【摘要】：互聯(lián)網(wǎng)的迅速發(fā)展給人們帶來了極大便利的同時也使人們對網(wǎng)絡安全問題越來越關注。而現(xiàn)有的入侵檢測系統(tǒng)面對日益復雜多變、日益龐大的的網(wǎng)絡數(shù)據(jù)顯得越來越力不從心,不能及時有效的對網(wǎng)絡數(shù)據(jù)正常與否做出判斷。傳統(tǒng)的基于誤用檢測的入侵檢測系統(tǒng)因為無法有效識別新攻擊常常會出現(xiàn)漏報情況,而應用較為新型的基于異常檢測的入侵檢測系統(tǒng)則往往會出現(xiàn)誤報,所以高效、準確的入侵檢測系統(tǒng)是目前入侵檢測研究的重要方向。通過對入侵檢測系統(tǒng)中存在不足的研究,文章將數(shù)據(jù)挖掘中的聚類分析方法和關聯(lián)規(guī)則方法應用到入侵檢測當中,同時結合入侵檢測誤用檢測在檢測已知攻擊方面的優(yōu)勢和異常檢測在發(fā)現(xiàn)未知攻擊方面的良好性能,提出了一個將聚類分析以及關聯(lián)規(guī)則兩種挖掘算法結合的入侵檢測模型。將聚類分析k-means算法改進后應用到異常檢測當中,建立二級異常檢測對大量網(wǎng)絡數(shù)據(jù)進行過濾,有效減少誤用檢測檢測量,提高系統(tǒng)的檢測效率,同時又不造成漏報率的提高。將關聯(lián)規(guī)則Apriori算法改進后應用到誤用檢測規(guī)則庫的規(guī)則發(fā)現(xiàn),實現(xiàn)規(guī)則庫的自動擴充。最后,采用入侵檢測領域權威的KDD cup99數(shù)據(jù)對改進k-means算法和改進Apriori算法進行了性能測試,實驗結果表明算法性能得到了改善,同時將設計模型在Snort系統(tǒng)上實現(xiàn),經(jīng)測試表明性能得到改善,模型設計合理。因此,文中的研究對于提高入侵檢測性能有一定的參考價值。圖20幅;表10個;參45篇。
【學位授予單位】：華北理工大學
【學位級別】：碩士
【學位授予年份】：2019
【分類號】：TP393.08
【圖文】：

dst_bytes 數(shù)值型 字節(jié)數(shù)，由目的主機發(fā)到logged_in 數(shù)值型 0 或 1，成功登錄為 1，失count 數(shù)值型 兩秒內(nèi)同當前連接有同一目標srv_count 數(shù)值型 兩秒內(nèi)同當前連接有同一服same_srv_rate 數(shù)值型 相同服務連接占所有連接srv_diff_host_rate 數(shù)值型 不同主機連接占所有連接dst_host_count 數(shù)值型 過去兩秒內(nèi)朝相同主機發(fā)送dst_host_srv_count 數(shù)值型 兩秒內(nèi)同當前連接服務一樣的選取對算法性能的評價影響很大，有許多相關的研究表明同的特征屬性集會造成算法分類效果及檢測效率的巨大差異征屬性集非常重要。有些特征屬性對算法分類效果沒有影響降低，因此這種特征屬性應該去掉。經(jīng)過篩選，選擇 9 個特準化處理

響理論分析：聚類半徑是影響改進 k-means 算法形成正常行為類的決定因素，也是影響改進算法誤報率和檢測準確率性能關鍵因數(shù)據(jù)集，當聚類半徑較大時，產(chǎn)生的聚類個數(shù)較少，單個分類中常行為類較多，異常行為類較少，誤報率越低，檢測率也越低，行為類越少，異常行為類越多，誤報率越高，檢測準確率也越高徑與形成的正常行為類數(shù)量成正比，與異常行為類數(shù)量成反比，成反比。而決定聚類半徑大小的就是聚類半徑計算公式中的 p 值徑越小，p 值越小則聚類半徑越大，再結合聚類半徑與正常和異可推出 p 值越大，聚類半徑越小，進而產(chǎn)生的聚類個數(shù)越多，反少。由此可以預測：p 值與形成的正常行為類個數(shù)成反比關系，類個數(shù)成正比關系，與誤報率和檢測率成正比關系。如圖 15、16測試平臺選擇相應的實驗類別，在圖中選擇實驗的 p 參數(shù)值，可進行測試聚類效果。

圖 16 p 參數(shù)設置Fig.16 Setting of p parameter果：變換 p 參數(shù)取值，p 值變化對改進算法性能影響的實驗結果表 2 p 參數(shù)對改進 k-means 算法性能影響able2 Influence of p parameter on performance of improved k-means algorithm的實驗結果可以看出隨著 p 值的增大，正常類個數(shù)不斷減少，異，誤報率和檢測準確率也上升，與預測效果一致。 正常類個數(shù) 異常類個數(shù) 算法誤報率 算法10 12 0.260% 687 21 4.13% 933 39 6.32% 951 52 10.371% 100

【參考文獻】

相關期刊論文 前10條

1 崔亞芬;解男男;;一種基于特征選擇的入侵檢測方法[J];吉林大學學報(理學版);2015年01期

2 羅軍鋒;鎖志海;;一種基于密度的k-means聚類算法[J];微電子學與計算機;2014年10期

3 田亞娟;秦秋菊;強新建;程國建;;基于數(shù)據(jù)挖掘算法的入侵檢測綜述[J];電子技術與軟件工程;2014年06期

4 鄭麟;;一種直接生成頻繁項集的分治Apriori算法[J];計算機應用與軟件;2014年04期

5 易云飛;楊艦;;改進k-means算法在網(wǎng)絡入侵檢測系統(tǒng)中的應用研究[J];軟件導刊;2014年03期

6 李蓉;周維柏;;基于改進的K-Means算法入侵檢測框架[J];實驗室研究與探索;2014年03期

7 李雷;黃蓉;;基于Apriori的快速剪枝和連接的新算法（英文）[J];計算機技術與發(fā)展;2014年05期

8 趙艷君;魏明軍;;改進數(shù)據(jù)挖掘算法在入侵檢測系統(tǒng)中的應用[J];計算機工程與應用;2013年18期

9 蘇家洪;;入侵檢測系統(tǒng)新技術介紹[J];中國新技術新產(chǎn)品;2012年03期

10 張新有;曾華q

本文編號：2773771