基于數(shù)據(jù)預(yù)處理的入侵檢測系統(tǒng)研究.pdf

1、隨著互聯(lián)網(wǎng)的迅速發(fā)展和網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，新的攻擊方法層出不窮，單純的防火墻策略已經(jīng)無法滿足當(dāng)前的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。在這種需求背景下，入侵檢測系統(tǒng)應(yīng)運(yùn)而生，成為保證網(wǎng)絡(luò)安全的第二道大門。但傳統(tǒng)的入侵檢測系統(tǒng)仍存在一些缺陷，如在檢測率和誤報(bào)率等方面還不盡人意。 本文致力于對基于數(shù)據(jù)預(yù)處理的入侵檢測系統(tǒng)的研究，即在常規(guī)入侵檢測系統(tǒng)的基礎(chǔ)上，加入預(yù)處理子系統(tǒng)。通過巧妙設(shè)計(jì)，使數(shù)據(jù)預(yù)處理子系統(tǒng)和入侵檢測子系

2、統(tǒng)相互配合工作，從而將異常檢測技術(shù)與誤用檢測技術(shù)有機(jī)結(jié)合，使二者能夠發(fā)揮各自的優(yōu)勢，最終達(dá)到使入侵檢測系統(tǒng)進(jìn)一步提高檢測率，降低誤報(bào)率的目的。為此，主要做了以下幾方面的工作： 1.對入侵檢測技術(shù)相關(guān)理論進(jìn)行綜合概述。包括對入侵檢測技術(shù)的概述，對常見入侵檢測算法的對比、分析，對常見模式匹配算的對比、分析。通過對以上基礎(chǔ)理論的研究分析，得出一些有用結(jié)論。 2.提出基于數(shù)據(jù)預(yù)處理的入侵檢測系統(tǒng)模型的新設(shè)計(jì)方案。通過對模型進(jìn)行巧

3、妙設(shè)計(jì)，使數(shù)據(jù)預(yù)處理子系統(tǒng)和入侵檢測子系統(tǒng)相互配合工作，從而達(dá)到將異常檢測技術(shù)與誤用檢測技術(shù)有機(jī)結(jié)合的目的。 3.提出賦權(quán)TCM-KNN算法。一方面，新定義的奇異值使不屬于正常樣本的奇異值遠(yuǎn)遠(yuǎn)大于在該正常類中樣本的奇異值，因而它能充分地將非正常數(shù)據(jù)與正常數(shù)據(jù)進(jìn)行隔離。另一方面，在K值的確定過程中，針對不同類別分別采用賦權(quán)取整的方法來確定K值，進(jìn)一步提高了算法的精確度。 4.對Snort系統(tǒng)的預(yù)處理器和檢測引擎進(jìn)行改進(jìn)，使