共查询到20条相似文献,搜索用时 187 毫秒
1.
针对异常入侵检测技术中传统聚类方法需要被检测类大小均衡的问题,在商空间粒度理论的基础上,论述了商空间粒度变换可以使复杂问题在不同的粒度世界求解,最终使整个问题得到简化。分析了商空间划分与聚类操作的相似性,提出了基于商空间的粒度聚类方法。将该方法与入侵检测技术相结合,构建了基于商空间粒度聚类的入侵检测系统,用于对KDD CUP 1999数据集的异常入侵检测,实验结果表明该入侵检测系统的性能明显优于基于传统聚类方法的入侵检测系统,从而证明了该方法的正确性和有效性。 相似文献
2.
针对异常入侵检测技术中传统聚类方法需要被检测类大小均衡的问题,在商空间粒度理论的基础上,论述了商空间粒度变换可以使复杂问题在不同的粒度世界求解,最终使整个问题得到简化。分析了商空间划分与聚类操作的相似性,提出了基于商空间的粒度聚类方法,并将该方法与入侵检测技术相结合,构建了基于商空间粒度聚类的入侵检测系统,用于对KDD CUP 1999数据集的异常入侵检测。实验结果表明,该入侵检测系统的性能明显优于基于传统聚类方法的入侵检测系统,从而证明了该方法的正确性和有效性。 相似文献
3.
聚类算法在入侵检测中的应用 总被引:1,自引:0,他引:1
入侵检测中对未知入侵的检测主要由异常检测完成,传统的异常检测方法需要构造一个正常行为特征轮廓的参考模型,但获取完全正常的数据比较困难。介绍的聚类技术是应用到入侵异常检测中的一种较为新颖的技术,是一种无需指导的异常检测技术,可以区分哪些是正常记录,哪些是异常记录。分析了将聚类方法应用于入侵检测中的可行性及对数据处理的标准化方法。另外,给出了基于覆盖的聚类算法与两种经典聚类算法的比较。 相似文献
4.
5.
针对传统的入侵检测技术在大容量网络数据时存在检测性能不足的缺点,研究了一种基于聚类分析算法的新型入侵检测模型,通过聚类分析算法对多维数据进行分析,当不满足聚类要求时,归并邻近数据再次聚类。最后,设计了与K-means算法的对比仿真实验,实验结果表明,基于聚类分析的模型能够有效检测出异常序列,能够抵抗异常攻击。 相似文献
6.
该文对入侵检测的现状进行了分析,在此基础上研究了数据挖掘算法在异常检测和误用检测中的具体应用。对于异常检测,主要研究了分类算法;对于误用检测,主要研究了模式比较和聚类算法,在模式比较中又以关联规则和序列规则为重点研究对象。最后对目前数据挖掘算法在入侵检测中应用所面临的难点进行了分析,并指明了今后的研究方向。 相似文献
7.
数据挖掘算法在入侵检测中的应用研究 总被引:4,自引:0,他引:4
该文对入侵检测的现状进行了分析,在此基础上重点研究了数据挖掘算法在异常检测和误用检测中的具体应用。对于异常检测,主要研究了分类算法;对于误用检测,主要研究了模式比较和聚类算法,在模式比较中又以关联规则和序列规则为重点研究对象。最后对目前数据挖掘算法在入侵检测中应用所面临的难点进行了分析,并指明了今后的研究方向。 相似文献
8.
入侵检测技术是一种主动保护自己免受攻击的网络安全技术,入侵检测系统处于防火墙之后,在不影响网络性能情况下对网络活动进行实时监测。传统的入侵检测系统面对海量的信息数据,不能及时有效地分析处理这些数据,而数据挖掘技术的运用正好能够满足入侵检测系统的要求,合理的分析数据,有效处理数据。文章针对目前入侵检测系统中存在的一些问题,重点阐述了数据挖掘算法在异常检测和误用检测中的具体应用。对于异常检测,主要运用了分类算法;对于误用检测,主要运用了聚类算法、关联规则和孤立点等算法。最后根据基于数据挖掘的入侵检测系统的主要优点对目前数据挖掘算法在入侵检测中应用所面临的难点进行了分析,并设计了国内第一个数据挖掘混合技术的入侵检测算法实例。 相似文献
9.
针对目前入侵检测系统应用时处理类别型数据能力欠缺、误报率高的问题,提出一种改进的无监督异常检测算法。该算法基于k-原型聚类思想对包含混合属性数据聚类,在此基础上运用ID3算法进行分类,有效地解决了k-原型算法的局部最优问题以及对初始聚类数的选取有较强依赖性的问题。实验表明,该算法与现有方法相比具有较好的检测性能并能有效检测出未知入侵行为。 相似文献
10.
回顾了当前入侵检测技术和数据挖掘技术,分析了Snort网络入侵检测系统存在的问题,重点研究了数据挖掘中的关联算法Apriori算法和聚类算法K一均值算法;在Snort入侵检测系统的基础上,增加了正常行为挖掘模块、异常检测模块和新规则生成模块,构建了基于数据挖掘技术的网络入侵检测系统模型。新模型能够有效地检测新的入侵行为,而且提高了系统的检测效率。 相似文献
11.
自动化入侵检测是入侵检测的重要研究方向。传统的入侵检测由于依赖标识数据进行训练,不能做到自动更新规则库和检测新的入侵。提出一种自动检测入侵的方法——基于聚类(Clustering)的未标识数据的检测。它不依赖分类标识数据进行训练,能检测到未知的入侵而保持着很低的误报率。 相似文献
12.
入侵检测中的数据预处理问题研究 总被引:6,自引:0,他引:6
本文重点讨论入侵检测中的数据预处理问题。针对数据预处理的主要内容,给出了聚类要素的格式化处理方法,并将数据约简和规则提取结合到一起,提出了一种基于粗糙聚类方法的入侵检测预处理聚类器。最后用同一个入侵检测系统对预处理后与预处理前的检测结果进行了对比,结果表明该聚类器可有效提高入侵检测的效果。 相似文献
13.
基于数据挖掘的恶意行为检测方法 总被引:1,自引:0,他引:1
1.引言入侵检测系统(Intrusion Detection System,IDS)是一种动态的网络攻击检测技术,能够在网络系统运行过程中发现入侵者的恶意行为和踪迹,并适时地作出反应。它是防火墙之后的第二道安全防线,与防火墙相辅相成,构成了一个完整的网络安全防护系统。 相似文献
14.
基于聚类的LS-SVM的入侵检测方法研究 总被引:1,自引:0,他引:1
本文针对最小二乘法支持向量机在入侵检测中的训练效率低下的缺点,将聚类方法应用其中。该方法主要用来对数据集进行剪枝,有效地减少距离分类面较远的数据集合数量,而使用靠近聚类中心的数据集合作为有效的样本集合,减少样本的训练时间,提高训练效率。实验表明,使用聚类方法提高了最小二乘法支持向量机的训练效率,而且对入侵检测有很好的效果。 相似文献
15.
入侵检测系统是继防火墙、信息加密等传统安全保护方法之后的新一代安全保障技术。在介绍入侵检测系统的基础上,对入侵检测分析技术做了比较详细的分析及概括,介绍分析了传统入侵分析技术的特点和不足,重点对目前IDS产品中广泛使用的特征分析技术进行了研究。 相似文献
16.
入侵检测系统是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。在介绍入侵检测系统的基础上,对入侵检测分析技术做了比较详细的分析及概括,介绍分析了传统入侵分析技术的特点和不足,重点对目前IDS产品中广泛使用的特征分析技术进行了研究。 相似文献
17.
入侵检测通过收集各种网络数据,从中分析和发现可能的入侵攻击行为。为了增强入侵检测从海量数据中发现攻击行为的能力和提高入侵检测的智能性,数据挖掘被引入到入侵检测领域,以实现智能化的知识发现和入侵检测模型的建立。聚类分析是数据挖掘中的一种重要的技术,能够通过无监督的学习过程发现隐藏的模式,具有独立地发现知识的能力。现有大量关于其在入侵检测领域的应用研究,各种聚类分析方法及改进措施被用于从不同的训练数据集建立入侵检测模型,成为对整个检测系统的一个有力补充。对现有文献中典型的基于聚类的入侵检测模型作了全面的介绍和适当的比较分析,提出了进一步的研究建议。 相似文献
18.
19.
A new intrusion detection system using support vector machines and hierarchical clustering 总被引:2,自引:0,他引:2
Latifur Khan Mamoun Awad Bhavani Thuraisingham 《The VLDB Journal The International Journal on Very Large Data Bases》2007,16(4):507-521
Whenever an intrusion occurs, the security and value of a computer system is compromised. Network-based attacks make it difficult
for legitimate users to access various network services by purposely occupying or sabotaging network resources and services.
This can be done by sending large amounts of network traffic, exploiting well-known faults in networking services, and by
overloading network hosts. Intrusion Detection attempts to detect computer attacks by examining various data records observed
in processes on the network and it is split into two groups, anomaly detection systems and misuse detection systems. Anomaly
detection is an attempt to search for malicious behavior that deviates from established normal patterns. Misuse detection
is used to identify intrusions that match known attack scenarios. Our interest here is in anomaly detection and our proposed
method is a scalable solution for detecting network-based anomalies. We use Support Vector Machines (SVM) for classification.
The SVM is one of the most successful classification algorithms in the data mining area, but its long training time limits
its use. This paper presents a study for enhancing the training time of SVM, specifically when dealing with large data sets,
using hierarchical clustering analysis. We use the Dynamically Growing Self-Organizing Tree (DGSOT) algorithm for clustering
because it has proved to overcome the drawbacks of traditional hierarchical clustering algorithms (e.g., hierarchical agglomerative
clustering). Clustering analysis helps find the boundary points, which are the most qualified data points to train SVM, between
two classes. We present a new approach of combination of SVM and DGSOT, which starts with an initial training set and expands
it gradually using the clustering structure produced by the DGSOT algorithm. We compare our approach with the Rocchio Bundling
technique and random selection in terms of accuracy loss and training time gain using a single benchmark real data set. We
show that our proposed variations contribute significantly in improving the training process of SVM with high generalization
accuracy and outperform the Rocchio Bundling technique. 相似文献
20.
基于支持向量机的入侵检测系统 总被引:76,自引:2,他引:76
目前的入侵检测系统存在着在先验知识较少的情况下推广能力差的问题.在入侵检测系统中应用支持向量机算法,使得入侵检测系统在小样本(先验知识少)的条件下仍然具有良好的推广能力.首先介绍入侵检测研究的发展概况和支持向量机的分类算法,接着提出了基于支持向量机的入侵检测模型,然后以系统调用执行迹(system call trace)这类常用的入侵检测数据为例,详细讨论了该模型的工作过程,最后将计算机仿真结果与其他检测方法进行了比较.通过实验和比较发现,基于支持向量机的入侵检测系统不但所需要的先验知识远远小于其他方法,而且当检测性能相同时,该系统的训练时间将会缩短. 相似文献