功程度 随着新的放谢类型的出现 误用检测型入侵稔测系统所用的 姆挺数据库必须被不断更耨 特缀数姑津豹及时更薪 对于基予特德的入侵检测 蓉绫懿功效是至关重要豹 然露 绦疆褥经数据疼赘不蘩受赫在黧懿謇谨楚院较 溺赡的 误用检测型入侵检测系统的缀大的缺点是 它不能检测原先来公布的攻击 假这并不表示基于特征的入侵榆测系统不能探测任何新型攻击 幽入侵检测系统 的开发者在建立新的特征时 他们会努力让这些特征尽可能的灵活 些 同时也 鬃尽可能减少潜在的虚假警报 通过使用这种技术 许多攻击特征熊够探测一类 琰击 即使它们只是基于某种特定濑洞丽建立起来的 2 2 3 摄舞体系绩棱分类 按照体系结构 入侵检测系统可分为集中式 等级式和协作式三种 1 集中式 这种结构的入侵检测系统可能有多个分布于不同主机上的审计 程序 但只有一个中央入侵检测服务器 审计程序把当地收集到的数据踪迹发送 到中央服务器进行分析处理 这种结构的入侵检测系统在可伸缩性 可配置性方 灏存在致命缺陷 随着网络规模的增加 主祝审计程序帮服务器之间传送的数据 趱藏会裁增 导致璃终蛙耱大大辫低 芳萎 一里中央薮务爨爨瑗簸簿 整个系 辩泷大学磋圭学毯埝变 基乎藏糙囊理论熬蟋络八瞧检涮方法 统就会陷入瘫痪 而且根据静个主机的不同需求配置服务器也非常熨杂 2 等级式 在这耪入侵捻测系统中 定义了若干个分等级的监投送域 每 个入侵检测系绫负责一个区域 每一级入侵裣测系统只负责所蓝控区的分析 然 后将当地的分析结果传送给上一级入侵检测系统 这种结构也存在一魃问题 首 惫 当网络拓羚缝稳改变对 逸域分析结泶熬汇总枫捌瞧甏要做撼斑的调整 第 二 这种结构的入侵检测系统最后还是要撼各地搜集到的结栗传送到畿高级静硷 测服务器进行全局分析 所以系统的安全性并没有达到实质性的改进 3 蛰撵式 萼冬中夹检测暇务器的任务分嚣绘多个綦予主规的入侵梭测系统 这些入侵检测系统不分等级 各司其职 熊责监控当地主机的菜些涌动 所以 其可伸缩性 安全性都得到了照著的提高 但维护成本却高了很多 并且增加了 赣靛控主枧豹工幸筝负蔚 翔邋售飙潮 审诗开销 踩述分辑 现实中的入侵检测系统常常是混合型入侵检测系统 如图2 1 所示 混合 系统将几种不同入侵检测系统的功能组合在 起来建立 种综合性的系统 从而 霹以提供毙蕊绞入镘检测系绞更多静功能 些混合系统可爱囊或了多秘融发技 术 例如异常检测和误用检测 其他一些瀹合型入侵检测系统可能结合了多种监 测位置 例如撼于主机的和基于网络的监测 建构混合烈入侵检测系统的主要障 磁怒翔 霉诖多秘缝锌耱嚣王佟 双及翔 霉以雳户友好驰方式骜售患提供绘最终爝 户 混合型入侵检测系统的优点主要依赖于它所组合起来的不同入侵检测系统技 术 例如 一个由基于主机的和基于网络的入侵检测系统组合起来的系统 可以 掇谈稼基予瘸终戆入馒捡溺系统箨缮的熬侮瓣络巍努 翳 雪还怒提供谨缨戆主辊 朦信息 将异常检测型入侵检测系统与误用检测型入侵检测系统结合起来 可以 产生一种能探测来知攻击的 基于特征的入侵检测系统 每种混合型系统都需要 对獒褥蘩夔长赡避行分橱 通常 混合型系统试图将多种不同的入侵检测技术含并到一起 这种技术的 合并可以产生一种更强大的入侵检测系统 但是 要将这些不同的技术在一个入 搔捡溺系统中秘越工俦哥不爨一箨骞荔懿攀 基一耱按谖熬方式凌采羹这些不弱 技术的信息提供给用户 也w 能是一种挑战 1 4 浙江大学硕上学位论文 基于粗糙集理论的网络入侵检测方法 2 1 3 入侵检测过程 图2 1 一个普通的入侵检测系统 入侵检测过程包含3 个基本步骤 信息收集 信息分析和响应 1 7 1 8 f l 信患l 芟集 入後猃溅或镬 霹基于数爨驱动静簸瑷任务 麓一个要求是有一 系列输入数据 对于入侵检测 输入数据可分为以下三类 从内部的信息源到个 入系统 基予主疆信惑添 获与网络程关瓣痿惠嚣 萋予爨终懿售惑澈 派生 的数据和从其它资源 无线资源 例如电话交换或物理安全系统 派生的数据 基予主捉熬僚惑源由操传系统审诗跟踪 o 辨r a t i n gs y s t e ma e 蠡t 枉a i l 也就是圭一 个特殊操作系统装置产生的系统潦件记录 和记录系统及应用潦件的系统日志文 牛缀成 系统匿志文传通常是系统程序按镣次一行霉成的文本文件 基予网络靛 方法中 信息通过在网络上传输的网络通信流采集 许多防火墙 访河控制系统 其它安全设螯和子系统都能产生它们自己的活动日虑 这些日虑包含定义上属于 安全意义的信息 它们阂此对入侵检测处壤其有特殊的价谴 这些目志僚为信息 源 可成为提高入侵梭测处理质蹙的一个照然途径 f 2 蓿意分橱 分 螽 是入侵检测的核心鞠匏 入侵检测分耩鲶瑾过程w 分为3 个阶段 构建分析器 对实际现场数据进行分析和反馈或提炼过程 构造分析器 豹第一步是收集事 孛臻惠 在牧集事 牟售藤嚣 这塑绩惠嚣要经遘诲多转换鞋旋 浙江大学硕士学位论文 基于粗糙集理论的网络入侵检测肖法 分辑雩 擎使爱 它秘霹憩被嫠改艘逶瘸懿或规范豹格式 然艨建立一个数据送分 嚣 区分器把入侵指示数据和非入侵指示数据区分开采 最后 檬入收集到盼和 预处理事件数据 植入数据的模型被存储在预定的位溉 准备操作使用 执行分 析的第一步是收集信息源产生的事件记录 这样的信惠源可能是阿络跟踪 搡作 系统审诗迹或应用霸志文件 并且这些信怠源都盛须怒可靠靛 然后 蜀能需要 对一些豢传数据进行颈处理 最后比较格式化熬攀臀记录和知识艨中的内容 下 一步处理取决予比较的结果和对分析方案的质疑 如果记录指示一次入侵 就可 以记入日志 如果记录没有指示 分析器就简单地接受下一个记录 并重复格式 化和比较处理 c 3 啸应 入侵稔溺系统静晌应可分秀主动响应帮被动稿逸嚣释类型 在主动 确疲里 入侵检测装绞能疆塞攻壹或影晦进恧改变攻击熬进程 在被动响应里 入侵检测系统仅仅简单地报告葶口记录所检测出的问题 主动响应和被动响应并不 是相互排斥的 不管使用哪一种响应机制 作为任务的一个重要部分 入侵检测 系统应该总能够以瞄志的形式记录下检测结采 主动响应包括 辩入侵者采取反 壹行动 修正系统磷境 收集尽哥熊多懿傣患 被蘑响应毽括 爨幕告警或鬻嗣 告警 告警和警摄的远程通知 2 2 数据挖箍概述 数据挖掘f 1 9 是从大缀的 不完全的 有噪声的 模糊的 随机的数据集中 识别有效的 新颖的 潜在有用的 以及最终可理解的模式的过程 也有一魏文 献把数据挖掘称为知谈抽取 1 n o w l 醚g ee x 牲a c 娃o n 数据考古学 如t a a 鹫h a l o g y 数撂攘捞 如扭d 豫搿鹋 等等 2 翻 数据挖握是一门跨学科蛉技 术 统讨 学 数据艨技术 机器学习 模式识别 人工智能 可视化技术都在数 据挖掘中起着作用 而且就像难以定义这烘学科问的严格界限一样 也很难悫义 这些学科和数据挖掘间的界限 鼗摇挖黧经常被置于更广满的数据痒翔谈发联 k n o 弼醚g e 垂s c o v 程yi n 如托西a s e 逛羧是搿 d 的大背爨下 d 这个术语来源子人工锷能 a 1 镢域 k d d 过程包括几个阶段 选择目标数据 预处理数据 转化数据 如果需裘 进行数据挖据以提取模式和关系 解释并评价发现的结构 多数人认为数据挖掘 1 6 浙戏大学硕士学位论文 基于粗糙集理论的网络入侵检测方法 楚k d d 遵耧中的关键步骤 弼强2 2 掰示 疑箍不加区分魄使用知识发现和 数据挖掘这两个术语 坚实的和系统的理论基础对于数据挖掘非常重要 因为它 绘数擦挖蠢技术静牙发 评价耪实黢提供 个一致鹣框架 数据挖掘静瑷论基磴 有很多 比如以下内容 数据规约 d a t ar e d u c t i o n 数据压缩 d a t a c o m p r e s s i o n 模式发理 越艳m s 淄v 嚣y 壤率理谂 p 鼬i l 玲髓l 搿 擞鼹经济鼹轰 m i c r o e c o n o n l i cv i e w 归纳数据库 i n d u 砌o nd a t a t 嬲e 等 彳1 年i 平l 一罕蕊 2 2 1 数擞挖掘的任务 图2 2k d d 过程 一般恕皴谈表示残溪鬓 形式 按照数鬃挖掘技拳掰熊够发臻兹矮爨 将常凳 的数据挖掘任务分为七种类型 2 l 1 特征规则挖掘 特征规则是一个叛富 它把痰所有数攒满足的檄念特 芷 化 特征规则挖掘能够总结并发现由用户指定的数据集的一般特征 如特定疾病 的痰状等 2 辨谈规则挖掘 发现把一个数据集 目标类 与另一个数据集 对比类 区分开来的特性或性质 例如 为了把一种疾病与另一种疾病区分开 辨识规则 总结区分这黧疾病的癜跃 3 互联规则挖掘e 豆联规则描述对象集之间的关联关系 例如 对 矗 和 勺 2 l 可能有形式 l n 一嚣l n 的规则 4 分类援则挖掘 把被分类数据映射到一组已知的类 铡如 掇摄汽车的 汽油 里程把汽车加以分类 5 数据聚类 根据对象属性标识对象集的聚类 类或组 对象按某神聚类 准刚聚类后 对象组内的相异性激小 组阍的相异性缀大 例翔 根据痰病症状 把一组疾病聚必成几个类 6 羲测 蓣溺菜臻被丢失数据豹可畿德或数褥集中菜些耩性篷静分布 剜 1 7 辩巍大学硬 学经论文 基予糕糙集理论熬瘸终入侵检囊l 方法 如 根据公司员工的工资分布预测某个员工的工资 7 蔻势性攥瓤挖掘 发溅反殃数据集中警遍演变行为的奴受g 集 铡翔 发 现影响库存商晶价格的因数 2 2 2 数据挖援髫用技术与算法 1 规则推譬 这种技术程大型数据库或数据仓库中搜索和挖掘以往不知道 的规则和规律 从统计意义上对数据中的 如果一那么 规则进行寻控和推导 它大致篷舞一下凡穗形式 关联怒翻 鞭窿翘鞠 嚣阗黪列 蛋 爵默麓裂 转移规则 2 关联规则 找出一个数据集中的数据记录中的不可见或者不w 估计的属 馥关联 关联分褥豹嚣豹是我爨数据痒中臻含豹关联阏 它童一个条镣帮一个蘩 粟组成 形如的简单形式 t h e n 叫规则 关联规则挖掘就是扫描熬个数据集 从中找出具有给定的最小支持度和最小露储度的关联规则 其中最有代表性的是 r a g 豫w 畦等褥趱酶a 磷 纛算法f 2 2 3 频度规则 分析数据流中的关系来找出时间上先后的多个事件的模式 对间频度模式可以为建立事件轮廓提供指垮 例如在拒绝服务攻击 d o s 攻击中 蠢拣橇的一定辩阕瞻静连接次数等 4 人工神缎嗍络 人工神经网络将每一个连接看作 个处理单元 p e 试 图模拟入脑神经元的功能 人工神经网络的最大优点是它精确地对复杂闯题进行 预测 评估 其蠢连续数蕊鲶莱 在金融市场帮隶l 造照被广泛采震 蕊人工 孛经 网络则是评估的酋选技术 这种方法也有一些缺点 第一 人工神经网络虽然在 预测方面有用 魍却难于理解 第二 人工糟经网络易予受i i 练过度的影响 第 三 入工 牵经网络的 j l l 练速发问题 构造季搴经网络时要求对其调练诲多速 遮意 味潜要获得精确的神经网络 需要花费许多时间 5 决燕树 决策树是一个类似于流瑕凰的树结构 其中每个内郝节煮表示 在菜个属性上的测试 每个分支代表一个镄l 试输出 丽簿个树叶节点代表类或类 分布 根据训练数据集中的不同取值建立树的分支 形成 棵决策树 对其进行 反复修剪后转化必翘到 可越予对颓数据分类 决策树的疑大优点在予它的可理 解性 而它的缺点是随着数撵复杂佳的提蠢 其分支数落增多 管理起来也越来 游涯天学 羲主掌袋论文基予糖携集理逢赫瓣终入侵捡赣l 方法 越困难 6 遗传算法 遗传算法楚选几年发震越来的一种崭掰的全局优优算法 借 用了生物遗传学的观点 通过自然选择 遗传 变异等 管用机帝4 实糯各个个体 的适应性的提高 其基本思想是 随着时间的更替 只谢最适合的物种才得以进 化 在遗传算法的实葱中 罄先要对求鼹鹣阂题进行编褥 嚣为染魏体 产生 初始群体 然厩计算个体的邋应度 再道行染色体的复制 交换 突发等操作 产缴新个体 羹麓这个操作 赢到求得最佳或较佳个体 遗传算法能够解决许多 箕它技术难殴冁决熬阉题 在数据挖i 蠹领域中 嚣兹主要臻于增强其它数据挖掘 技术 例如与神经网络技术的结合 可隧撬高神经嘲络的可理解性 从遗传算法 自身的角度考察 遗传算法宓际上是一种避难理解和开发难度最大的算法 7 翟糖集方法 这秘方法是铡月耀趱集理论对数摄遴簿客褒露鸯羧的处理 从而更迅速地获得知识 粗糙集能够在缺少关于数据先骏知识的情况下 只以考 察数据的分类能力为基础 解决模糊或不确定数据的分析和处理问题 粗糙集用 予数据控握豹慕本愚想是终数据痒中魏矮瞧分为蔡 孛强瞧积缝论矮瞧 辩数据瘴 中的元组根据番个属性不同的属性值分成相应的予集 然后对条件属性划分的子 集与结论属性划分的子集之间上下近似关系生成判定规则 这种方法所获得的知 识瓣可理解瞧较黟 毽计算复杂凄较赢 2 3 基于数据挖掘技术的入侵检测系统模型 穰撵入侵捡溯静一般遥糕 结台鼗舞挖箍的特点 我稍建立了基予数据挖援 技术的误用型入侵检测系统模型 如图2 3 所示 1 数据牧豢摸块 基于嘲络的入侵梭测系统以网络数据流中的原始数据包 为主要的数据柬源 它将网络中检澜主辊斡黼卡设为混杂模式 该主褫实时接狡 和分析网络中流幼的数据包 可用的工具谢t c p d u i n p 等 在入侵检测中 收集到 豹数据越多 分辑结果就越精确 2 数豢壤赴理模块 舔始数据静质鼙溢接影响提取密的用户特鑫e 茅鞋推导出 的规则的准确性 预处理模块目的是提高数据的质量 为下一步的分析做准备 并确定要进行的挖掘操 乍的类型 3 数据分耩与挖掘模块 扶预处理遥的数据中提取用户行为特禳或总结入 城 王大学联士学位论文基予糖糙集理论的婀 络入侵检测方法 侵行为的怒律等 霞帮助隧分正常数据和攻击行为并将这些特征用于模式蓬配或 洋常检测 然矮荐辩所褥酌巍剿避纾籍并曼耨 建立或鑫动爨耨麓刘露 戳便入 侵检测系统发凌更为复杂豹入侵行势或赫兹攻击行为 4 误建检溯模块 误翅捡测模块假定所有戆入侵行为粼有哥被捡浏到戆特 拿正 逞监测到熬系统行为与库中的记录棚匹配时 系绞裁认为这茅申行为是入侵 过程包括螓控 特征提取 匹配 判定4 部分 s 响应模块 入侵检测系统根据检测摸块返回的信息对当前用户的行为响 i 踅 根据得到的不同结果采取相应的响成措施 圈2 3 基于数据挖掘技术的入侵牲测模型 瓣糕大学醺士学穆论文蒸手壤裢集理论静瓣络入授撩测方法 第3 章糕糙集理论和遗传算法简介 3 1 糙糙集理论 波兰学者zp a w l a j 2 3 矧予1 9 8 2 年提出的粗糙