基于數(shù)據(jù)挖掘算法的入侵檢測(cè)研究.pdf

1、入侵檢測(cè)是一種用于發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為并對(duì)其做出反應(yīng)的過程。通過對(duì)網(wǎng)絡(luò)攻擊類型和入侵檢測(cè)方法的研究，發(fā)現(xiàn)常用的入侵檢測(cè)方法不能很好的檢測(cè)基于數(shù)據(jù)包負(fù)載的攻擊，即對(duì)于U2R和R2L這兩類攻擊的檢測(cè)率較低，但這兩類攻擊對(duì)網(wǎng)絡(luò)或系統(tǒng)也會(huì)造成較大威脅。因此，對(duì)于提高U2R和R2L這兩類攻擊的檢測(cè)率的研究非常有必要。
　　本文首先分析了對(duì)于U2R和R2L兩類攻擊檢測(cè)率低的原因，研究發(fā)現(xiàn)原因有兩點(diǎn):第一，KDD CUP99

2、數(shù)據(jù)集中存在的大量的冗余記錄導(dǎo)致了數(shù)據(jù)集的嚴(yán)重偏斜，從而導(dǎo)致了學(xué)習(xí)算法從頻繁記錄中學(xué)到的知識(shí)多，從不頻繁記錄中學(xué)到的知識(shí)少;第二，不像DoS和Probe攻擊，U2R和R2L攻擊的數(shù)據(jù)記錄中不具有頻繁的序列模式，因此，如果對(duì)R2L、U2R兩類攻擊和DoS、Probe兩類攻擊不加區(qū)分的進(jìn)行檢測(cè)，R2L和U2R的檢測(cè)率很難提高。針對(duì)以上兩點(diǎn)原因，本文提出了一種基于支持向量機(jī)和貝葉斯分類的入侵檢測(cè)模型，模型首先利用BIRCH聚類算法對(duì)訓(xùn)練數(shù)據(jù)集

3、進(jìn)行規(guī)約處理，從而消除訓(xùn)練數(shù)據(jù)集的數(shù)據(jù)偏斜現(xiàn)象，接著利用支持向量機(jī)檢測(cè)DoS和Probe攻擊，利用貝葉斯分類算法檢測(cè)U2R和R2L攻擊。
　　實(shí)驗(yàn)結(jié)果顯示，本文模型的整體檢測(cè)率達(dá)到了96.68％，而對(duì)于U2R和R2L兩類攻擊，本文模型的檢測(cè)率分別達(dá)到了68.6％和45.7％，要好于其他模型，對(duì)于R2L的檢測(cè)率仍然非常低，低于50％，其原因是在測(cè)試集中有一種屬于R2L類型的數(shù)據(jù)snmpgetattack，其屬性特征與正常數(shù)據(jù)沒有任何