1、入侵檢測(cè)在計(jì)算機(jī)安全系統(tǒng)中發(fā)揮著越來(lái)越重要的作用,目前入侵檢測(cè)使用的規(guī)則庫(kù)還是主要依賴于專家分析提取,由于入侵檢測(cè)系統(tǒng)中數(shù)據(jù)量很大,使用人工分析的代價(jià)是昂貴的.用數(shù)據(jù)挖掘技術(shù)分析網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵檢測(cè),可以有效的減少人工分析的工作量,但數(shù)據(jù)挖掘技術(shù)應(yīng)用到入侵檢測(cè)中存在著一些問題,特別是挖掘效率的問題,該文通過改進(jìn)系統(tǒng)結(jié)構(gòu)和數(shù)據(jù)挖掘的算法來(lái)提高系統(tǒng)的性能.該文對(duì)入侵檢測(cè)技術(shù)進(jìn)行了分析和研究,提出了一個(gè)基于數(shù)據(jù)挖掘和Agent的分布式入侵檢測(cè)

2、模型,并在此模型的基礎(chǔ)上實(shí)現(xiàn)了一個(gè)基于數(shù)據(jù)挖掘和Agent的分布式入侵檢測(cè)系統(tǒng).該系統(tǒng)可以分布在網(wǎng)絡(luò)中任意數(shù)目的主機(jī)上,其分布式體系結(jié)構(gòu)和靈活的代理體系,使得系統(tǒng)具有很強(qiáng)的分布性和擴(kuò)展性,其實(shí)時(shí)的學(xué)習(xí)功能增強(qiáng)了入侵檢測(cè)系統(tǒng)的檢測(cè)能力.基于數(shù)據(jù)挖掘和Agent的分布式入侵檢測(cè)模型的代理體系主要由通信代理、數(shù)據(jù)挖掘代理、入侵檢測(cè)代理組成,代理之間各自獨(dú)立又相互協(xié)作,合作完成入侵檢測(cè)的任務(wù).代理體系的引入,將基于主機(jī)的入侵檢測(cè)和基于網(wǎng)絡(luò)的入侵

3、檢測(cè)靈活地融為一體,形成一個(gè)統(tǒng)一的入侵檢測(cè)系統(tǒng).數(shù)據(jù)挖掘技術(shù)的引入,使入侵檢測(cè)系統(tǒng)有了自學(xué)習(xí)能力,這使系統(tǒng)能自己從該機(jī)日志或網(wǎng)絡(luò)上的數(shù)據(jù)中學(xué)習(xí)并提取特征值,通過分析不斷擴(kuò)充自己的規(guī)則庫(kù),不斷提高檢測(cè)入侵的能力.該文實(shí)現(xiàn)了基于數(shù)據(jù)挖掘和Agent的分布式入侵檢測(cè)系統(tǒng)的具體功能,該文后面章節(jié)對(duì)引用的數(shù)據(jù)挖掘的聚類算法和關(guān)聯(lián)規(guī)則進(jìn)行了詳細(xì)的分析,并通過數(shù)據(jù)實(shí)驗(yàn)證明其可行性,系統(tǒng)可以運(yùn)行在Unix/Linux主機(jī)上,經(jīng)測(cè)試證明是一個(gè)可行而且先進(jìn)