袁沛沛[1]2008年在《网络安全入侵检测技术》文中进行了进一步梳理随着网络技术不断提高,计算机网络被广泛应用到人类活动的各个领域,网络安全也越来越受到人们的关注。为了能够需要能及时的发现恶意攻击,并在这种对系统或数据造成破坏之前采取措施,入侵检测系统应运而生。入侵检测系统已经成为网络安全的一道重要屏障。将数据挖掘技术应用于入侵检测系统,主要是用一种以数据为中心的观点,用数据挖掘的技术处理入侵检测系统中的海量数据,以提高整个系统的检测性能,有效的减少整个系统的误报率。入侵检测作为一种有效的信息安全保障措施,弥补了传统安全防护技术的缺陷。数据挖掘作为数据分析的有效手段被引入到入侵检测系统中,基于数据挖掘的入侵检测系统也成为一个新的研究领域。本文以基于数据挖掘方法的入侵检测技术研究为核心,首先对数据挖掘技术和入侵检测技术进行了研究和分析,探讨了用数据挖掘的方法在入侵检测中应用的可行性和必然性。在此基础上,重点研究了数据挖掘中的关联算法Apriori算法和聚类算法K-均值算法,分析其算法的缺点和不足并对两种算法做了适当的改进,使之更加适合用于入侵检测系统中。在本文的最后一章提出了基于数据挖掘技术的入侵检测系统的模型,并采用改进后的数据挖掘算法对其中的一些模块做了设计。数据挖掘用于入侵检测系统,通过分析,理论上是可行的。数据挖掘技术在入侵检测系统中的应用,必定会对入侵检测系统带来非常大的革新。
冯超[2]2007年在《K-means聚类算法的研究》文中指出聚类是数据挖掘领域中重要的技术之一,用于发现数据中未知的分类。聚类分析已经有了很长的研究历史,其重要性已经越来越受到人们的肯定。聚类算法是机器学习、数据挖掘和模式识别等研究方向的重要研究内容之一,在识别数据对象的内在关系方面,具有极其重要的作用。聚类主要应用于模式识别中的语音识别、字符识别等,机器学习中的聚类算法应用于图像分割,图像处理中,主要用于数据压缩、信息检索。聚类的另一个主要应用是数据挖掘、时空数据库应用、序列和异常数据分析等。此外,聚类还应用于统计科学,同时,在生物学、地质学、地理学以及市场营销等方面也有着重要的作用。本文是对聚类算法K-means的研究。首先介绍了聚类技术的相关概念。其次重点对K-means算法进行了分析研究,K-means算法是一种基于划分的方法,该算法的优点是简单易行,时间复杂度为O(n),并且适用于处理大规模数据。但是该算法存在以下缺点:需要给定初始的聚类个数K以及K个聚类中心,算法对初始聚类中心点的选择很敏感,容易陷入局部最优,并且一般只能发现球状簇。本文针对聚类个数K的确定、初始K个聚类中心的选定作了改进,给出了改进的算法MMDBK(Max-Min and Davies-Bouldin Index based K-means,简称MMDBK)。算法的出发点是确保发现聚类中心的同时使同一类内的相似度大,而不同类之间的相似度小。算法采用Davies-Bouldin Index聚类指标确定最佳聚类个数,改进的最大最小距离法选取新的聚类中心,以及聚类中心的近邻查找法来保证各个类之间的较小的相似度。文中最后使用KDD99数据集作为实验数据,对K-means算法以及MMDBK算法进行了仿真实验。结果显示改进后的MMDBK算法在入侵检测中是有效的。
郭春[3]2014年在《基于数据挖掘的网络入侵检测关键技术研究》文中研究指明随着因特网的快速普及,网络已经渗透到了人们日常工作和生活的各个方面。然而,随之而来的各种安全威胁,对社会稳定和经济发展带来了不同程度的损害。作为主要安全技术之一,入侵检测技术能够在网络攻击造成广泛的破坏前检测到攻击行为,从而为防御策略的制定提供重要依据。而网络规模的不断扩大,各种新的安全漏洞和网络攻击手段层出不穷,对入侵检测系统的检测性能提出了更高的要求。数据挖掘是一种智能数据分析技术,能够从大量数据中发现有用的知识。本文综述了国内外在基于数据挖掘的入侵检测研究领域的最新进展,以基于数据挖掘的网络入侵检测关键技术为研究重点,对入侵检测中的特征降维及样本约简、基于离群点挖掘的异常检测方法、混合入侵检测模型等方面进行了研究。本文的主要研究工作可归纳如下:(1)研究了特征降维技术在入侵检测中的应用,设计了一种能够适用于入侵检测的特征提取方法。所谓特征降维,包含特征选择和特征提取两种方式,能够降低表征数据的特征向量的维数,从而使许多数据挖掘算法获得更好的效果。本文在分析入侵检测领域中的特征降维相关研究的基础上,提出了一种基于簇中心距离和的特征提取方法。该方法利用数据集中各数据样本与簇中心的一种特定关系——距离和,将表征数据样本的原始特征向量从高维空间转换到低维空间。文中的实验表明了该特征提取方法在入侵检测应用中的有效性。(2)研究了样本约简技术在入侵检测中的应用,设计了一种能够适用于入侵检测的样本约简方法。所谓样本约简,是数据约简中的一种方式,用于缩减数据集中的样本数量。与针对整个原始数据集的数据挖掘相比,使用约简后得到的子集能够降低数据挖掘成本和加快挖掘速度,有时甚至能够取得更好的效果。为了能够从原始数据集选出高质量的样本子集,本文提出了一种基于类中心的分层样本约简方法。该方法通过一个能够衡量数据集中样本相对于其所属类别代表能力大小的指标,和一种基于类中心的数据集等分划分策略,可以从原始训练集中选出一个样本子集,进而使用该子集来建立入侵检测模型。文中的实验结果表明该样本约简方法对入侵检测应用是有效的。(3)研究了离群点挖掘技术在入侵检测中的应用,设计了一种基于离群点挖掘的异常检测方法。通过离群点挖掘技术,能够发现数据集中偏离大部分数据的离群值。本文在分析离群点挖掘技术在入侵检测中相关研究的基础上,提出了一种基于簇中心位置变化的异常检测方法。该方法运用聚类算法从正常样本集中提取参考样本(簇中心)之后,通过目标样本(可为训练样本或待检测样本)增加前后簇中心位置的变化情况,为该目标样本赋予一个“离群程度分值”,并将离群程度分值大于一个异常阈值的待检测样本识别为异常样本。文中的实验结果表明该方法能够以较高的检测率完成网络异常检测任务。(4)研究了混合入侵检测模型的组成结构,设计了一种包含叁个检测模块的两层混合入侵检测模型。混合入侵检测模型结合了误用检测和异常检测两种检测方法,因而其能够结合两者的优点。本文在分析现有的几类混合入侵检测模型的组成结构及优缺点的基础上,提出了一种包含两个异常检测模块和一个误用检测模块的两层混合入侵检测模型。在该混合入侵检测模型中,两个阶段的检测模块相互合作,阶段2的两个检测模块分别能够识别阶段1的检测模块所产生的误报和漏报。文中的实验结果表明,该混合入侵检测模型能够以较低的误报率和较高的检测率完成入侵检测任务。
张学旺[4]2003年在《基于数据挖掘技术的入侵检测研究》文中进行了进一步梳理入侵检测是信息安全保障体系结构中的一个重要组成部分。总体上,传统建立入侵检测系统的方法系统建立速度慢、更新代价高,而且对日益更新的网络设施和层出不穷的攻击方法显得缺乏有效性、适应性和可扩展性。本文介绍了一种基于数据挖掘技术建立入侵检测系统的方法。该方法是从原始审计记录中归纳学习分类规则并利用这些规则建立入侵检测模型。用规则建立一个有效的入侵检测系统的关键问题是首先从大量审计数据中提取出具有代表性的系统特征,用于描述程序或用户的行为,因此自动构造特征是本文的主要贡献。本方法中,首先把原始审计记录处理成包含基本特征的连接记录,然后应用数据挖掘算法计算连接记录中的频繁模式,并从频繁模式中自动生成入侵检测的附加特征。我们引入了数个扩展,即关键属性、引用属性、聪明级别的近似挖掘和具有相关支持度的挖掘,到基本的关联规则和频繁序列算法中。扩展的算法使用审计数据的特征指导“有关的”模式的有效计算。我们设计了一个简单的编码算法以便容易地分析和比较频繁模式。我们还设计了一个统计特征构造程序,它根据从审计数据中产生的频繁模式的语法自动地构造临时性的、统计的特征。最后,在一个入侵检测实验中测试了这个入侵检测模型的有效性。
何险峰[5]2003年在《基于数据挖掘技术和智能体技术的入侵检测系统》文中认为本论文以课题“基于智能体技术的入侵检测系统体系结构的研究” 为研究基础,提出并深入研究了一个基于智能体技术的入侵检测系统的体系结构。该体系结构将智能体(Agents)技术应用于入侵检测,解决了传统的集中式入侵检测方案的弊病,将任务处理和数据分布到网络各个结点上,自动适应复杂多变的网络环境,能通过自我学习、自我进化提高系统的入侵检测能力,能充分利用网络资源协同完成入侵检测任务。该体系结构是一种混合形结构:一方面,该结构同时利用基于主机和基于网络的数据源,使得IDS能收集到更加全面的信息;另一方面,该结构同时使用了异常检测技术和误用检测技术,既能检测已知的攻击模式,又能发现新的攻击模式。 本文提出的体系结构中还引入了数据挖掘思想,利用数据挖掘技术中的关联分析、分类等算法从系统日志、系统调用序列、网络流等海量的安全审计数据中提取关键的系统特征属性,根据这些属性生成安全审计数据的分类模型用于入侵检测。 本文详细论述了所提出的入侵检测系统体系结构的主要特点及其采用的主要技术,并依据此结构设计一个入侵检测原型系统。论文还进一步论述了整个原型系统各功能模块的功能、结构,并对原型系统的主要数据结构和主要函数接口进行了描述。 论文还对入侵检测及其相关技术的发展进行了探讨,并对后续研究提出建议。
郭晖[6]2007年在《基于混合技术的入侵检测系统研究与设计》文中研究指明随着网络广泛应用和网络技术尤其是黑客技术的发展,网络安全也越来越受到广泛关注,为了更全面的保护网络环境,需要能及时有效的发现攻击行为,并在这种行为对系统或数据造成破坏之前采取措施。入侵检测系统就是这样一种网络安全工具,入侵检测系统以数据分析为核心采取主动防御的策略,成为网络攻击的一道重要屏障。数据挖掘作为数掘分析的有效手段自然被引入到入侵检测系统的构建当中,基于数据挖掘的入侵检测系统也成为一个研究的热点问题。本文以基于数据挖掘的入侵检测系统为研究的重点,首先,对入侵检测系统和数据挖掘技术进行了研究和分析。然后,探讨了数据挖掘方法中基于关联规则挖掘的Apriori算法存入侵检测中的应用。目前,数据挖掘技术在入侵检测中的应用,主要关注网络数据包头信息的知识发现,而忽略了对网络数据有效载荷的信息挖掘。本文则改造了Apriori算法使之能够发现网络数据载荷的签名信息,签名规则的发现有助于改善snort规则集。在此基础上,设计并实现了一个基于Snort的入侵检测系统。本文的主要工作有:(1)主要介绍了本研究的背景知识以及当前国内外的研究现状;(2)简要介绍了入侵检测系统的基本概念、系统分类以及常用的检测技术和一般的检测系统构成;(3)简要介绍了数据挖掘和知识发现的基本概念和一些主要的数据挖掘技术,以及数据挖掘技术在入侵检测中的应用情况。(4)详细分析了基于规则的轻量级入侵检测系统一Snort和基于关联规则挖掘的Apriori算法及其改进,设计并实现了一个基于开源系统Snort的入侵检测系统,在原有Snort系统中引入了改造的Apriori算法对采集到的数据进行数据挖掘来发现网络数据载荷的签名特性,以改善Snort规则库并提供辅助决策机制。本文的主要贡献是将数据挖掘技术引入入侵检测,设计并实现了一个基于开源系统snort的混合入侵检测系统;改造了传统的Apriori算法,使之用于网络数据载荷的签名发现。本文通过实际的应用与部署,系统能有效检测目前已知的各类攻击和部分未知攻击,充分的验证了系统的有效性。
范治军[7]2012年在《基于数据挖掘的入侵检测研究》文中认为随着计算机网络技术的迅速发展,人们的工作、学习、生活变得越来越离不开计算机网络。与此同时,黑客攻击日益猖獗,网络安全问题日趋严峻,迫切需要各种网络安全技术来解决入侵攻击问题。入侵检测是继“信息加密”、“防火墙”等传统安全保护方法之后的新一代安全保障技术。作为一种主动防御的安全技术,入侵检测已经成为网络安全领域研究的热点,发展前景广阔。针对目前的入侵检测系统(IDS)准确度不高、自适应性差、检测效率低等问题,本文基于数据挖掘技术进行入侵检测研究,将分类、聚类、成分分析等多种数据挖掘方法综合应用于入侵检测过程中,以提高入侵检测系统的性能。本文首先分析了决策树方法应用于入侵检测系统的可行性,之后将C4.5决策树算法作为分类器应用于入侵检测的过程中,并设计了一个基于决策树的入侵检测系统模型,详细描述了模型中各模块的功能与设计。为提高系统性能,在模型中设计了“样本选择”和“特征提取”两个预处理过程。接着对“样本选择”和“特征提取”这两个预处理过程进行深入研究。分析了常用的几种样本选择方法的不足,提出一种基于聚类的样本选择方法。该方法先对各类训练数据分别进行聚类分析,达到细分数据的目的,在此基础上通过不同的策略选择每个簇的边界样本和典型样本。通过样本选择,提高了分类器的检测效率和泛化能力。接下来介绍了核主成分分析(KPCA)的基本原理,将其应用到入侵检测系统中,实现了对样本的特征提取,并比较其与主成分分析(PCA)的特征提取效果。针对KPCA存在的不足,提出一种用遗传算法改进KPCA的方法。通过遗传算法对提取出的特征进行优化选择,进一步提高了入侵检测系统的性能。最后在KDDCUP99数据集上的仿真实验,证明了本文各个研究的先进性。
李贺玲[8]2013年在《数据挖掘在网络入侵检测中的应用研究》文中研究指明随着网络技术的不断发展与互联网的广泛应用,网络安全问题倍受人们的关注。网络安全不仅是技术问题,而且是影响社会安全稳定的问题。入侵检测系统(IntrusionDetection System,IDS)就是提高网络安全的技术之一,它是通过采集网络中的某些关键点的信息进行技术分析,从而发现异常或入侵攻击的行为,是一种可以对网络进行检测、报警、响应的动态安全技术。入侵检测系统的主要功能是检测入侵的行为并识别入侵事件,实质上就是对网络行为的数据进行分类。将网络数据分成正常、异常数据两类,对异常行为的判定即为入侵检测。入侵检测系统能对系统中的主机、运行的应用程序及其状态进行全面、实时地对监控,并且也能对系统内部攻击和外部攻击的入侵行为进行实时检测,同时对入侵行为进行主动的识别,并发出报警等。以上的特点使其在网络安全中发挥重要的作用。本文将数据挖掘技术引入到入侵检测技术中,仅能提升入侵检测的能力,同时能实现入侵检测的智能化。首先介绍了数据挖掘与入侵检测的相关技术,并对入侵检测中应用的主要技术进行了说明。其次,对数据挖掘技术的聚类分析算法和关联规则算法进行研究。将数据挖掘技术中的聚类算法与关联规则算法引入到入侵检测,在对算法进行分析的基础上,针对算法存在的不足,提出改进的K-均值算法与改进的Apriori算法,并用经典的数据集KDDCUP99对改进算法进行实验,对算法各自的检测率和误报率与改进前的实验数据对比,结果表明了改进算法提高了检测的效率、准确率;并设计出基于改进算法的检测模型,同时再将模型应用到新的入侵检测系统中,经过入侵检测的实验,实验结果表明新的系统不但能提高检测准确率,并且降低误报率。
王秀巧[9]2008年在《基于数据挖掘的网络入侵检测系统研究》文中提出网络实现了包括个人、企业与政府及全社会信息共享,随着网络应用范围的扩大,对网络的各类攻击与破坏也与日俱增。计算机网络安全是一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。无论政府、商务,还是金融、媒体的网站都在不同程度上受到入侵与破坏。网络安全已经成为国家与国防安全的重要组成部分,同时也是国家网络经济的关键。网络安全是一个十分复杂的问题,它涉及到网络工程的许多方面,如网络技术、网络协议、入侵检测系统的构建和加密技术等,本论文主要研究了基于数据挖掘的网络入侵检测系统这个课题。内容安排如下:1.从入侵检测研究背景和发展历程出发,介绍了入侵和入侵检测的基本概念和原理,阐述了将数据挖掘引入入侵检测的背景知识,分析其出发点、可行性以及此领域的研究进展和存在的问题。2.讨论了基于网络入侵检测系统所使用的系统构架,针对几类不同的攻击方式,构建分类规则,建立分类模型。进行了实验性的攻击测试。3.在介绍了系列数据挖掘技术的方法的基础上,重点研究了关联规则分析方法。分析了基于数据挖掘的入侵检测系统的结构和功能,提出了入侵检测系统的两个关键问题是误报、漏报问题和检测速度的问题。本文以典型的Apriori为基础,提出了对Apriori算法的改进。进一步论述了加权关联规则算法及其在入侵检测中的具体实现。设计了基于加权规则的入侵检测模型。在论述了把遗传算法应用到入侵检测系统中的前提下,提出了基于关联规则和遗传算法的复合入侵检测模型及其实现方法。这是本文的创新点。最后对全文工作进行了总结,分析了本论文存在的问题和基于数据挖掘的网络入侵检测系统相关技术的发展方向。
倪钰[10]2011年在《基于数据挖掘的入侵检测算法研究》文中研究指明随着社会信息化程度不断提高,人们对网络地依赖日益增强,计算机网络安全问题得到人们的广泛关注。入侵检测技术作为一种重要的安全防护技术,很好地解决了访问控制、身份认证等传统机制所不能解决的问题,对计算机和网络上的恶意访问行为进行识别和响应。由于新的攻击方法的不断出现,尤其是一些分布式的入侵方式的出现,给入侵检测领域的研究带来了新的课题。传统的入侵检测系统在有效性、适应性和可扩展性等方面都存在不足。其他领域的知识引入,将进一步提高入侵检测效果,数据挖掘能够从海量数据集中挖掘出人们感兴趣的特定模式,将数据挖掘技术运用到入侵检测中,能够推动了入侵检测研究领域的快速发展。本文首先对入侵检测技术的背景进行了简要的探讨,其次,对入侵检测的技术进行了深入的分析,并详细介绍了数据挖掘技术,将数据挖掘技术应用于入侵检测系统中,能够优化检测模型,提高整个系统的检测性能,有效的减少整个系统的虚假报警率和误警率。最后,本文着重对数据挖掘算法中的Apriori算法和K-means算法进行分析并提出改进,取得一定的成果。并对未能解决的问题进行说明,有待于今后进一步的研究。
参考文献:
[1]. 网络安全入侵检测技术[D]. 袁沛沛. 西安建筑科技大学. 2008
[2]. K-means聚类算法的研究[D]. 冯超. 大连理工大学. 2007
[3]. 基于数据挖掘的网络入侵检测关键技术研究[D]. 郭春. 北京邮电大学. 2014
[4]. 基于数据挖掘技术的入侵检测研究[D]. 张学旺. 中南林学院. 2003
[5]. 基于数据挖掘技术和智能体技术的入侵检测系统[D]. 何险峰. 电子科技大学. 2003
[6]. 基于混合技术的入侵检测系统研究与设计[D]. 郭晖. 华东师范大学. 2007
[7]. 基于数据挖掘的入侵检测研究[D]. 范治军. 大连理工大学. 2012
[8]. 数据挖掘在网络入侵检测中的应用研究[D]. 李贺玲. 吉林大学. 2013
[9]. 基于数据挖掘的网络入侵检测系统研究[D]. 王秀巧. 山东师范大学. 2008
[10]. 基于数据挖掘的入侵检测算法研究[D]. 倪钰. 南京信息工程大学. 2011
标签:互联网技术论文; 数据挖掘论文; 入侵检测系统论文; 聚类论文; 入侵检测技术论文; 数据挖掘算法论文; 网络攻击论文; 网络模型论文; 网络行为论文; ids入侵检测论文;