基于数据挖掘的SNORT网络入侵检测系统

回顾了当前入侵检测技术和数据挖掘技术,对Snort网络入侵检测系统进行了深入的剖析;然后在Snort的基础上构建了基于数据挖掘的网络入侵检测系统模型;重点设计和实现了其中基于k-means算法的异常检测引擎和聚类分析模块,并对k-means算法进行了改进,使其更适用于网络入侵检测系统。     

基于数据挖掘的网络入侵检测技术研究

现有NIDS的检测知识一般由手工编写,其难度和工作量都较大.将数据挖掘技术应用于网络入侵检测,在Snort的基础上构建了基于数据挖掘的网络入侵检测系统模型.重点设计和实现了基于K-Means算法的异常检测引擎和聚类分析模块,以及基于Apriori算法的关联分析器.实验结果表明,聚类分析模块能够自动建立网络正常行为模型,并用于异常检测,其关联分析器能够自动挖掘出新的入侵检测规则.     

基于数据挖掘的Snort系统改进模型

针对Snort系统对新的入侵行为无能为力的缺点,设计了一种基于数据挖掘理论的Snort网络入侵检测系统的改进模型。该模型在Snort入侵检测系统的基础上增加了正常行为模式挖掘模块、异常检测引擎模块和新规则生成模块,使得系统具有从新的入侵行为中学习新规则和从正常数据中学习正常行为模式的双重能力。实验结果表明,新模型不仅能够有效地检测到新的入侵行为,降低了Snort系统的漏报率,而且提高了系统的检测效率。     

基于数据挖掘的网络入侵检测系统设计与实现

设计了一个基于数据挖掘技术的网络入侵检测系统模型。该模型在Snort入侵检测系统的基础上,利用数据挖掘技术增加了聚类分析模块、异常检测引擎和关联分析器。该系统不仅能够有效地检测到新的入侵行为,而且能提升检测的速度,在达到实时性要求的同时,解决了一般网络入侵检测系统对新的入侵行为无能为力的问题。     

基于数据挖掘技术的Snort入侵检测系统的研究

提出了一个基于数据挖掘技术的Snort入侵检测系统的模型。它以Snort入侵检测系统框架为基础,应用数据挖掘技术构建系统正常行为模式,过滤掉网络数据流量中占绝大部分的正常数据,提高了Snort的检测效率。同时,它还可以在一定程度上检测未知攻击,提高了Snort对未知攻击的检测能力。实验表明,该模型具有较好的效益。     

一种改进的Snort系统模型

针对Snort网络入侵检测系统的不足,该文提出了一种基于数据挖掘技术的Snort改进模型。该模型以Snort系统为基础,增加了异常检测模块,在进行规则匹配前,先筛选掉部分正常的数据,减少匹配次数,缩短系统的检测时间。     

基于Snort的IPv6入侵检测系统的研究

本文以著名的开源网络入侵检测系统Snort为基础,通过跟踪国内外网络入侵检测系统的研究动向和Snort的研究热点,在对Snort源代码进行分析的基础上,提出Snort系统在IPv4向IPv6过渡阶段的相应改造方案。通过构造IPv6检测规则,添加IPv6解码模块,IPv6分段重组,IPv6快速检测算法以及对过渡技术的支持,实现了一套同时支持IPv4、IPv6和过渡技术的入侵检测系统。     

Snort入侵检测系统中的规则泛化模型

针对Snort系统不能检测新的入侵行为的缺点,提出一种基于规则泛化的Snort入侵检测系统的改进模型。该模型结合Snort规则的特征和数据挖掘中的知识,提出聚类泛化和最近邻泛化两种新的规则泛化方法来改进规则,增强Snort的检测能力,从而达到识别更多入侵行为的目的。实验结果表明：在不显著增加误报率的前提下,采用规则泛化的Snort能够检测出原来系统不能发现的入侵行为,提高检测率达8.2%。     

基于Snort的IPv6入侵检测系统的研究

本文以著名的开源网络入侵检测系统Snort为基础，通过跟踪国内外网络入侵检测系统的研究动向和Snort的研究热点，在对Snort源代码进行分析的基础上，提出Snort系统在IPv4向IPv6过渡阶段的相应改造方案。通过构造IPv6检测规则，添加IPv6解码模块，IPv6分段重组，IPv6快速检测算法以及对过渡技术的支持，实现了一套同时支持IPv4、IPv6和过渡技术的入侵检测系统。     

一种基于数据挖掘技术的入侵检测模型研究

入侵检测系统是一种检测网络入侵行为并能够主动保护自己免受攻击的一种网络安全技术,是网络防火墙的合理补充。文中分析了入侵检测系统的通用模型,介绍了入侵检测系统的分类,给出了传统的网络检测技术,在此基础上,详细讨论了数据挖掘技术及其在入侵检测系统中的应用,提出了一个基于数据挖掘技术的入侵检测模型,该模型采用了数据挖掘中的分类算法和关联规则。经过实际测试,该模型能够使网络入侵检测更加自动化,提高检测效率和准确度。     

基于Snort的混合入侵检测系统的研究与实现

在分析研究snon系统的优缺点的基础上,利用其开源性和支持插件的优势,针对其对无法检测到新出现的入侵行为、漏报率较高以及检测速度较低等问题,在snon系统的基础上结合入侵检测中的数据挖掘技术,提出一种基于snort系统的混合入侵检测系统模型。该系统模型在snort系统原有系统模型基础上增加了正常行为模式构建模块、异常检测模块、分类器模块、规则动态生成模块等扩展功能模块。改进后的混合入侵检测系统能够实时更新系统的检测规则库,进而检测到新的入侵攻击行为;同时,改进后的混合入侵检测系统具有误用检测和异常检测的功能,从而提高检测系统检测效率。     

基于孤立点检测的自适应入侵检测技术研究

传统的入侵检测技术主要是从已知攻击数据中提取出每种具体攻击的特征规则模式,然后使用这些规则模式来进行匹配。然而基于规则的入侵检测的主要问题是现有的规则模式并不能有效应对持续变化的新型入侵攻击。针对这一问题,基于数据挖掘的入侵检测方法成为了入侵检测技术新的研究热点。本文提出了一种基于孤立点挖掘的自适应入侵检测框架,首先,基于相似系数寻找孤立点,然后对孤立点集合进行聚类,并使用改进的关联规则算法来从孤立点聚类结果中提取出各类入侵活动的潜在特征模式,然后生成可使用的匹配规则模式来添加到现有的规则模式中去,进而达到自适应的目的。本文使用KDD99的UCI数据集进行孤立点挖掘,然后使用IDS Snort的作为实验平台,使用IDS Informer模拟攻击工具进行测试,这两个实验结果表明了本文所提出算法的有效性。     

一种改进的多模式匹配算法在Snort中的应用

模式匹配算法是入侵检测系统的重要组成部分。为进一步提高入侵检测系统的性能和效率,提出一种新的多模式匹配算法——完全自动机匹配算法(CA-AC算法),并将其应用于入侵检测系统Snort中。该算法是对Aho-Corasick算法的改进,根据新算法进行状态转换使得自动机状态减少,相应节约了存储空间。分析了算法的复杂度。实验表明,完全自动机算法在Snort中的应用改进了算法的性能,提高了Snort系统的规则检测效率。     

关联规则向Snort规则转换的应用研究

在入侵检测中的使用关联规则算法,在检测的时候需要重新计算一些统计数据,降低了检测的速度和准确度,所以它提出了一种把数据挖掘的关联规则转化成Snort规则库的方法,这样既提高了入侵检测的速度和准确率,也使得入侵检测具有了一定的自适应能力。