基于数据流挖掘的网络入侵检测系统的分析与研究-定稿(4)

需要预先设定特征库或规则库。这种方法随着异常种类的增多,特征库很庞大,监测性能下降。基于统计的检测不需要预先了解异常的特征和属性,能够有效地检测已知的以及新出现的异常。在基于统计的检测方法中很重要的一部分就是变化检测,主要方法是通过历史流量得到一个正常的流量模型,然后通过检测在短期内不符合此模型的行为来发现异常。

(2).异常检测方法

异常检测方法有阈值、预测模型、马尔可夫链、人工神经网络等。但是这些方法都不能满足在大规模网络条件下实时处理的要求,大规模网络条件下数据报文到达速度快,数据量大,因而直接处理这些数据来发现异常是不现实的,可以采用降维的方法。

(3).流量数据降维

对数据流降维的研究方法主成分为分析法 PCA和概要数据结构

sketch。PCA 是一种坐标变化方法,将给定数据点映射到一些新的坐标轴,这些新的坐标轴就成为主成分。

本文所提检测方法采用 sketch 方法存储骨干网络数据流概要信息,采用卡尔曼滤波预测下一周期的预测值,计算观测值与预测值之间的差异sketch,基于差异sketch建立网络流量变化参考模型,不符合参考模型的流量即为异常流量。该方法能够追溯异常的IP地址,使得网络管理员能够采取有效措施阻断异常行为,减缓攻击影响。

(4).异常检测流程

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新教学研究基于数据流挖掘的网络入侵检测系统的分析与研究-定稿(4)全文阅读和word下载服务。