导　　师： 邵志清

学科专业： H1102

授予学位： 博士

作　　者： ;

机构地区： 华东理工大学

摘　　要： 随着网络技术和网络规模的迅速发展，网络入侵的机会也越来越多，网络安全问题日益突出，如何迅速、有效地发现各类入侵行为，对于保证系统和网络资源的安全显得十分重要。 入侵检测系统通过构建动态的安全循环，可以最大限度地提高网络的安全性，减少安全威胁带来的危害。入侵检测系统虽然不能阻止入侵和攻击，但它能够寻找漏洞，并在非法入侵者攻击系统时，及时将它们捕获。因此引入侵检测技术是目前保证计算机安全的必要手段。 入侵检测技术主要分为两类，即误用检测和异常检测。现有商用的入侵检测系统所采用的检测方法大多是基于误用检测的，它依赖于对训练数据集中标记数据样本的学习，当遇到未知攻击时需要用新的标记数据样本对检测系统进行重新训练，然而，标记大量的网络数据代价是很高的；异常检测还主要处于研究阶段，在检测率和误警率方面还有待提高。同时，现有的入侵检测系统在报警方面还存在报警过多的问题，给系统和管理员带来了很大的负担。 针对入侵检测系统检测技术和报警处理技术的不足，本文提出了新的入侵检测算法和报警处理模型。具体的研究工作包括： 为了对本文提出的入侵检测算法进行验证，我们使用了入侵检测领域较权威的网络入侵检测测试数据集KDDCUP1999。该数据集是拥有41个属性的高维数据，是既有离散型属性又有连续型属性的异构数据集。维数高、数据量大必然导致算法处理的速度缓慢，同时这些属性对算法的有效性贡献也不同，如果对他们相同对待会导致算法有效性下降，因此，我们提出了一种基于互信息的特征选择算法，对数据集的属性进行了过滤。另外，为了使文中的算法能对异构数据集进行处理，我们分别构造了一种新的距离定义和一

关 键 词： 入侵检测 异构数据库 聚类算法 报警处理

领　　域： [自动化与计算机技术] [自动化与计算机技术]