基于聚类技术分布式入侵检测模型CDIDS设计

1、基于聚类技术分布式入侵检测模型cdids设计摘要：本文主要构建了一种基于聚类技术的分布式 入侵检测系统模型一一cdids,介绍了该模型中各个模块的 设计方法和工作流程，同时，也说明了整个系统的工作流程, 并对该系统进行了性能评价，说明其可扩展、强壮并且智能。关键词：网络安全；入侵检测；聚类1引言近年，随着internet迅速发展的同时，计算机及计算 机网络逐渐成为计算机犯罪的攻击目标，从而导致社会和个 人都有很大的损失。计算机及网络的安全也因此成为研究的 焦点。入侵检测技术是继传统安全保护措施后新一代的安全 保障技术，作为一种积极主动的安全防护技术，它有效地补 充和完善了其他安全技术和手段。由

2、于数据挖掘能够从存储的大量数据中挖掘出有效、新 颖、具有潜在用途及最终可以理解的模式，所以可以将其应 用于入侵检测领域中，发现新类型或变种的攻击。以聚类分 析为代表的无监督检测方法的提出解决了传统方法存在的 问题。因此，致力于基于聚类方法的入侵检测技术的研究具 有重要的社会意义和现实意义。2入侵检测入侵检测是指对入侵行为的发现，通过在计算机网络或 计算机系统中的若干关键点收集信息并对收集到的信息进 行分析，从而判断网络或系统中是否有违反安全策略的行为 或攻击的迹象1。入侵检测技术的引入，使得网络、系统 的安全性得到进一步的提高。完成入侵检测功能的软件和硬 件的组合称为入侵检测系统(intrus

3、ion detection system) 简称idso3数据挖掘数据挖掘(dm, data mining)就是从大量的、不完整 的、有噪声的、模糊的、随机的数据中，提取隐含在其中的、 人们事先不知道的、但又是潜在的、有用的信息和知识的过 程2。数据挖掘的主要分析方法有分类分析、关联规则、 序列模式分析和聚类分析等等，本文着重讲述聚类分析方 法。4聚类分析聚类是一个将数据划分为若干组或类的过程，并使得同 一个组内的数据对象具有较高的相似度，而不同组中的数据 对象则是不相似的3。一个聚类就是由彼此相似的一组对 象所构成的集合，聚类分析就是从给定的数据集中搜索数据 对象之间存在的有价值的联系。5基

4、于聚类技术的分布式入侵检测模型cd ids的设计5. 1设计思想本文所提出的入侵检测模型的设计遵循如下原则：5. 1. 1基于agent的分布式检测系统本文采用分布协作式体系结构，将每个主机代理都设计 成可以独立检测和响应的单元，向中央控制模块发送入侵行 为特征。5. 1.2误用检测与异常检测相结合误用入侵检测利用已知系统和应用软件的弱点攻击模 式来检测入侵，能直接检测出不利的或不可接受的行为。这 种检测方法检测率高、误报率低、检测速度快，但是漏报率 较高，对新的入侵行为和已知入侵行为的变种却无能为力。 异常检测是基于已掌握了的被保护对象的行为建立正常工 作模式，并假定正常工作模式相对稳定。异

5、常检测最大的优 点是有可能检测出以前从未出现过的攻击方式，但是误报率 较高4。通过以上说明可以看出误用检测和异常检测技术 是互补的，两种技术的结合可以互相补短，进而提高入侵检 测的准确性。5. 2 cdids系统模型本文将所设计的基于聚类技术的分布式入侵检测模型 定义为cdids,该模型分为两大模块一一agent和中央控制 模块。系统工作原理如下：(1) 每个驻留在被保护主机的代理独立承担一定的检 测任务，检测系统或网络安全的某个方面，并把收集到的网 络数据进行检测分析，将检测到的入侵行为特征传送给中央 控制模块。(2) 中央控制单元将接收到的入侵行为特征存入数据 库，利用数据挖掘模块对这些入

6、侵行为进行挖掘，形成规则 即入侵特征库存入数据库，并将这些规则传送给每个代理， 使得每个代理都可以自动更新入侵特征库，实现智能化。5. 2. 1 agent 设计本系统中agent由五个模块构成：数据采集模块、预处 理模块、误用检测模块、异常检测模块和响应模块。(1) 数据采集模块。数据采集模块的主要作用是收集 网络数据包。为了将包输送给预处理程序以及随后的检测引 擎，必须先做一些准备工作，即需要一个抓包工具°winpcap 是由伯克利分组捕获库派生而来的分组捕获库，它是在 windows操作平台上来实现对底层包的截取过滤。(2) 数据预处理模块。数据预处理模块主要的作用是 对数据采

7、集模块采集到的连接进行特征提取，提取出能用于 数据挖掘的特征群，并对这些特征数据标准化处理，供检测 引擎中的数据挖掘算法使用。(3) 误用检测模块。误用检测模块将待检测的数据对 象与入侵模式库中的规则类别相比较，同时设定一个阈值 山。计算待检测对象与规则库中每个类别的距离，找出距离 它最短的类别，如果距离值小于dn,则说明该数据对象属于 此类，将其确定为入侵行为，启动响应模块；否则，说明该 对象是新型攻击或者正常数据(这里视其为可疑数据)，将 其送往异常检测模块。(4) 异常检测模块。异常检测模块将误用检测模块中 判断得到的可疑数据与正常模式库中的类进行比较，并设定 阈值da。如果数据与正常模式库中的任意类别的距离都大于 da,则将此数据判定为入侵，加入入侵模式库并启动响应单 元；否则说明此数据为正常行为，将其丢弃。在误用检测模块中所使用的模式匹配技术也是基于距 离计算，将待检测的数据对象与正常模式库中的聚类中心进 行计算，得到距离dis (m, c) (m为待检测数据对象，c为 正常模式库中到m最近的聚类的聚类