基于數(shù)據(jù)挖掘算法的入侵檢測研究.pdf

1、入侵檢測是一種用于發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為并對其做出反應(yīng)的過程。通過對網(wǎng)絡(luò)攻擊類型和入侵檢測方法的研究，發(fā)現(xiàn)常用的入侵檢測方法不能很好的檢測基于數(shù)據(jù)包負(fù)載的攻擊，即對于U2R和R2L這兩類攻擊的檢測率較低，但這兩類攻擊對網(wǎng)絡(luò)或系統(tǒng)也會造成較大威脅。因此，對于提高U2R和R2L這兩類攻擊的檢測率的研究非常有必要。
　　本文首先分析了對于U2R和R2L兩類攻擊檢測率低的原因，研究發(fā)現(xiàn)原因有兩點:第一，KDD CUP99

2、數(shù)據(jù)集中存在的大量的冗余記錄導(dǎo)致了數(shù)據(jù)集的嚴(yán)重偏斜，從而導(dǎo)致了學(xué)習(xí)算法從頻繁記錄中學(xué)到的知識多，從不頻繁記錄中學(xué)到的知識少;第二，不像DoS和Probe攻擊，U2R和R2L攻擊的數(shù)據(jù)記錄中不具有頻繁的序列模式，因此，如果對R2L、U2R兩類攻擊和DoS、Probe兩類攻擊不加區(qū)分的進(jìn)行檢測，R2L和U2R的檢測率很難提高。針對以上兩點原因，本文提出了一種基于支持向量機(jī)和貝葉斯分類的入侵檢測模型，模型首先利用BIRCH聚類算法對訓(xùn)練數(shù)據(jù)集

3、進(jìn)行規(guī)約處理，從而消除訓(xùn)練數(shù)據(jù)集的數(shù)據(jù)偏斜現(xiàn)象，接著利用支持向量機(jī)檢測DoS和Probe攻擊，利用貝葉斯分類算法檢測U2R和R2L攻擊。
　　實驗結(jié)果顯示，本文模型的整體檢測率達(dá)到了96.68％，而對于U2R和R2L兩類攻擊，本文模型的檢測率分別達(dá)到了68.6％和45.7％，要好于其他模型，對于R2L的檢測率仍然非常低，低于50％，其原因是在測試集中有一種屬于R2L類型的數(shù)據(jù)snmpgetattack，其屬性特征與正常數(shù)據(jù)沒有任何