發(fā)布時(shí)間：2017-04-10 21:33

  本文關(guān)鍵詞：基于Snort的入侵檢測(cè)系統(tǒng)的改進(jìn)與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著信息網(wǎng)絡(luò)的快速發(fā)展,人們的生活和工作方式都演變出了更加高效快捷的模式�；ヂ�(lián)網(wǎng)的開放性和互聯(lián)互通性賦予了它資源信息共享速度快、傳播面廣的天然優(yōu)勢(shì),極大地激活了經(jīng)濟(jì)、文化和知識(shí)的發(fā)展。但是,隨著人們?cè)诒姸囝I(lǐng)域愈發(fā)依賴于網(wǎng)絡(luò),信息的安全問(wèn)題凸顯出來(lái)。鑒于網(wǎng)絡(luò)數(shù)據(jù)的巨大價(jià)值,安全業(yè)務(wù)成為各個(gè)研究機(jī)構(gòu)和網(wǎng)絡(luò)安全公司關(guān)注的重點(diǎn),如何篩查和防范攻擊和入侵,保障信息網(wǎng)絡(luò)的安全迫在眉睫。 在這種情況下,各種專用入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems, IDS)相繼出現(xiàn)。其中,發(fā)展最早也是最著名的當(dāng)屬M(fèi)artin Roesch編寫的Snort[1]。Snort能夠有效保護(hù)系統(tǒng)的信息安全,深受網(wǎng)絡(luò)安全領(lǐng)域的重視。但是,隨著其應(yīng)用領(lǐng)域的擴(kuò)大和人們要求的提高,Snort還是暴露出了一些缺陷。作為一種基于誤用檢測(cè)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Network Intrusion Detection Systems, NIDS), Snort的檢測(cè)依賴于自身的規(guī)則庫(kù)進(jìn)行單一判斷,大量的正常行為數(shù)據(jù)也需要進(jìn)入規(guī)則庫(kù)進(jìn)行逐一判斷,容易將很多正常的行為誤判為攻擊行為,造成系統(tǒng)的誤報(bào)率和漏報(bào)率較高；規(guī)則以文本文件的形式存儲(chǔ),不能根據(jù)網(wǎng)絡(luò)的實(shí)際情況進(jìn)行動(dòng)態(tài)調(diào)整,造成系統(tǒng)的檢測(cè)速率較低；此外,Snort使用基于特征的匹配方法,只要檢測(cè)到攻擊事件就會(huì)上報(bào),容易造成告警泛濫,淹沒(méi)真正的入侵事件。 本課題的研究迎合了網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)和要求,在充分了解Snort IDS的基礎(chǔ)上,針對(duì)以上三點(diǎn)不足,設(shè)計(jì)實(shí)現(xiàn)了一種改進(jìn)的、多模塊和高性能的Snort入侵檢測(cè)系統(tǒng)。該系統(tǒng)充分利用Snort的開源性和可擴(kuò)展性,在原有Snort系統(tǒng)的基礎(chǔ)上,添加三個(gè)功能模塊：正常行為過(guò)濾模塊,規(guī)則動(dòng)態(tài)優(yōu)化模塊和告警泛濫抑制模塊,有針對(duì)性的解決Snort入侵檢測(cè)系統(tǒng)的缺陷。其中,正常行為檢測(cè)模塊過(guò)濾大量的正常行為數(shù)據(jù),減少Snort檢測(cè)引擎的工作量；規(guī)則動(dòng)態(tài)優(yōu)化模塊根據(jù)網(wǎng)絡(luò)的實(shí)際環(huán)境調(diào)整規(guī)則在文本中的順序；告警泛濫抑制模塊有效解決系統(tǒng)有可能出現(xiàn)的告警泛濫現(xiàn)象。 同時(shí),該系統(tǒng)將目前流行的數(shù)據(jù)挖掘技術(shù)融入到了系統(tǒng)的改進(jìn)過(guò)程。本文深入了解了數(shù)據(jù)挖據(jù)技術(shù)中最常使用的K-means聚類算法,并且針對(duì)其K值難以估計(jì)和對(duì)初始聚類中心敏感兩個(gè)缺陷給出了一種改進(jìn)的K-means聚類算法。該算法根據(jù)數(shù)據(jù)的實(shí)際分布情況進(jìn)行動(dòng)態(tài)聚類劃分,不需要提前指定K值,用算法確定的初始聚類劃分,減少了聚類的迭代次數(shù),獲得穩(wěn)定的聚類結(jié)果,改善聚類性能。在本文設(shè)計(jì)的入侵檢測(cè)系統(tǒng)中,使用了該算法生成正常行為過(guò)濾模塊的正常行為模式庫(kù),提高了系統(tǒng)的檢測(cè)性能。 最后,完成系統(tǒng)的搭建和功能的實(shí)現(xiàn),并且對(duì)系統(tǒng)的性能進(jìn)行測(cè)試,使用kddcup.data_10_percent測(cè)試數(shù)據(jù),對(duì)比傳統(tǒng)的Snort入侵檢測(cè)系統(tǒng)和本文實(shí)現(xiàn)的改進(jìn)的系統(tǒng)的各項(xiàng)性能指標(biāo)值。實(shí)驗(yàn)結(jié)果得出經(jīng)過(guò)改進(jìn)的Snort入侵檢測(cè)系統(tǒng)在檢測(cè)性能上有了較明顯的提高。
【關(guān)鍵詞】：入侵檢測(cè) Snort 數(shù)據(jù)挖掘 多模塊 K-means 高性能
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要4-6
• ABSTRACT6-11
• 第一章 引言11-17
• 1.1 研究背景和意義11-12
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀12-14
• 1.3 論文主要?jiǎng)?chuàng)新點(diǎn)14-15
• 1.4 論文組織結(jié)構(gòu)15-16
• 1.5 小結(jié)16-17
• 第二章 相關(guān)理論知識(shí)和技術(shù)17-31
• 2.1 入侵檢測(cè)概述17-21
• 2.1.1 入侵檢測(cè)的概念17-18
• 2.1.2 入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)18-19
• 2.1.3 入侵檢測(cè)系統(tǒng)的分類19-21
• 2.2 Snort入侵檢測(cè)系統(tǒng)21-26
• 2.2.1 Snort簡(jiǎn)介21-23
• 2.2.2 Snort的規(guī)則分析23-25
• 2.2.3 Snort入侵檢測(cè)系統(tǒng)的優(yōu)缺點(diǎn)25-26
• 2.3 數(shù)據(jù)挖掘概述26-30
• 2.3.1 數(shù)據(jù)挖掘的基本概念26-28
• 2.3.2 數(shù)據(jù)挖掘在入侵檢測(cè)中的應(yīng)用28-30
• 2.4 小結(jié)30-31
• 第三章 K-means聚類算法的介紹與改進(jìn)31-39
• 3.1 傳統(tǒng)的K-means算法介紹31-33
• 3.1.1 算法的思想和步驟31-32
• 3.1.2 算法的優(yōu)缺點(diǎn)32-33
• 3.2 改進(jìn)的K-means算法設(shè)計(jì)33-37
• 3.2.1 改進(jìn)的K-means算法介紹34-36
• 3.2.2 聚類準(zhǔn)則函數(shù)的定義36-37
• 3.2.3 K-means算法的整體實(shí)現(xiàn)37
• 3.3 改進(jìn)的K-means算法聚類性能檢測(cè)37-38
• 3.4 小結(jié)38-39
• 第四章 基于Snort的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)39-48
• 4.1 改進(jìn)的Snort入侵檢測(cè)系統(tǒng)模型39-42
• 4.1.1 系統(tǒng)的設(shè)計(jì)目標(biāo)39-40
• 4.1.2 系統(tǒng)的體系結(jié)構(gòu)40-41
• 4.1.3 系統(tǒng)的工作流程41-42
• 4.2 核心功能模塊設(shè)計(jì)42-47
• 4.2.1 正常行為過(guò)濾模塊的設(shè)計(jì)42-44
• 4.2.2 規(guī)則動(dòng)態(tài)優(yōu)化模塊的設(shè)計(jì)44-45
• 4.2.3 告警泛濫抑制模塊的設(shè)計(jì)45-47
• 4.3 小結(jié)47-48
• 第五章 基于Snort的入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)48-67
• 5.1 系統(tǒng)在網(wǎng)絡(luò)中的部署48-49
• 5.2 系統(tǒng)的環(huán)境搭建49-52
• 5.3 系統(tǒng)的功能實(shí)現(xiàn)52-65
• 5.3.1 Snort系統(tǒng)的頁(yè)面配置52-53
• 5.3.2 Snort規(guī)則文件的展示53-55
• 5.3.3 核心功能模塊實(shí)現(xiàn)55-65
• 5.3.3.1 正常行為過(guò)濾模塊的實(shí)現(xiàn)55-57
• 5.3.3.2 規(guī)則動(dòng)態(tài)優(yōu)化模塊的實(shí)現(xiàn)57-59
• 5.3.3.3 告警泛濫抑制模塊的實(shí)現(xiàn)59-65
• 5.4 小結(jié)65-67
• 第六章 系統(tǒng)測(cè)試67-75
• 6.1 測(cè)試用例及評(píng)價(jià)指標(biāo)67-70
• 6.2 測(cè)試結(jié)論70-74
• 6.2.1 改進(jìn)的K-means算法的性能檢驗(yàn)70-71
• 6.2.2 改進(jìn)的Snort入侵檢測(cè)系統(tǒng)的性能檢驗(yàn)71-74
• 6.3 小結(jié)74-75
• 第七章 總結(jié)與展望75-77
• 參考文獻(xiàn)77-80
• 致謝80-81
• 作者攻讀碩士學(xué)位期間發(fā)表的論文81

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 王越;王泉;呂奇峰;曾晶;;基于初始聚類中心優(yōu)化和維間加權(quán)的改進(jìn)K-means算法[J];重慶理工大學(xué)學(xué)報(bào)(自然科學(xué));2013年04期

2 王培鳳;李莉;;一種改進(jìn)的多模式匹配算法在Snort中的應(yīng)用[J];計(jì)算機(jī)科學(xué);2012年02期

3 胡敏,潘雪增,平玲娣;基于數(shù)據(jù)挖掘的實(shí)時(shí)入侵檢測(cè)技術(shù)的研究[J];計(jì)算機(jī)應(yīng)用研究;2004年01期

4 王潔松;張小飛;;KDDCup99網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)的分析和預(yù)處理[J];科技信息(科學(xué)教研);2008年15期

5 趙艷君;魏明軍;;改進(jìn)數(shù)據(jù)挖掘算法在入侵檢測(cè)系統(tǒng)中的應(yīng)用[J];計(jì)算機(jī)工程與應(yīng)用;2013年18期

6 馮波;郝文寧;陳剛;占棟輝;;K-means算法初始聚類中心選擇的優(yōu)化[J];計(jì)算機(jī)工程與應(yīng)用;2013年14期

7 楊志;羅可;;一種改進(jìn)的基于粒子群的聚類算法[J];計(jì)算機(jī)應(yīng)用研究;2014年09期

8 邢長(zhǎng)征;谷浩;;基于平均密度優(yōu)化初始聚類中心的k-means算法[J];計(jì)算機(jī)工程與應(yīng)用;2014年20期

9 張光云;田麗;;傳統(tǒng)NIDS漏報(bào)和誤報(bào)起因及改進(jìn)技術(shù)[J];微計(jì)算機(jī)信息;2006年03期

10 蔣亞平;趙軍偉;田月霞;;IBM算法及其在Snort系統(tǒng)下的實(shí)現(xiàn)[J];鄭州大學(xué)學(xué)報(bào)(理學(xué)版);2014年02期

  本文關(guān)鍵詞：基于Snort的入侵檢測(cè)系統(tǒng)的改進(jìn)與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

，

本文編號(hào)：297584