基于k-means改进算法的入侵检测系统的研究
- 格式:pdf
- 大小:178.07 KB
- 文档页数:4
文档推荐
-
入侵检测系统的研究页数:6
-
入侵检测系统的研究页数:7
-
入侵检测系统研究的论文页数:3
-
面向虚拟化平台的入侵检测系统的研究页数:2
下载文档原格式
合集下载
K_means算法的改进及应用
邮局订阅号:82-946120元/年技术创新软件时空《PLC 技术应用200例》您的论文得到两院院士关注K-means 算法的改进及应用Improvement and Application of k-means Algorithm(上海大学)王刚勇周维民WANG Gang-yong ZHOU Wei-min摘要:针对k-means 算法在聚类过程中受初始聚类中心影响很大的问题,本文提出了一种优化初始聚类中心的方法。
此方法通过计算聚类中心与其他各个点之间的距离,依次找到最佳的一组初始聚类中心组合。
实验表明改进后的k-means 算法提高了检测率,降低了误检率,产生了质量较高的聚类结果。
关键词:K-means 算法;中心对象;聚类中图分类号:TP393.08文献标识码:AAbstract:In allusion to the problem of k-means algorithm that is greatly affected by the initial clustering center,a new method is proposed to optimize the initial clustering center.The method calculating the distance between the clustering center and other points will find the best clustering center combination.Experiments on the web-log show that the improved k-means algorithm can improve the detection rate,reduce error rate,and produce a high clustering result.Key words:K-means algorithm;Center object;Clustering文章编号:1008-0570(2012)10-0431-021引言随着计算机技术的不断发展,网络已经遍布于世界的各个领域和角落,随着而出的信息安全问题显得尤为重要。
改进的SOM和K-Means结合的入侵检测方法
全的第 二道 防线 。
间 ,正 常 数 据 中混 杂 了多种 入 侵 模 式 , 因此 ,这 就 可 能 会 出现 聚 类 混乱 的 的现 象 ,反 而 使 结合 后 的 算 法 在检 测 效 率 上 不仅 没 有 提 高 ,反 而 比传 统
的S OM 有 所降 低 。本 文 在对 大量 入侵 算法 研究 的基 础上 ,提 出了 K— a s Me n 算法 与 S M 神 经网络 O
D i 1 . 9 9 J is . 0 9 0 3 . 0 0 1 ( ) 0 o: 3 6/ . n 1 0 - 1 4 2 1 .2下 .2 0 s
0 引言
入 侵检 测技术是对 计算机 和 网络 资源上 的恶意 使用行 为进行 识别 和响应 ,不仅检 测来 自外 部的入 侵行为 ,同时 也监督 内部 用户 的未授权 活动 …,随 着计算机 网络技 术 的发 展而 日趋成熟 ,成为 网络安
算法 具 有 速 度 快 、算 法 简 单 以及 能 够 有 效处 理 大 型数据 库 的优 点 ,将 其 与 S OM 网络 相结合 可 以提
高S OM 网 络 聚类 的 准 确性 ,也 能将 S M 输 出层 O 节 点数 减 少 ,进 而 形 成 一 种 二 次 聚类 的方 法 , 以 应 对 网 络 入 侵 检 测这 种 大 规 模 数 据 检 测 的 要 求 。
Y NG Z a — n 。F - n. A dn A h of g . ANAi e wa F NAiig
(. 1 平顶 山学院 软件学院,平顶山 4 7 0 ;2 平顶山学院 计 算机科学与技术学院 ,平顶 山 4 7 0 ; 602 . 6 0 2 3 平顶 山学院 网络计算中心 ,平顶 山 4 7 0 ) . 6 0 2
间 ,正 常 数 据 中混 杂 了多种 入 侵 模 式 , 因此 ,这 就 可 能 会 出现 聚 类 混乱 的 的现 象 ,反 而 使 结合 后 的 算 法 在检 测 效 率 上 不仅 没 有 提 高 ,反 而 比传 统
的S OM 有 所降 低 。本 文 在对 大量 入侵 算法 研究 的基 础上 ,提 出了 K— a s Me n 算法 与 S M 神 经网络 O
D i 1 . 9 9 J is . 0 9 0 3 . 0 0 1 ( ) 0 o: 3 6/ . n 1 0 - 1 4 2 1 .2下 .2 0 s
0 引言
入 侵检 测技术是对 计算机 和 网络 资源上 的恶意 使用行 为进行 识别 和响应 ,不仅检 测来 自外 部的入 侵行为 ,同时 也监督 内部 用户 的未授权 活动 …,随 着计算机 网络技 术 的发 展而 日趋成熟 ,成为 网络安
算法 具 有 速 度 快 、算 法 简 单 以及 能 够 有 效处 理 大 型数据 库 的优 点 ,将 其 与 S OM 网络 相结合 可 以提
高S OM 网 络 聚类 的 准 确性 ,也 能将 S M 输 出层 O 节 点数 减 少 ,进 而 形 成 一 种 二 次 聚类 的方 法 , 以 应 对 网 络 入 侵 检 测这 种 大 规 模 数 据 检 测 的 要 求 。
Y NG Z a — n 。F - n. A dn A h of g . ANAi e wa F NAiig
(. 1 平顶 山学院 软件学院,平顶山 4 7 0 ;2 平顶山学院 计 算机科学与技术学院 ,平顶 山 4 7 0 ; 602 . 6 0 2 3 平顶 山学院 网络计算中心 ,平顶 山 4 7 0 ) . 6 0 2
基于深度学习的网络入侵检测系统研究
基于深度学习的网络入侵检测系统研究摘要:网络入侵日益成为网络安全领域的重要问题,传统的入侵检测系统往往无法有效应对复杂多变的网络攻击。
本文通过引入深度学习技术,研究了一种基于深度学习的网络入侵检测系统。
该系统利用深度神经网络对网络流量数据进行分析和判断,能够实现实时、准确地检测网络入侵行为。
实验结果表明,该系统在检测精度和处理速度上显著优于传统的入侵检测系统。
1. 引言网络入侵行为对网络安全造成了严重威胁,传统的入侵检测系统往往采用基于规则的方法,但这种方法存在规则维护困难、无法应对未知攻击等问题。
深度学习作为一种基于数据驱动的方法,可以自动从大量数据中学习特征,并能够适应各种复杂多变的攻击手段。
因此,基于深度学习的网络入侵检测系统成为了当前研究的热点之一。
2. 深度学习在网络入侵检测中的应用深度学习通过构建深层次的神经网络模型,不仅可以自动学习到网络流量中的复杂非线性特征,还可以通过端到端的方式对输入数据进行分类和判断。
在网络入侵检测中,我们可以借助深度学习对网络流量中的异常行为进行建模和识别。
2.1 数据预处理在进行深度学习之前,我们需要对原始的网络流量数据进行预处理。
首先,我们需要对数据进行清洗和去噪,去除无用的特征和异常数据。
其次,我们需要对数据进行归一化处理,将数据映射到合适的范围内,以加快网络模型的训练速度和提高模型的鲁棒性。
2.2 深度神经网络模型设计在网络入侵检测中,我们可以构建各种不同的深度神经网络模型。
常用的模型包括卷积神经网络(CNN)、循环神经网络(RNN)和长短期记忆网络(LSTM)。
这些模型可以自动从数据中提取特征,并将特征映射到合适的维度上,以便进行后续的分类和判断。
2.3 深度学习模型的训练与优化深度学习模型的训练需要大量的标注数据和计算资源。
在网络入侵检测中,我们可以利用已知的入侵样本进行有监督的训练,同时也可以利用未知的正常样本进行无监督的训练。
为了提高模型的泛化能力和鲁棒性,我们可以采取一系列的优化策略,如正则化、批量归一化、随机失活等。
基于机器学习的网络入侵检测技术综述
基于机器学习的网络入侵检测技术综述1. 总论网络安全已成为现代社会的一个重要问题。
随着网络技术的发展,网络入侵问题日益复杂。
作为一种被动的网络防御技术,网络入侵检测技术在网络安全中既起到保护网络资源和信息的作用,也是网络安全的重要组成部分。
而机器学习作为智能化的技术手段,提供了智能化的网络入侵检测方案。
本文将对基于机器学习的网络入侵检测技术进行综述,并进行归类分析和比较。
2. 基础知识2.1 网络入侵检测技术网络入侵检测技术是通过模拟网络攻击行为,对网络流量进行特征提取和分析,从而识别恶意流量和网络攻击行为的一种技术手段。
可分为基于特征匹配、基于自动规则生成和基于机器学习的三种类型。
基于学习的网络入侵检测系统是通过机器学习技术训练出网络入侵检测模型,然后对流量进行分类,从而更好地检测网络攻击。
2.2 机器学习机器学习是一种通过对专门设计的算法,使计算机能够自主学习的技术。
它的主要任务是从已知数据(历史数据)中学习特征,使其能够更准确地对未知数据(未知流量)进行分类预测。
主要分为有监督学习、无监督学习和半监督学习三种类型。
3. 基于机器学习的网络入侵检测技术3.1 基于分类算法3.1.1 支持向量机支持向量机(SVM)是一类二分类模型,它的基本思想是找到一个好的超平面对数据进行划分,使得分类误差最小。
与其他分类算法不同,支持向量机将数据空间转换为高维空间来发现更有效的超平面,以达到更好的分类效果。
在网络入侵检测中,SVM主要应用于对已知流量进行分类,进而识别未知流量是否是恶意流量。
同时,SVM还可以通过简化流量特征提取的复杂性,优化特征集。
3.1.2 决策树决策树是一种机器学习算法,可以进行分类和回归预测。
决策树使用树形结构来表示决策过程,树的每个节点代表一个特征或属性,每个分支代表一个该特征的取值或一个属性取值的集合。
在网络入侵检测中,决策树算法可识别不同类型的网络攻击,并为网络安全工程师提供必要的信息和分析结果,以支持决策制定。
基于聚类分析的网络异常流量入侵检测方法
TECHNOLOGY AND INFORMATION科学与信息化2023年1月下 65基于聚类分析的网络异常流量入侵检测方法陈晓燕濮阳市公安局情报指挥中心 河南 濮阳 457000摘 要 为了提高网络异常流量入侵检测方法的检测速度和检测准确率,满足现阶段网络流量检测的需求,本文基于聚类分析算法,对网络异常流量入侵检测方法展开研究。
具体做法是将流量进行采集和分类,基于聚类分析计算相似度,检测入侵的网络流量。
通过实验可知,文中提出的FART K-means聚类分析网络异常流量检测方法与传统方法相比,准确率提高了12.6%,运行速度提高了4.3s,能够满足设计需求,具有较好的实际应用效果。
关键词 聚类分析;网络流量;异常流量;入侵检测Network Anomalous Traffic Intrusion Detection Method Based on Cluster Analysis Chen Xiao-yanPuyang City Public Security Bureau intelligence command center, Puyang 457000, Henan Province, ChinaAbstract In order to improve the detection speed and accuracy of the network anomalous traffic intrusion detection method and meet the needs of network traffic detection at the present stage, this paper studies the network anomalous traffic intrusion detection method based on the cluster analysis algorithm. Specifically, traffic is collected and classified, the similarity is calculated based on cluster analysis, and network traffic intrusion is detected. It can be seen from experiments that the FART K-means cluster analysis network anomalous traffic detection method proposed in this paper improves the accuracy by 12.6% and the running speed by 4.3 s compared with the traditional method, which can meet the design requirements and has good practical application effects.Key words cluster analysis; network traffic; anomalous traffic; intrusion detection引言网络互动已经越来越成为人类生活中必不可少的部分。
基于数据挖掘技术的聚类分析算法在异常入侵检测中的应用
基于数据挖掘技术的聚类分析算法在异常入侵检测中的应用摘要:入侵检测已经成为近年来网络安全研究的一个热点,实践证明,基于数据挖掘技术的聚类分析算法是能够有效地帮助建立网络正常行为模型,并且显著提高了入侵检测的速度的算法。
关键词:入侵检测;数据挖掘;聚类分析1 入侵检测和异常入侵检测技术入侵检测,(Intrusion Detection,简称ID),是对入侵行为的发现。
入侵检测是基于两个基本假设:用户和程序的行为是可见的;正常行为与入侵行为是可区分的。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种动态的安全防护手段,它能主动寻找入侵信号,给网络系统提供对外部攻击、内部攻击和误操作的安全保护。
这种技术可以大大提高网络系统的安全。
入侵检测主要包括三个部分:数据采集、数据分析和响应。
异常入侵检测技术又称为基于行为的入侵检测技术。
它识别主机或网络中异常的或不寻常行为。
它假设攻击与正常的活动有很大的差别。
异常检测首先收集一段时间操作活动的历史数据,再建立代表主机、用户或网络连接的正常行为描述,然后收集事件数据并使用一些不同的方法来决定所检测到的事件是否偏离了正常行为模式,从而判断是否发生了入侵行为。
异常检测是通过已知来推倒未知的技术,我们可以将数据采掘技术应用到入侵检测研究领域中,从审计数据或数据流中提取感兴趣的知识,这些知识是隐含的、事先未知的潜在有用信息,提取的知识表示为概念、规则、规律、模式等形式,并用这些知识去检测异常入侵和已知的入侵。
目前最常用和有效的技术是基于数字挖掘的聚类分析方法。
2 数据挖掘和聚类分析所谓数据挖掘,是从海量的数据中,抽取出潜在的、有价值的知识(模式或规则)的过程。
也就是根据预定义的商业目标,对大量的企业数据进行探索和分析,揭示其中隐含的商业规律,并进一步将其模式化的技术过程。
数据挖掘是一门交叉学科,它集成了许多学科中成熟的工具和技术,包括数据库技术、统计学、机器学习、模式识别、人工智能、神经网络等等。
211009300_基于GRU_和K-means_算法的入侵检测模型与方法研究
Qiye Keji Yu Fazhan0引言随着互联网及网络应用的飞速发展,人们的生产生活已经深度依赖网络,人们从互联网中获取信息也变得极为便利,这就难以避免海量的数据信息通过网络进行传播。
互联网提高了人们的生活生产效率与质量,但同时,一系列网络安全问题也相应产生,比如网络入侵,不论是个人、企业,还是政府、军队的信息,一旦被不法分子窃取、篡改,极有可能造成无法弥补的损失。
传统的基于防火墙等的静态安全防范技术已然无法满足当前网络安全的需求,为了更好地应对当前的网络安全问题,现在更多应用主动防御的网络入侵检测系统。
但是随着网络攻击智能化,网络入侵检测系统也面临着巨大的挑战,需要对入侵检测技术进行不断研究。
在网络流量中,恶意的网络攻击往往隐藏在大量的正常行为中。
它在网络流量中表现出高度的隐身性和模糊性,使得网络入侵检测系统难以保证检测的准确性和及时性。
研究机器学习和深度学习在入侵检测问题上的应用,提出了一种结合GRU 网络和K-means 的算法模型进行入侵行为检测。
首先,利用GRU 网络对网络行为进行信息特征提取,实现全面有效的特征学习。
其次,使用K-means 算法对前置输入进行聚类,对于那些暂时无法进行属性判断的流量行为,再次进行特征提取后使用K-means 算法进行分类,有效减少传统二分类入侵检测对于暂时无法判断的流量行为的误判动作。
1相关知识1.1GRU 网络CHO 等[1]提出了门控循环单元(gated recurrentunit ,GRU )。
相比于长短期记忆网络(LSTM ,Long Short -Term Memory ),GRU 网络具有更为简洁的模型,GRU 中去除了细胞状态,有重置门和更新门两个门限结构,重置门确定如何将前一时刻的记忆与新的输入信息相结合,表示前一时刻信息的忽略程度,值越大代表忽略的信息程度越小。
更新门代表前一时刻信息对当前状态的倾向程度,用于控制前一时刻的状态信息被带入到当前状态中的程度,值越大代表影响越大[2]。
改进k-illmeans算法在网络入侵检测系统中的应用研究
第1 3 卷 第3 期 2 0 1 4 年 3 月
软 件 导 刊
So f t wa r e Gu i d e
VbI .1 3 NO. 3
Ma r . 201 4
改进 E l me a n s算 法 在 网络 入 侵 检 测 系 统 中 的 应 用 研 究
易云 飞 , 杨 舰
Ab s t r a c t : Af t e r o b t a i n i n g a n d t r a ns mi s s i o n p r o c e s s i n g, En g i n e e r i n g i ma g e wi l l b e a l wa ys d i s t u r b e d b y a c e r t a i n d e g r e e o f
机应 用, 2 01 1 ( 7 ): 1 8 3 5 — 1 8 3 7 .
系 统 作 为 一 种 积 极 主 动 的安 全 防 护 技 术 提 供 了对 网 络 内
1 7 2 3 一 l 7 3 O .
[ 7 3 肖孟 强 .混合 噪 声 图像 滤波 算 法在 医 学 图像 中的 应 用 研 究 [ D] . 甘
0 引 言
随着 网 络规 模 的不 断 扩 大 , 网络 受 到入 侵 的威 胁 也 越
来越大 , 有 效 阻止 各 种 网 络入 侵 行 为尤 为必 要 。入 侵 检 测
受 到 危 害 之 前 拦 截 和 响 应 入 侵 。基 于 聚类 算 法 的 入 侵 检
测是一种无监督的异常检测算法 , 通 过 对 未标 识 数 据 进 行 分类 , 能 发 现 新 型 的和 未 知 的入 侵 类 型 。
算法 。
软 件 导 刊
So f t wa r e Gu i d e
VbI .1 3 NO. 3
Ma r . 201 4
改进 E l me a n s算 法 在 网络 入 侵 检 测 系 统 中 的 应 用 研 究
易云 飞 , 杨 舰
Ab s t r a c t : Af t e r o b t a i n i n g a n d t r a ns mi s s i o n p r o c e s s i n g, En g i n e e r i n g i ma g e wi l l b e a l wa ys d i s t u r b e d b y a c e r t a i n d e g r e e o f
机应 用, 2 01 1 ( 7 ): 1 8 3 5 — 1 8 3 7 .
系 统 作 为 一 种 积 极 主 动 的安 全 防 护 技 术 提 供 了对 网 络 内
1 7 2 3 一 l 7 3 O .
[ 7 3 肖孟 强 .混合 噪 声 图像 滤波 算 法在 医 学 图像 中的 应 用 研 究 [ D] . 甘
0 引 言
随着 网 络规 模 的不 断 扩 大 , 网络 受 到入 侵 的威 胁 也 越
来越大 , 有 效 阻止 各 种 网 络入 侵 行 为尤 为必 要 。入 侵 检 测
受 到 危 害 之 前 拦 截 和 响 应 入 侵 。基 于 聚类 算 法 的 入 侵 检
测是一种无监督的异常检测算法 , 通 过 对 未标 识 数 据 进 行 分类 , 能 发 现 新 型 的和 未 知 的入 侵 类 型 。
算法 。
k-means算法在网络入侵检测中的应用研究
规则库进行 匹配 , 得 出 正 常 的 数 据 类 型 和 攻 击 的 数 据 类
型 。
的安 全 防护 技 术 , 提 供 了对 内部 攻 击 、 外 部 攻 击 和误 操 作
的实 时 保 护 , 在 网 络 系 统 受 到 危 害 之 前 拦 截 和 响应 入 侵 。
通常 , 入 侵 检 测 的 实 现 包 括 监视 、 分析用户及系统活动 ; 系
用 K D D C u p 1 9 9 9数 据 集 进行 实例 验证 , 结果表明该算法是可行的。
关键 词 : 网络; 入侵检测 ; k me a n s算 法 ;漏 报 率 ; 误 报 率
中 图分 类号 : T 码 : A
文章 编 号 : 1 6 7 2 — 7 8 0 0 ( 2 0 1 3 ) 0 0 2 — 0 1 2 4 — 0 3
c u p 9 9 / k d d c u p 9 9 . h t m1 ), 它 记 录 了美 国 空 军 军 事 网 络 环 境 下 的局 域 网 连 续 9周 的流 量 数 据 , 大约 7 0 0万 条 的 连 接 记
录 。文 章 通 过 对截 获 的数 据包 进 行 分 析 , 将 分 析 的结 果 与
根 据 聚 类 的 标 记来 判 断 网 络数 据 是 否 异 常 。
数据集 ( h t t p : / / a r c h i v e .i c s . u c i .e d u / ml / d a t a b a s e s / k d d —
1 网络 入 侵 检 测 技 术
入侵检测是通过搜集 和分析 网络行 为、 安 全 日志 、 审 计数据 、 其 它 网 络 上 可 以 获得 的信 息 以及 计 算 机 系 统 中若 干关键点的信息 , 检查 网络 或 系 统 中是 否 存 在 违 反 安 全 策 略 的行 为 和 被 攻 击 的迹 象 。 入 侵 检 测 作 为 一 种 积 极 主 动
型 。
的安 全 防护 技 术 , 提 供 了对 内部 攻 击 、 外 部 攻 击 和误 操 作
的实 时 保 护 , 在 网 络 系 统 受 到 危 害 之 前 拦 截 和 响应 入 侵 。
通常 , 入 侵 检 测 的 实 现 包 括 监视 、 分析用户及系统活动 ; 系
用 K D D C u p 1 9 9 9数 据 集 进行 实例 验证 , 结果表明该算法是可行的。
关键 词 : 网络; 入侵检测 ; k me a n s算 法 ;漏 报 率 ; 误 报 率
中 图分 类号 : T 码 : A
文章 编 号 : 1 6 7 2 — 7 8 0 0 ( 2 0 1 3 ) 0 0 2 — 0 1 2 4 — 0 3
c u p 9 9 / k d d c u p 9 9 . h t m1 ), 它 记 录 了美 国 空 军 军 事 网 络 环 境 下 的局 域 网 连 续 9周 的流 量 数 据 , 大约 7 0 0万 条 的 连 接 记
录 。文 章 通 过 对截 获 的数 据包 进 行 分 析 , 将 分 析 的结 果 与
根 据 聚 类 的 标 记来 判 断 网 络数 据 是 否 异 常 。
数据集 ( h t t p : / / a r c h i v e .i c s . u c i .e d u / ml / d a t a b a s e s / k d d —
1 网络 入 侵 检 测 技 术
入侵检测是通过搜集 和分析 网络行 为、 安 全 日志 、 审 计数据 、 其 它 网 络 上 可 以 获得 的信 息 以及 计 算 机 系 统 中若 干关键点的信息 , 检查 网络 或 系 统 中是 否 存 在 违 反 安 全 策 略 的行 为 和 被 攻 击 的迹 象 。 入 侵 检 测 作 为 一 种 积 极 主 动
网络安全中的入侵检测系统设计与优化
网络安全中的入侵检测系统设计与优化随着网络技术的迅猛发展,我们的生活越来越离不开互联网。
然而,网络的普及和便捷性也给各行各业带来了新的安全威胁。
为了保护网络安全,入侵检测系统(Intrusion Detection System,简称IDS)应运而生。
本文将探讨入侵检测系统的设计原理和优化方法,以提升网络的安全性。
首先,入侵检测系统是通过监控网络流量和系统日志等数据,识别并阻止潜在的入侵攻击行为的关键技术。
它能够分析网络流量中的异常行为,警示系统管理员或阻止这些行为。
入侵检测系统主要分为两类:基于签名的入侵检测系统(Signature-based IDS)和基于异常行为的入侵检测系统(Anomaly-based IDS)。
基于签名的入侵检测系统根据已知的攻击特征进行匹配,如果发现网络流量中包含这些特征,系统就会发出报警。
这种方法的优点是准确率较高,能够及时发现已知的攻击行为。
然而,对于未知的攻击行为,基于签名的系统很难进行有效检测。
因此,针对新型攻击行为的应对能力相对有限。
基于异常行为的入侵检测系统通过学习网络的正常行为模式,检测出与正常行为不符的异常行为。
这种方法能够识别未知的攻击行为,但也容易产生误报。
为了提高准确性,可以结合基于签名的方法进行检测。
优化入侵检测系统的方法有很多,下面我们将介绍几种常用的优化技术。
首先是特征选择(Feature Selection)。
在网络流量分析中,有大量的特征可以选择,但并非所有的特征都对于入侵检测有效。
通过选择合适的特征,可以减少特征维度,提高检测的速度和准确性。
常用的特征选择方法有互信息、卡方检验和信息增益等。
其次是机器学习算法的选择。
入侵检测系统通常使用机器学习算法对网络数据进行分类和预测。
选择合适的机器学习算法对于系统的性能至关重要。
常用的机器学习算法有支持向量机(Support Vector Machine)、朴素贝叶斯(Naive Bayes)和随机森林(Random Forest)等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
范, 在网络系统 受 到危 害 之前 识别 和 拦截入 侵 行 为。 入侵检测原理如图 1 所示。 从 图 1 以看 出 : 可 通过对历史 行为、 定行为模 式 特 等 的分析 , 以制订 出安 全 ( 侵 ) 可 入 规则库 , 而指 导 进
当前 系统 的入侵检测 , 实现对入侵行为 的识别和 预防。
Dso eyi D tb s ) 是 指从 大 型数据 库 或数 据仓 i vr n aa a e , c
1 引言
随着 Ient n re 的迅速发展 , t 信息安全 日益受到人们 的关 注, 为网络安全一 个组成部分 的入侵检 测技术 作 被重视起 来 , 并逐渐成为 保障 网络信 息安全不可 缺少 的部分 。基于 内容的 网络安全解决方案成为 人们研 究
关 心 王 新 ( 湛江 师范学院 广东省湛江市 5 4 4 ) 2 0 8
摘要 : 文介绍 了入侵检测 系统的基本概念 , 本 分析 了数据挖掘技术在入侵检 测 系统 中的应用。本 文主要研 究 了聚
类分析 中的 k— a s算法在入侵规则 匹配 中的应 用 , 出了该算法 的不足 , me n 指 通过对传 统 k —me n a s算法的改进 解决 了聚类算 法固有的无法预知最佳聚类个数和分类过 细的问题 。提 高了系统的规 则匹配效率。 关键词 : 入侵检测 数据挖掘 聚类分析
trs 、 en ) 约束 ( o s a t) 可视 化 ( i azt n ) C nt is 、 rn V u lai s 等。 s i o
广泛地 审计 数据来得 到模 型 , 而精确地捕 获实际 的 从
入 侵和 正常 的行 为 模 式。数 据 挖 掘 ( M, aa Mi D D t n — i ) 又称 为 数 据 库 中 的知 识 发 现 ( D K o tg n , g K D, n wa e
的重 点 之一 。
库中提取隐含 的、 未知的、 常的及有潜在应 用价值 的 异
信息 或模式 。它是数据库研 究中的一个很有价值 的新 领域 , 融合 了人 工智能 、 器学 习、 机 统计 学等 多个领域 的理论和技术。
传统 的信 息安全方 法采用严格 的访 问控 制和 数据
加密策略来保 护 , 在复 杂系统 中 , 这些策略 是必 要 的,
图 1 入 侵 检 测 原 理
2 数据挖掘技术
为 了应对入侵 检测 系统信息 量大 的问题 , 们引 人
入 了数据挖掘技 术。将数据挖掘应用于入 侵检测能够
数据 挖 掘 发 现 的 知 识形 式通 常有 : 念 ( o — 概 C n
cps 、 则 ( u s 、 律 ( e u re ) 模 式 ( a— e t)规 Rl )规 e Rg li s 、 at i Pt
为 数据进行 挖掘后找 出特征和规 则 , 然后 以一定 的方 式表达 出来 , 系统将 它与知识库 中的模 式进行 匹配 检
测。
数据挖掘必须具 备以下几 个方 面的要 素 , 能获 才 得满意 的结果 :
2 1规模 .
( )评价 。可以对数据挖掘后所提 取的 网络安全 5
异常模 式或正 常模式进 行评价 , 如果能 够有效地检测
一
方便地 把海量 的网络信息分成 若干 的性 质不同 的簇 ,
通过进一步的模式匹配来发现其 中的攻击行为。本文 使 用了聚类规则中经典的 k— a s算法。 me n
般 由用户提 出的即时 随机查询 , 往不 能形 成 往
4 1 传统 k e n 算法的缺点 . —m a s
要从数据 中挖掘 出规律 , 则数据源 的规 模必须大 。 如何 从如此 海量的数据 中有效地提取 出有 用的信息 , 需要各方面技术 的协调 ; 2 2 历史数据 . 数据挖掘必须 对数据进行 长期趋 势 的分析 , 数 但 据在时间轴上大 的纵深性是 数据挖掘 的一个新难点
出入侵 行为 , 就说 明它是成 功的 , 否则 的话 , 可 以重 就 复执行上述过程 , 直至得出满意 的结果为止。
这些知识可以直接提供给决策者 , 用以辅助决策过程 ; 或者提供给领域专 家 , 修正专家己有的知识体 系 ; 也可 以作 为新 的知 识转存到应 用系统 的知识 存储 机构 中,
维普资讯
20 年 第 9 期 07
计 算 机 系 统 应 用
如专家系统 (x e ytm)规 则库 (u a e 等。 Ep rSs t e 、 R lBs ) e
4 聚类分析 与 k m a s — e n 算法
聚类就是将数据 对象分组成 为 多个类或 簇 , 划分
的原则是在 同一 个簇 中 的对 象之 间具 有较高 的相似 度, 而不 同簇 中的对象差 别较 大。利 用这 个特性 能够
2 3 数据集成和综合性 .
数据挖掘可能要面对的是 关系非常复杂 的全 局模 式 的知识发 现 , 注意 力可 以更集 中于数据采掘 的核 但 心 处理 阶段 ; 2 4 查询支持 .
但不是充分的。入侵检测系统是检 测企 图破 坏系统资 源 的可用性、 真实性 和完整性 行为 的软 硬件。它 能实
时监测系统的活动 , 实时 的发现攻击行为( 甚至 即将发
生的攻击行为 ) 并采取相应 的措施来避免攻击 的发生 , 或尽量减少攻击产生的危害 。 入侵 检 测系统 作 为一 种积极 主动 的安 全防 护 系 统, 它提供了对 内部攻 击、 外部攻击和误操作 的实时防
维普资讯
计 算 机 系 统 应 用
20 年 第 9 期 07
基 于 k—m en a s改进 算法 的入 侵 检测 系统 的研 究
Re e r h o DS B s d on Da a M i i g s a c fI a e t n n
当前 系统 的入侵检测 , 实现对入侵行为 的识别和 预防。
Dso eyi D tb s ) 是 指从 大 型数据 库 或数 据仓 i vr n aa a e , c
1 引言
随着 Ient n re 的迅速发展 , t 信息安全 日益受到人们 的关 注, 为网络安全一 个组成部分 的入侵检 测技术 作 被重视起 来 , 并逐渐成为 保障 网络信 息安全不可 缺少 的部分 。基于 内容的 网络安全解决方案成为 人们研 究
关 心 王 新 ( 湛江 师范学院 广东省湛江市 5 4 4 ) 2 0 8
摘要 : 文介绍 了入侵检测 系统的基本概念 , 本 分析 了数据挖掘技术在入侵检 测 系统 中的应用。本 文主要研 究 了聚
类分析 中的 k— a s算法在入侵规则 匹配 中的应 用 , 出了该算法 的不足 , me n 指 通过对传 统 k —me n a s算法的改进 解决 了聚类算 法固有的无法预知最佳聚类个数和分类过 细的问题 。提 高了系统的规 则匹配效率。 关键词 : 入侵检测 数据挖掘 聚类分析
trs 、 en ) 约束 ( o s a t) 可视 化 ( i azt n ) C nt is 、 rn V u lai s 等。 s i o
广泛地 审计 数据来得 到模 型 , 而精确地捕 获实际 的 从
入 侵和 正常 的行 为 模 式。数 据 挖 掘 ( M, aa Mi D D t n — i ) 又称 为 数 据 库 中 的知 识 发 现 ( D K o tg n , g K D, n wa e
的重 点 之一 。
库中提取隐含 的、 未知的、 常的及有潜在应 用价值 的 异
信息 或模式 。它是数据库研 究中的一个很有价值 的新 领域 , 融合 了人 工智能 、 器学 习、 机 统计 学等 多个领域 的理论和技术。
传统 的信 息安全方 法采用严格 的访 问控 制和 数据
加密策略来保 护 , 在复 杂系统 中 , 这些策略 是必 要 的,
图 1 入 侵 检 测 原 理
2 数据挖掘技术
为 了应对入侵 检测 系统信息 量大 的问题 , 们引 人
入 了数据挖掘技 术。将数据挖掘应用于入 侵检测能够
数据 挖 掘 发 现 的 知 识形 式通 常有 : 念 ( o — 概 C n
cps 、 则 ( u s 、 律 ( e u re ) 模 式 ( a— e t)规 Rl )规 e Rg li s 、 at i Pt
为 数据进行 挖掘后找 出特征和规 则 , 然后 以一定 的方 式表达 出来 , 系统将 它与知识库 中的模 式进行 匹配 检
测。
数据挖掘必须具 备以下几 个方 面的要 素 , 能获 才 得满意 的结果 :
2 1规模 .
( )评价 。可以对数据挖掘后所提 取的 网络安全 5
异常模 式或正 常模式进 行评价 , 如果能 够有效地检测
一
方便地 把海量 的网络信息分成 若干 的性 质不同 的簇 ,
通过进一步的模式匹配来发现其 中的攻击行为。本文 使 用了聚类规则中经典的 k— a s算法。 me n
般 由用户提 出的即时 随机查询 , 往不 能形 成 往
4 1 传统 k e n 算法的缺点 . —m a s
要从数据 中挖掘 出规律 , 则数据源 的规 模必须大 。 如何 从如此 海量的数据 中有效地提取 出有 用的信息 , 需要各方面技术 的协调 ; 2 2 历史数据 . 数据挖掘必须 对数据进行 长期趋 势 的分析 , 数 但 据在时间轴上大 的纵深性是 数据挖掘 的一个新难点
出入侵 行为 , 就说 明它是成 功的 , 否则 的话 , 可 以重 就 复执行上述过程 , 直至得出满意 的结果为止。
这些知识可以直接提供给决策者 , 用以辅助决策过程 ; 或者提供给领域专 家 , 修正专家己有的知识体 系 ; 也可 以作 为新 的知 识转存到应 用系统 的知识 存储 机构 中,
维普资讯
20 年 第 9 期 07
计 算 机 系 统 应 用
如专家系统 (x e ytm)规 则库 (u a e 等。 Ep rSs t e 、 R lBs ) e
4 聚类分析 与 k m a s — e n 算法
聚类就是将数据 对象分组成 为 多个类或 簇 , 划分
的原则是在 同一 个簇 中 的对 象之 间具 有较高 的相似 度, 而不 同簇 中的对象差 别较 大。利 用这 个特性 能够
2 3 数据集成和综合性 .
数据挖掘可能要面对的是 关系非常复杂 的全 局模 式 的知识发 现 , 注意 力可 以更集 中于数据采掘 的核 但 心 处理 阶段 ; 2 4 查询支持 .
但不是充分的。入侵检测系统是检 测企 图破 坏系统资 源 的可用性、 真实性 和完整性 行为 的软 硬件。它 能实
时监测系统的活动 , 实时 的发现攻击行为( 甚至 即将发
生的攻击行为 ) 并采取相应 的措施来避免攻击 的发生 , 或尽量减少攻击产生的危害 。 入侵 检 测系统 作 为一 种积极 主动 的安 全防 护 系 统, 它提供了对 内部攻 击、 外部攻击和误操作 的实时防
维普资讯
计 算 机 系 统 应 用
20 年 第 9 期 07
基 于 k—m en a s改进 算法 的入 侵 检测 系统 的研 究
Re e r h o DS B s d on Da a M i i g s a c fI a e t n n