基于数据流的异常入侵检测

作     者：俞研 郭山清 黄皓 YU Yan;GUO Shan-Qing;HUANG Hao

作者机构：南京大学软件新技术国家重点实验室南京210093 南京大学计算机科学与技术系南京210093 

出 版 物：《计算机科学》 (Computer Science)

年 卷 期：2007年第34卷第5期

页      面：66-71,114页

核心收录：

学科分类：0839[工学-网络空间安全] 08[工学] 

基　　金：国家863计划(2003AA142010) 江苏省高技术计划(BG2004030) 

主　　题：入侵检测 数据流处理 聚类分析 

摘      要：目前,基于机器学习的异常入侵检测算法通常建立在对整个历史数据集进行等同的学习基础之上,学习到的网络行为轮廓过于依赖历史数据,难以准确反映当前网络通信量的行为特征。同时,算法的时间和空间复杂度较高,难以对网络中持续快速到达的大规模数据报文进行存储与维护。本文提出,一种基于数据流聚类的两阶段异常入侵检测方法,首先在线生成网络数据的统计信息,并利用最能反映当前网络行为的统计信息检测入侵行为。实验结果表明,其检测性能优于基于所有历史数据进行入侵检测的结果,并克服了内存等系统资源不足的问题,增加了系统的灵活性与并行性。