基于Apriori-KNN算法的入侵检测误报过滤研究

发布时间：2020-04-29 19:31

【摘要】：网络入侵检测系统(NIDS)当检测到可疑行为时会触发大量报警,然而大多数引发报警的行为本质上都属于误报。大量误报会导致NIDS的检测性能下降。NIDS的检测规则越严格,系统安全性就越强。然而,严格的规则集会引发更多警报,而许多警报实际上并不具有侵入性的。放宽一些规则可以减少误报的数量,但这种行为是不可取的,其会导致NIDS无法检测到某些入侵性的事件。NIDS均存在低识别率和微调困难的问题,提高NIDS的系统性能实际上维护提高识别率和维护系统安全性之间平衡。因此,减少误报是提高NIDS效率和系统的可用性的关键问题。为了减少NIDS的误报数量,本文采用数据挖掘技术减少NIDS误报的方法,为了降低系统的负载,本文利用基于上下文感知的黑名单数据包过滤器。通过研究数据挖掘算法KNN和Apriori算法的好处和弊端,针对Apriori算法关联规则进行分析,利用Apriori频繁项集强化KNN,形成具有频繁项集挖掘的分类算法Apriori-KNN算法。分析NIDS警报生成以及警报分类的原理,根据正常警报模式建立分类模型,将Apriori-KNN算法作为警报分类的核心算法,构建误报减少的过滤机制,在过滤机制前构建基于上下文感知的黑名单数据包过滤,整个过滤机制作为NIDS的中间件。实验结果表明Apriori-KNN误报过滤器可以大幅度地降低基于特征的网络入侵检测的误报,其误报减少机制的识别率均要高于基于KNN算法、决策树以及SVM算法的NIDS过滤机制。基于上下文感知的黑名单数据包过滤器可以有效地减少NIDS的时间消耗。在不改变现有的网络入侵检测系统正常配置的情况下,该过滤机制可以有效的减少网络入侵检测系统的误报数量,提升识别率,减少NIDS的时间消耗。
【图文】：

图 2-8 KNN 算法原理分析图ig. 2-8 KNN algorithm principle analysis diagr图 2-9 K 值对分类的影响Fig. 2-9 Effect of K value on classification

- 20 -图 2-9 K 值对分类的影响Fig. 2-9 Effect of K value on classification21( ) nk kkd x y（2-1）KNN 算法的具体步骤图如图 2-10 所示，在训练集数据和标签已知的情况，，输入测试数据，计算输入数据点与训练集中数据点之间的距离 d，选取距离短的前 K 个点，即训练集中的点与测试数据点最相似的 K 个数据点，该测试以邻近的点的类标号为依据进行分类。若存在多个类别标号，则选择最邻近
【学位授予单位】：哈尔滨理工大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 郑莹;;网络入侵检测系统NIDS的新技术研究[J];电脑知识与技术;2011年08期

2 黑霞丽;蔺聪;倪永健;;无线局域网中辅助NIDS的蜜罐的实现[J];通信技术;2008年05期

3 王一飞;桓海涛;;NIDS运行月报通病浅析及六要素行文法设计[J];信息安全与通信保密;2007年02期

4 王一飞;;破解NIDS困局[J];信息系统工程;2007年03期

5 王虹,蒋涛,李秀峰;新一代NIDS事件处理技术[J];数据通信;2002年03期

6 刘硕;;协议分析在NIDS中的应用[J];网络安全技术与应用;2007年02期

7 陈国顺;主动式NIDS的功能[J];现代情报;2005年02期

8 炎焱;;NIDS突破局限[J];每周电脑报;2003年35期

9 陈浩;;网络入侵检测系统的应用研究[J];雅安职业技术学院学报;2006年03期

10 郑敬华;;NIDS模型中检测引擎模块的设计与实现[J];信息通信;2011年05期

相关会议论文 前9条

1 隋毅;杜跃进;;NIDS的改进研究[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

2 马恒太;蒋建春;黄菁;文伟平;;NIDS攻击评估技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年

3 曾伟兵;石慧;;基于SCADA系统的工业网络全状态入侵和故障检测技术[A];第六届全国网络安全等级保护技术大会论文集[C];2017年

4 王永强;;网络入侵检测系统测试的技术体系研究[A];第二十次全国计算机安全学术交流会论文集[C];2005年

5 蒋建春;卿斯汉;;基于攻击上下文的网络入侵检测[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

6 ;Intelligent Intrusion Detection System Model Using Rough Neural Network[A];Proceedings of the 1st Chinese Conference on Trusted Computing and Information Security[C];2004年

7 于枫;郑荣;;Honeypots &Honeynet:新型的入侵检测解决方案[A];信号与信息处理技术第三届信号与信息处理全国联合学术会议论文集[C];2004年

8 王永强;刘世栋;戴浩;;关于入侵检测系统的测试方法研究[A];第十八次全国计算机安全学术交流会论文集[C];2003年

9 张悦连;郭文东;杨明欣;王志伟;;改进Snort系统协议分析能力的探讨[A];’2004计算机应用技术交流会议论文集[C];2004年

相关重要报纸文章 前10条

1 山枫、何军;NetScreen主动设防[N];中国计算机报;2003年

2 林晓航;10项准则[N];计算机世界;2001年

3 ;突破局限 全面预警[N];中国计算机报;2003年

4 李恩宝、刘宝旭;IDS不会消亡[N];中国计算机报;2003年

5 张志刚;增强入侵检测部署控制[N];中国计算机报;2002年

6 陈利华;NIDS还是HIDS[N];中国计算机报;2004年

7 汪辉;误报、漏报从何而来[N];中国计算机报;2003年

8 常江;IDS采购原则[N];计算机世界;2002年

9 ;面向企业网络的安全蓝图[N];计算机世界;2002年

10 本报记者 赵晓涛;独立还是统一[N];网络世界;2006年

相关博士学位论文 前3条

1 薛强;网络入侵检测系统NIDS的新技术研究[D];天津大学;2004年

2 孙小涓;海量网络流实时处理的优化技术研究[D];中国科学院研究生院（计算技术研究所）;2008年

3 Richard Maina Rimiru;[D];中南大学;2013年

相关硕士学位论文 前10条

1 马文亭;基于Apriori-KNN算法的入侵检测误报过滤研究[D];哈尔滨理工大学;2019年

2 隋毅;NIDS的改进研究与实现[D];中国科学院研究生院（计算技术研究所）;2006年

3 郭宏;网络拓扑信息技术在NIDS中的应用研究[D];哈尔滨理工大学;2008年

4 张国权;基于模式匹配和协议分析的NIDS研究和设计[D];大连理工大学;2006年

5 伍银;NIDS主动测试和被动测试相结合测试方法的研究[D];内蒙古大学;2011年

6 姜永财;NIDS性能评测及银行系统的应用研究[D];吉林大学;2005年

7 魏蜀曦;NIDS歧义流量矫正系统[D];东南大学;2006年

8 胡静;NIDS动态负载平衡策略的研究与设计[D];大连海事大学;2008年

9 周兵斌;NIDS警报日志分析系统设计与实现[D];合肥工业大学;2004年

10 蔡镐;基于动态映射的入侵检测系统的研究[D];电子科技大学;2006年

本文编号：2644919