基于數(shù)據(jù)挖掘技術(shù)的混合入侵檢測系統(tǒng)模型研究.pdf

1、密級桂林電子科技大學(xué)碩士學(xué)位論文（全日制工程碩士）（全日制工程碩士）題目基于數(shù)據(jù)挖掘技術(shù)的混合入侵檢測系統(tǒng)模型研究（英文）（英文）StudyofHybridIntrusionDetectionSystemmodelBasedonDataMiningTechnology研究生學(xué)號:10211211研究生姓名:劉家星指導(dǎo)教師姓名、職務(wù)指導(dǎo)教師姓名、職務(wù):朱國魂副教授申請學(xué)位門類:工程碩士學(xué)科、?？?、專業(yè):計算機(jī)技術(shù)提交論文日期:2012年9

2、月論文答辯日期:2012年12月摘要I摘要傳統(tǒng)入侵檢測系統(tǒng)在匹配行為模式時，必須事先知道這些行為模式的類別，然后根據(jù)安全領(lǐng)域?qū)＜抑R背景手工編碼，因而存在適應(yīng)性、有效性和擴(kuò)展性方面的缺點。在入侵檢測系統(tǒng)中引入數(shù)據(jù)挖掘技術(shù)，可以自動為行為模式編碼，并通過歸納、聚類，分類等手段對審計數(shù)據(jù)進(jìn)行分析，從中挖掘出隱含的異常行為模式。從而改進(jìn)了傳統(tǒng)方法的缺點。本文從入侵檢測系統(tǒng)的有關(guān)概念和數(shù)據(jù)挖掘的相關(guān)技術(shù)介紹出發(fā)，通過分析關(guān)聯(lián)規(guī)則、分類、聚類分析

3、等數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用，在典型的MADAMID模型和ADAM模型的基礎(chǔ)上，構(gòu)建了一個基于數(shù)據(jù)挖掘技術(shù)的混合入侵檢測系統(tǒng)模型。主要研究成果如下：（1）研究了數(shù)據(jù)挖掘算法中的meansk?算法和???meansk算法，結(jié)合meansk?算法和???meansk算法的優(yōu)缺點，提出了一種基于半徑的???meansk算法，理論和實驗結(jié)果證明該算法在執(zhí)行效率和聚類準(zhǔn)確率上要優(yōu)于meansk?算法和???meansk算法。（2）在構(gòu)建聚

4、類分析模塊時，將聚類算法和樸素貝葉斯分類算法結(jié)合起來，通過概率統(tǒng)計方式提高聚類算法的準(zhǔn)確率。（3）在構(gòu)建濫用檢測引擎時，將規(guī)則庫中沒有的入侵行為劃分為未知的入侵行為和錯誤報警兩類，通過關(guān)聯(lián)規(guī)則算法對系統(tǒng)日志進(jìn)行分析，從而使模型具備檢測未知入侵行為的能力。（4）通過分析典型的MADAMID模型和ADAM模型的優(yōu)缺點，結(jié)合異常檢測和濫用檢測兩種入侵檢測方式，利用???meansk算法和樸素貝葉斯分類算法構(gòu)造關(guān)聯(lián)規(guī)則分析模塊和聚類分析模塊，構(gòu)

5、建了一個基于數(shù)據(jù)挖掘技術(shù)的混合入侵檢測系統(tǒng)模型。本文采用KDDCUP99數(shù)據(jù)集在開源軟件Weka上進(jìn)行仿真實驗。結(jié)果表明，本文提出的基于數(shù)據(jù)挖掘技術(shù)的混合入侵檢測系統(tǒng)模型相比于MADAMID模型，準(zhǔn)確率提高約38.2%，檢測率提高約26.2%，誤報率降低約33.3%；相比ADAM模型，準(zhǔn)確率提高約29.6%，檢測率提高約20.4%，誤報率降低約22.8%。關(guān)鍵詞：關(guān)鍵詞：入侵檢測；數(shù)據(jù)挖掘；聚類分析；樸素貝葉斯分類；關(guān)聯(lián)規(guī)則；means