网站入侵检测研究

发布时间：2018-11-25 13:54

【摘要】：随着信息技术的发展，网络入侵行为的模式、载体、类型都在不断发生新的变化，因此主动发掘并分析异常数据并维护网络平台安全有着重要意义。入侵检测是当今网络平台安全不可或缺的组成部分，对维护网络安全稳定有着重要的意义。当前主流的商业入侵检测系统基本遵循两种模式：滥用检测和异常的检测。两者都依赖于攻击特征知识库的建立，而网络环境的瞬息万变，新的网络攻击不断产生，依赖攻击特征知识库的检测模式开始展现其弱势，即知识库的更新速度落后与新网络攻击的产生速度。另一方面，由于对网站的攻击有可能来自于网站内部，因此为了实现网络平台的安全，通过数据库的访问审计日志进行入侵行为检测已经成为当前的入侵检测领域的一个热点。本文研究的重点分两部分：无监督入侵检测算法的改进和增量序列模式挖掘的数据库入侵检测算法的设计。本文首先介绍了课题的背景和研究现状，其次介绍了入侵检测系统的总体概要、基本原理和当前的各种分类，着重研究了基于数据挖掘技术的入侵检测成果，并介绍了相应解决方案的基本原理。针对传统检测模式依赖知识库从而导致更新速度落后的特点，本文提出了基于FCM-Vote（FCM-Vote based algorithm）的无监督网络入侵检测方法。它通过捕捉主干网络上的异常时间片，并对时间片内的数据流特征进行聚类分析。根据聚类分析的结果，系统将对数据流进行甄别并过滤可能隐藏网络攻击的数据流。本文建立了基于FCM-Vote的无监督网络入侵检测系统模型，并付诸于具体实验。实验证明，基于FCM-Vote的网络入侵检测方法在检测数据量不断增加的情况始终保持了95%以上的入侵行为检出率，同时相比依赖知识库的传统异常检测方法可以在海量数据的检测中保持不高于3%的误报率。针对数据库恶意行为检测过程中误报率高和规则集构建算法效率低下的问题,本文提出的基于增量序列模式挖掘的数据库入侵检测，利用数据库的历史正常审计数据构造规则集，实现了数据库入侵检测。实验证明，在对不同的SQL操作语句进行异常检测实验时能将误报率限制在2.31%-4.58%之间，相比对参数敏感的传统方法具有更好的自适应性。同时，本文进行了算法执行效率的比较，，结果表明基于增量序列模式相比其他算法在数据库入侵检测中有着更出色的适应性。实验结果显示，在设定最小支持度为7%且单线程的情况下，在序列集增长到3000条以上后传统方法需要10s左右时间开销而本文方法则将因此引起的时间开销控制在了1s以内。本文的研究依托浙江省重大项目“基于云计算感知的Web漏洞防护系统”课题，研究成果可为网络平台安全体系的构建提供技术支撑。本文也为无监督模式识别、分层次聚类和增量式数据挖掘技术提供了一些全新角度的方法和思路，对进一步研究网络安全体系建设和维护Web站点的正常安全运营以及保障广大用户的合法权利不受网络攻击者的侵害带来一定的参考价值和借鉴作用。
[Abstract]:......
【学位授予单位】：杭州电子科技大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【参考文献】