基于聚类分析和关联规则的入侵检测系统研究
发布时间:2020-07-29 09:27
【摘要】:互联网的迅速发展给人们带来了极大便利的同时也使人们对网络安全问题越来越关注。而现有的入侵检测系统面对日益复杂多变、日益庞大的的网络数据显得越来越力不从心,不能及时有效的对网络数据正常与否做出判断。传统的基于误用检测的入侵检测系统因为无法有效识别新攻击常常会出现漏报情况,而应用较为新型的基于异常检测的入侵检测系统则往往会出现误报,所以高效、准确的入侵检测系统是目前入侵检测研究的重要方向。通过对入侵检测系统中存在不足的研究,文章将数据挖掘中的聚类分析方法和关联规则方法应用到入侵检测当中,同时结合入侵检测误用检测在检测已知攻击方面的优势和异常检测在发现未知攻击方面的良好性能,提出了一个将聚类分析以及关联规则两种挖掘算法结合的入侵检测模型。将聚类分析k-means算法改进后应用到异常检测当中,建立二级异常检测对大量网络数据进行过滤,有效减少误用检测检测量,提高系统的检测效率,同时又不造成漏报率的提高。将关联规则Apriori算法改进后应用到误用检测规则库的规则发现,实现规则库的自动扩充。最后,采用入侵检测领域权威的KDD cup99数据对改进k-means算法和改进Apriori算法进行了性能测试,实验结果表明算法性能得到了改善,同时将设计模型在Snort系统上实现,经测试表明性能得到改善,模型设计合理。因此,文中的研究对于提高入侵检测性能有一定的参考价值。图20幅;表10个;参45篇。
【学位授予单位】:华北理工大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP393.08
【图文】:
dst_bytes 数值型 字节数,由目的主机发到logged_in 数值型 0 或 1,成功登录为 1,失count 数值型 两秒内同当前连接有同一目标srv_count 数值型 两秒内同当前连接有同一服same_srv_rate 数值型 相同服务连接占所有连接srv_diff_host_rate 数值型 不同主机连接占所有连接dst_host_count 数值型 过去两秒内朝相同主机发送dst_host_srv_count 数值型 两秒内同当前连接服务一样的选取对算法性能的评价影响很大,有许多相关的研究表明同的特征属性集会造成算法分类效果及检测效率的巨大差异征属性集非常重要。有些特征属性对算法分类效果没有影响降低,因此这种特征属性应该去掉。经过筛选,选择 9 个特准化处理
响理论分析:聚类半径是影响改进 k-means 算法形成正常行为类的决定因素,也是影响改进算法误报率和检测准确率性能关键因数据集,当聚类半径较大时,产生的聚类个数较少,单个分类中常行为类较多,异常行为类较少,误报率越低,检测率也越低,行为类越少,异常行为类越多,误报率越高,检测准确率也越高径与形成的正常行为类数量成正比,与异常行为类数量成反比,成反比。而决定聚类半径大小的就是聚类半径计算公式中的 p 值径越小,p 值越小则聚类半径越大,再结合聚类半径与正常和异可推出 p 值越大,聚类半径越小,进而产生的聚类个数越多,反少。由此可以预测:p 值与形成的正常行为类个数成反比关系,类个数成正比关系,与误报率和检测率成正比关系。如图 15、16测试平台选择相应的实验类别,在图中选择实验的 p 参数值,可进行测试聚类效果。
图 16 p 参数设置Fig.16 Setting of p parameter果:变换 p 参数取值,p 值变化对改进算法性能影响的实验结果表 2 p 参数对改进 k-means 算法性能影响able2 Influence of p parameter on performance of improved k-means algorithm的实验结果可以看出随着 p 值的增大,正常类个数不断减少,异,误报率和检测准确率也上升,与预测效果一致。 正常类个数 异常类个数 算法误报率 算法10 12 0.260% 687 21 4.13% 933 39 6.32% 951 52 10.371% 100
【学位授予单位】:华北理工大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP393.08
【图文】:
dst_bytes 数值型 字节数,由目的主机发到logged_in 数值型 0 或 1,成功登录为 1,失count 数值型 两秒内同当前连接有同一目标srv_count 数值型 两秒内同当前连接有同一服same_srv_rate 数值型 相同服务连接占所有连接srv_diff_host_rate 数值型 不同主机连接占所有连接dst_host_count 数值型 过去两秒内朝相同主机发送dst_host_srv_count 数值型 两秒内同当前连接服务一样的选取对算法性能的评价影响很大,有许多相关的研究表明同的特征属性集会造成算法分类效果及检测效率的巨大差异征属性集非常重要。有些特征属性对算法分类效果没有影响降低,因此这种特征属性应该去掉。经过筛选,选择 9 个特准化处理
响理论分析:聚类半径是影响改进 k-means 算法形成正常行为类的决定因素,也是影响改进算法误报率和检测准确率性能关键因数据集,当聚类半径较大时,产生的聚类个数较少,单个分类中常行为类较多,异常行为类较少,误报率越低,检测率也越低,行为类越少,异常行为类越多,误报率越高,检测准确率也越高径与形成的正常行为类数量成正比,与异常行为类数量成反比,成反比。而决定聚类半径大小的就是聚类半径计算公式中的 p 值径越小,p 值越小则聚类半径越大,再结合聚类半径与正常和异可推出 p 值越大,聚类半径越小,进而产生的聚类个数越多,反少。由此可以预测:p 值与形成的正常行为类个数成反比关系,类个数成正比关系,与误报率和检测率成正比关系。如图 15、16测试平台选择相应的实验类别,在图中选择实验的 p 参数值,可进行测试聚类效果。
图 16 p 参数设置Fig.16 Setting of p parameter果:变换 p 参数取值,p 值变化对改进算法性能影响的实验结果表 2 p 参数对改进 k-means 算法性能影响able2 Influence of p parameter on performance of improved k-means algorithm的实验结果可以看出随着 p 值的增大,正常类个数不断减少,异,误报率和检测准确率也上升,与预测效果一致。 正常类个数 异常类个数 算法误报率 算法10 12 0.260% 687 21 4.13% 933 39 6.32% 951 52 10.371% 100
【参考文献】
相关期刊论文 前10条
1 崔亚芬;解男男;;一种基于特征选择的入侵检测方法[J];吉林大学学报(理学版);2015年01期
2 罗军锋;锁志海;;一种基于密度的k-means聚类算法[J];微电子学与计算机;2014年10期
3 田亚娟;秦秋菊;强新建;程国建;;基于数据挖掘算法的入侵检测综述[J];电子技术与软件工程;2014年06期
4 郑麟;;一种直接生成频繁项集的分治Apriori算法[J];计算机应用与软件;2014年04期
5 易云飞;杨舰;;改进k-means算法在网络入侵检测系统中的应用研究[J];软件导刊;2014年03期
6 李蓉;周维柏;;基于改进的K-Means算法入侵检测框架[J];实验室研究与探索;2014年03期
7 李雷;黄蓉;;基于Apriori的快速剪枝和连接的新算法(英文)[J];计算机技术与发展;2014年05期
8 赵艳君;魏明军;;改进数据挖掘算法在入侵检测系统中的应用[J];计算机工程与应用;2013年18期
9 苏家洪;;入侵检测系统新技术介绍[J];中国新技术新产品;2012年03期
10 张新有;曾华q
本文编号:2773771
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2773771.html
