共查询到20条相似文献,搜索用时 130 毫秒
1.
入侵检测系统中关联规则挖掘技术的研究 总被引:2,自引:0,他引:2
在入侵检测系统中使用关联规则分析,挖掘网络数据中系统特征之间的关联关系,创建正常行为库,找出异常连接.描述了一种改进的FP_树算法--NFP_树算法,用以进行入侵检测关联规则的挖掘,实验证明,此算法比传统的关联算法在入侵检测中的应用效果更好. 相似文献
2.
入侵检测是保障网络安全的重要手段。对入侵检测系统产生的警报信息进行关联分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。本文提出了一种分布式入侵检测警报数据关联模型,模型通过警报数据聚类和高层事件关联消除或减少重复警报,降低误警率,发现高层攻击策略。最后给出了警报聚类关联实现算法,该算法通过警报数据相似度的计算来实现警报聚类。 相似文献
3.
基于异常的入侵检测系统常采用关联规则挖掘算法,关联规则算法的最小支持度和最小置信度设置不仅要影响入侵检测系统的检出率和虚警率,还要影响入侵检测系统的负荷。本文提出遗传算法搜寻关联规则算法最小支持度和最小置信度最优的设置范围,为实时的入侵检测系统的关联规则挖掘算法提供参数参考,改善入侵检测系统的实时性,提高检出率,降低虚警率。 相似文献
4.
入侵检测系统的检测性能很大程度上取决于规则库的更新.网络安全的日益严峻对入侵检测系统的规则提取提出了更高要求.提出了将关联规则算法运用于入侵检测系统规则库更新的设想,阐述了传统的关联规则算法,并针对其入侵检测系统中的应用进行改进.以Snort为例,详细描述了用改进的关联规则算法挖掘网络数据集,然后将结果转换为入侵检测规则的过程,并以实验说明了应用关联规则构建入侵检测系统规则库的可行性. 相似文献
5.
基于关联规则的入侵检测系统 总被引:6,自引:0,他引:6
在利用关联规则的入侵检测系统中,为了得到关联规则,必须首先通过数据挖掘从已搜集到的大量的网络数据包中获取频繁集,这是一个运算量巨大和系统负荷较重的过程。论文重点介绍了关联规则挖掘算法的优化策略。实验测试结果表明,优化后的算法在挖掘速度和检出率等性能上有较大提高,说明该算法的优化策略是有效的。 相似文献
6.
复合攻击是网络入侵的主要形式之一。如何检测复合攻击是当前入侵检测研究的一个重要方向,经过对复合攻击模式的大量研究,提出了一种基于自动调节的警报关联模型。为了提高入侵检测系统的效率,针对入侵检测系统的特点,将数据挖掘技术引入模型中。阐述了使用为关联规则提取所优化的Apriori算法,对日志文件进行特征分析与知识发掘的入侵检测系统模型的设计。 相似文献
7.
为了从检测数据中发现潜在的、有效的入侵检测规则,提高入侵检测系统的检测率,提出一个基于分类关联规则的入侵检测系统模型。系统对数据集进行预处理,再利用改进的分类关联规则挖掘算法I-Apriori-TFP(total-from-partial)来产生所有的分类关联规则,并基于已产生的分类关联规则建立一个分类器,分类器经测试数据测试后,生成检测代理,最后利用检测代理对网络数据进行检测。实验结果表明,该方法能够有效地检测出网络数据中的入侵行为。 相似文献
8.
针对审计日志记录的特性,本文提出了一种基于聚集信息矩阵的高效增量式关联规则的挖掘算法,并解决了当最小支持度改变以及审计数据动态更新时相应的关联规则的更新问题。算法提高了审计日志数据库关联规则挖掘的效率,更加适用于入侵检测系统,能基本满足实时入侵检测系统的需要。 相似文献
9.
由于网络入侵检测系统的实时性要求,将传统的关联规则挖掘算法直接应用到入侵检测系统中,运行效率往往不能满足实际的需要.考虑到网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FIDF,它改变了候选项集的产生顺序,优先寻找最大频繁项集.该算法只需扫描一次数据库,且当事务数据库和支持度阈值改变时,无需重新扫描数据库,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性. 相似文献
10.
本文分析无线网络入侵检测的特点,提出来基于时间窗口关联规则挖掘算法。分析与实验结果表明,基于时间窗口关联规则挖掘算法在效率等方面更优越,在入侵检测中取得了较好的效果。 相似文献
11.
语音段的有效表示方法存在易混淆语种和短时语音段识别率较低等问题,为满足不同时长和方言的识别要求,提出基于深度神经网络不同层的有效语音段表示方法.采用含有中间瓶颈层的深层神经网络作为前端特征提取,综合利用该网络的输出层和中间瓶颈层输出结果,得到不同形式的语音段表示并用于语种识别.在美国国家标准技术局语种识别评测2009年和2011年阿拉伯方言数据集上验证了方法的有效性. 相似文献
12.
13.
14.
15.
针对目前网络报警信息融合方法仅以单时间点为处理单元,无法适应网络攻击逐渐呈现出的隐蔽性强、持续时间长等特点,提出一种基于时间对抗的网络报警深度信息融合方法。面对多源异构报警数据流,首先采集并保存当前一个较长时间窗口内的报警信息,然后利用基于滑动窗口的流聚类算法对报警信息进行聚类,最后引入窗口衰减因子对聚类后的报警进行深度融合。真实数据的实验结果显示,与基本DS证据理论(Basic-DS)和指数加权DS证据理论(EWDS)融合方法方法相比,该方法有较高的检测率和较低的误检率,但因为采用了更长的时间窗口,精简率上略低;实际测试与性能分析也表明,该算法的时延较小,能更加有效地检测网络攻击,且能完成实时处理。 相似文献
16.
基于序列分析的报警综合处理研究 总被引:3,自引:0,他引:3
针对入侵检测系统的报警数量多的问题,文章详细介绍了怎样用序列分析的方法处理入侵检测系统的报警数据,使之只产生能反映入侵重要特征的报警。简要介绍了序列分析的方法,说明了报警分析算法,对报警进行了分类。给出了基于序列分析的报警分析模型,它包括两个代理:学习代理和检测代理。最后针对报警数据进行了仿真试验,并说明了将来的研究计划。 相似文献
17.
18.
针对目前入侵检测系统存在的海量重复告警、误报率偏高、告警质量低下等问题,提出一种基于信息熵的IDS告警预处理方法,用于减少误告警,聚合相似告警,生成代表单步攻击意图的超告警。首先,对IDS告警进行特征提取,用告警密度、告警周期值、源IP对应的目的IP数与攻击源威胁度这4个特征的信息熵融合结果表示一条告警所具有的特征信息量。通过与误告警的特征向量进行互雷尼信息熵的计算,从而识别出误告,并且去除误告。然后对误告去除后的告警按照IP对应关系,划分为2类:一种源IP对应一种目的IP的告警以及一种源IP对应多种目的IP的告警。分别对2类告警进行特征统计,构造5维特征信息熵向量,采用DBSCAN算法将信息量相同或者相似的告警进行聚类。最后对各个类别的告警进行动态时间窗口划分,并构建出代表单步攻击意图的超告警。实验结果表明,基于信息熵的告警预处理方法误告去除率为87.43%,告警聚合率达到98.63%,具有较好的误告去除效果以及较高的告警聚合率。 相似文献
19.
入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。 相似文献
20.
基于模糊综合评判的入侵检测报警信息处理 总被引:20,自引:2,他引:18
提出一种基于模糊综合评判的方法来处理入侵检测系统的报警信息、关联报警事件,并引入有监督的确信度学习方法,通过确信度来对报警信息进行进一步的过滤.通过对这些技术手段的综合使用,力求降低误报率和重复报警,逐步减轻网络管理员的工作强度.这种模糊评判所实现的事件关联有助于发现入侵者的行为序列,为事件威胁分析和入侵响应决策打下了基础,并有利于将不同安全产品集成在一起,实现网络系统的立体防御. 相似文献