基于數(shù)據(jù)預處理的入侵檢測系統(tǒng)研究.pdf

1、隨著互聯(lián)網(wǎng)的迅速發(fā)展和網(wǎng)絡環(huán)境的日趨復雜，新的攻擊方法層出不窮，單純的防火墻策略已經(jīng)無法滿足當前的需要，網(wǎng)絡的防衛(wèi)必須采用一種縱深的、多樣的手段。在這種需求背景下，入侵檢測系統(tǒng)應運而生，成為保證網(wǎng)絡安全的第二道大門。但傳統(tǒng)的入侵檢測系統(tǒng)仍存在一些缺陷，如在檢測率和誤報率等方面還不盡人意。 本文致力于對基于數(shù)據(jù)預處理的入侵檢測系統(tǒng)的研究，即在常規(guī)入侵檢測系統(tǒng)的基礎上，加入預處理子系統(tǒng)。通過巧妙設計，使數(shù)據(jù)預處理子系統(tǒng)和入侵檢測子系

2、統(tǒng)相互配合工作，從而將異常檢測技術(shù)與誤用檢測技術(shù)有機結(jié)合，使二者能夠發(fā)揮各自的優(yōu)勢，最終達到使入侵檢測系統(tǒng)進一步提高檢測率，降低誤報率的目的。為此，主要做了以下幾方面的工作： 1.對入侵檢測技術(shù)相關理論進行綜合概述。包括對入侵檢測技術(shù)的概述，對常見入侵檢測算法的對比、分析，對常見模式匹配算的對比、分析。通過對以上基礎理論的研究分析，得出一些有用結(jié)論。 2.提出基于數(shù)據(jù)預處理的入侵檢測系統(tǒng)模型的新設計方案。通過對模型進行巧

3、妙設計，使數(shù)據(jù)預處理子系統(tǒng)和入侵檢測子系統(tǒng)相互配合工作，從而達到將異常檢測技術(shù)與誤用檢測技術(shù)有機結(jié)合的目的。 3.提出賦權(quán)TCM-KNN算法。一方面，新定義的奇異值使不屬于正常樣本的奇異值遠遠大于在該正常類中樣本的奇異值，因而它能充分地將非正常數(shù)據(jù)與正常數(shù)據(jù)進行隔離。另一方面，在K值的確定過程中，針對不同類別分別采用賦權(quán)取整的方法來確定K值，進一步提高了算法的精確度。 4.對Snort系統(tǒng)的預處理器和檢測引擎進行改進，使