一、使用关联规则技术构建入侵检测系统行为模式规则库(论文文献综述)
石兰[1](2021)在《入侵报警数据融合与关联分析方法研究》文中认为黑客或恶意攻击者通过各种方法入侵网络,导致网络环境面临着大量具有针对性、隐蔽性和渗透性的潜在威胁,网络安全面临着严峻的挑战。入侵检测系统(Intrusion Detection System,IDS)作为安全防御系统被用来检测网络环境是否存在入侵行为,并针对各种入侵行为产生相应的报警数据,便于安全管理人员采取相应的防御措施,然而IDS在实际应用中会产生大量冗余、错误的报警,使得管理人员难以从中找到关键的报警信息,并且这些低级报警数据不能展示出攻击全貌,从而导致管理人员无法根据完整的攻击过程来识别入侵者的攻击策略。针对上述问题,论文针对入侵报警数据融合与关联分析方法进行研究,旨在减少冗余报警数据,并通过关联分析构建较为全面的攻击场景以识别攻击意图,主要研究工作如下:(1)由于IDS存在的一些缺陷,如冗余报警多、误报率高,以及产生的报警数据只能反应攻击过程中的单步攻击但无法展示攻击全貌的问题,提出一种入侵报警数据融合和关联分析的层次模型。该模型适用于当前复杂的网络环境,并能够应对当前IDS产生的报警冗余率高、误报率高的问题,而且可以全面展示攻击者的攻击过程。此外,还根据构建的模型进行了相应的原型系统设计。(2)针对报警数据中普遍存在大量冗余或者误报的报警,难以从中找出关键的安全事件的问题,且考虑到报警属性间存在着一定的关联,提出一种基于改进谱聚类的报警数据融合方法。为了减少矩阵计算时间,该方法首先将报警数据按照攻击类型进行分组;其次以谱聚类算法为基础,通过利用属性相似度度量方法来计算各组报警数据的相似度,进而将相似度较高的报警数据聚到一个簇中;最后对同一个簇中的报警数据进行融合处理。实验结果表明,该方法可以有效减少冗余报警数据,降低IDS的误报率。(3)针对现有报警关联方法作用比较单一,大多依赖先验知识库难以发现新的攻击模式的问题,提出一种基于攻击场景构建的报警关联分析方法。该方法首先利用动态时间窗口来划分场景;然后考虑到报警之间存在的因果关系,采用基于因果关联和格兰杰因果检验两种互补的关联方法对同一场景中的报警数据进行关联;最后根据关联结果重建攻击场景。实验结果表明,该方法能够提高关联效率,还原出较为完整的攻击过程,并能有效去除孤立的报警数据。
易志宇[2](2021)在《关联规则挖掘算法及其分布式并行化研究》文中研究指明关联规则挖掘能够发掘事物之间的关联,是数据挖掘的一个重要分支。多元应用场景的出现,数据量的不断增长对现行串行算法的挖掘效率提出了更高的要求,因此如何提高现行串行关联规则挖掘算法的运行效率是当前亟须解决的问题。本课题从串行改进和并行改进两个方面来对串行算法的挖掘效率进行优化。本课题首先分析了现行串行关联规则挖掘算法Apriori存在的缺陷,然后针对这些缺陷提出一种结合编码转换、哈希存储与事务压缩的串行改进算法。该算法对事务编码,以位运算代替了集合运算,通过哈希存储实现高效的数据插入与查找,同时在算法运行过程中利用三个阶段的事务压缩来降低运算规模。实验结果表明,该算法挖掘结果准确,算法的整体运行效率和每一轮迭代的运行效率均较原算法具有一定的提升,且在事务重复较多的情况下具有更好的可拓展性。为了进一步提高挖掘效率,本课题在对串行改进算法中存在的性能瓶颈进行细致分析后,提出基于Spark的并行化改进方法。并行改进算法通过Spark算子将串行改进算法中挖掘频繁1-项集、编码转换和迭代挖掘频繁k-项集这三个阶段进行高效的并行化改进,引入负载均衡策略实现数据的均衡划分,并针对Spark平台本身的特点在算法的实现过程中采用三种不同的优化策略。实验结果表明,该算法相较于两种对比算法具有更好的运行效率,同时具有良好的数据可拓展性和节点可拓展性,能够适应数据容量和集群节点的变化。最后为了验证并行改进算法的实用性,将算法应用在网络入侵检测的实际环境中,构建了基于并行改进算法的分布式规则库挖掘框架,该框架能够从网络数据中挖掘用于入侵检测的规则库。实验结果表明,在对一定数量的数据进行挖掘后,生成的规则库对几种常见异常能够达到90%的识别精度。
高妍妍[3](2021)在《基于混合蜜罐的入侵检测技术研究》文中提出互联网的飞速发展极大满足了人们信息交流的需求,促进了科技、教育、文化等方面的快速发展,并成为人们日常工作、学习和生活中不可或缺的部分。互联网技术在给人们提供服务的同时,也不断的带来各式各样的问题,对信息安全产生严重的威胁。互联网的良性发展得益于不断改善的入侵检测技术。入侵检测技术成为一种应对网络安全问题的有效方法,主要得益于其可以搜集网络上计算机系统中不同结点的有效性信息,分析和检查网络中是否存在恶意入侵行为和迹象。常用入侵检测技术侧重对系统的“静态”保护,对未知的攻击行为无法及时应对。主动积极的应对未知攻击行为已经成为网络安全领域的一个挑战。利用蜜罐技术构建主动的防御体系,可以在此问题上有所助益。作为对传统网络安全技术的补充,蜜罐技术提高了入侵检测技术和防火墙在应对攻击时的主动性。本文在分析入侵检测技术和蜜罐技术现在发展情况和现有缺点的基础上,提出了一种混合蜜罐体系来对未知行为进行检测和防御,并利用数据挖掘技术对蜜罐收集到的数据进行处理,找出其内在的联系,生成新的入侵检测规则,更新入侵检测规则库。通过对比分析改进后的入侵检测技术与传统入侵检测技术的实验结果,可以看出改进后的技术比传统技术在检测的准确率上提升了7.89%,误报率和漏报率上分别降低了2.54%和2.88%。本文的具体工作如下:(1)由于混合蜜罐捕获数据量大、噪声多、维度高,在聚类时如果初始聚类中心选取不当,则会降低聚类的准确性,因此本文提出了基于自适应布谷鸟算法的模糊聚类算法。该方法利用自适应布谷鸟算法找到最优的聚类中心,改善了模糊聚类算法对初始点选取依赖的弊端,提高了聚类算法整体的聚类性能。(2)在改进聚类算法的基础上,对混合蜜罐收集到的无标签数据进行聚类处理,根据混合蜜罐中攻击数据量远大于正常数据量的特点,将聚类结果标记为正常行为类和异常行为类,并利用关联规则算法对异常类进行规则提取。并根据入侵检测规则库的格式,对生成的强规则进行转换,并补充到入侵检测规则库中。(3)对基于混合蜜罐的入侵检测实现系统在VMware虚拟平台上进行了实现,包括入侵检测部分、混合蜜罐部分、数据挖掘部分,并展示了各部分的结果。最后对整体架构的性能进行了测试,实验结果表明该系统可以实现对未知攻击的检测,对敏感端口攻击检测的准确率达到91%。
张芷有[4](2020)在《基于数据挖掘的入侵检测方法的研究》文中研究表明随着信息和通信技术的飞速发展,人们对网络信息安全的关注度越来越高,因为任何的网络入侵或攻击行为都有可能造成严重的损失。目前,网络安全的主要防护措施有数据加密、防火墙技术以及入侵检测技术等,其中入侵检测技术不仅能够抵抗外部攻击行为,而且可以识别内部网络的异常访问或者攻击行为。由于网络运行过程中会产生大量的数据,因而数据挖掘技术在发现有价值的信息时起着关键的作用,因此将数据挖掘技术应用到入侵检测中具有无可比拟的优势。针对传统入侵检测方法中存在低检测率、高误报率和漏报率的问题,本文提出了一种基于模糊c-均值与支持向量机的集成式入侵检测方法。具体的研究内容和创新点如下:(1)本文重点研究了模糊c-均值算法的原理。针对模糊c-均值算法中存在容易陷于局部最优解的缺陷以及没有考虑到特征之间的重要程度存在差异性的问题,提出了使用信息增益比来作为特征重要性程度的判别指标,并将其融入到欧氏距离公式中。同时使用密度的方法来选择初始的聚类中心,防止该算法陷入局部最优解中。最后使用两种不同的数据集对改进的模糊c-均值算法进行验证,通过实验表明,与传统的模糊c-均值算法相比,改进的算法能够实现更好的聚类效果、降低了熵值并且适用于高维的数据集中。(2)本文提出了一种基于模糊c-均值与支持向量机相集成的入侵检测方法。该方法使用改进的模糊c-均值算法来构建高质量的小型训练数据集,这样能够显着地减少训练所需的时间并且提高了分类器的性能,然后使用支持向量机多分类算法进行训练来获得最佳的模型,并对测试集中的数据的攻击类型进行预测以及评估该方法的性能。本文使用NSL-KDD数据集进行实验,实验结果表明本文所提出的入侵检测方法能够准确地检测出各种攻击行为,并且降低了误报率和漏报率。
牛强强[5](2020)在《基于机器学习的Web异常检测算法设计与实现》文中研究说明近些年来,伴随着互联网技术的迅速普及与发展,网络安全事件频繁发生。不仅对网络用户的经济财产造成了巨大的损失,也对网络服务的提供商造成了许多不良影响。随着互联网服务逐渐趋于开放、便捷,以Web服务为主的互联网服务逐渐占据了网络服务中的主导地位。但是,由于Web服务自身的特点,使其易于遭受到黑客的攻击。在严峻的Web安全问题面前,如何高效的识别Web攻击事件,主动的进行Web攻击检测与防护,是目前网络安全领域的重要需求。传统的Web攻击检测方法主要基于已经发生的Web攻击而总结出规则库,通过匹配关键字或规则库来检测Web攻击,它可以有效地检测已有的网络攻击模式,但也有很大的局限性。一方面,这种攻击检测方法只能识别规则库中已经存在的攻击方式,无法响应新的攻击方式,灵活的黑客也可以轻松绕过这些规则。另一方面,规则库的构建和维护依赖于安全专家,这导致其成本过高而无法广泛使用。针对目前的研究和发展现状,本文引入机器学习和神经网络进行Web异常检测,主要的贡献如下:(1)通过分析Web攻击请求与正常请求的区别,对Web日志数据中HTTP请求字段包含的参数以及特殊字符进行统计分析,提取了若干统计特征用于传统机器学习算法的训练,并通过实验验证了其对于异常检测的有效性,从而得到基于传统机器学习算法的异常检测模型;(2)针对传统机器学习算法过度依赖人工提取特征以及检测性能差的缺点,本文提出一种使用卷积神经网络和门控循环单元相结合的CNN-GRU神经网络模型来检测Web攻击,实验表明该模型的检测性能优于传统机器学习模型;(3)针对目前特征工程中普通词袋模型以及词向量模型无法涵盖HTTP请求中参数长度以及字符个数等统计特征,本文提出使用通过统计分析所提取的统计特征对原始数据进行扩展从而构建了一个将统计特征与CNN-GRU模型相结合的Web异常检测模型,并通过实验验证了该方法可以优化模型的检测效果;(4)在本文所提出的Web异常检测模型基础上,基于Python-flask MVC框架设计并实现了一个Web异常检测系统,该系统包括数据预处理模块,模型训练模块,异常检测模块,攻击行为分析模块,数据存储模块以及可视化模块等六个模块,功能上包含模型训练以及异常检测两大功能。并通过测试验证了系统的功能。
帅俊岚[6](2020)在《基于Linux Shell的用户异常操作检测方法研究》文中提出数据中心作为一种基础设施被广泛地应用于各行各业,数据中心安全防护问题也开始普遍被人们关注。数据中心通常采用配置网络防火墙、用户访问控制等传统安全防护手段来抵御外部的入侵行为,但是从数据中心内部安全防护机制来看,这些安全防护手段难以对用户的一些异常操作进行防护,配置和管理也比较复杂。针对数据中心采用传统安全防护手段存在的不足,设计并实现了基于Linux Shell的异常操作检测系统,系统包括日志收集与预处理、基于规则的异常操作检测和基于命令序列的异常操作检测三个模块。日志收集与预处理模块用于收集合法用户历史执行的Shell日志和被监测用户当前执行的Shell日志,经数据预处理转换成命令序列,为异常操作检测工作做准备。在基于规则的异常操作检测模块中,设计并实现了规则库模型和规则库管理接口,方便管理员进行统一的管理与维护,基于规则库匹配算法对被监测用户执行的Shell命令进行检测,当发现异常操作时,立即中断用户会话。在基于命令序列的异常操作检测模块中,以合法用户历史命令序列为训练集构建用户行为特征库,基于异常命令序列检测算法将被监测用户执行的命令序列与合法用户行为特征库进行相似度计算,根据相似度判决值判定被监测用户操作是否存在异常。实验采用学校数据中心服务器上的用户Shell日志数据,分别从检测效率和检测准确率两个方面对基于规则的异常操作检测方法和基于命令序列的异常操作检测方法进行实验分析。实验结果表明,在实际的数据中心环境中,基于规则的异常操作检测方法有较高的检测效率,基于命令序列的异常操作检测方法有较高检测准确率,能够满足数据中心对用户执行Shell命令的异常检测需求。然而,系统对于服务器网络通信、资源使用状态等指标的异常检测还有待进一步的研究。
张博[7](2020)在《基于机器学习的物联网入侵检测系统研究》文中提出随着物联网产业迅速发展,物联网安全受到严峻挑战。相对于传统互联网特点而言,物联网存在资产大,结构复杂多样,运算资源匮乏等问题。而传统的网络入侵检测系统不能满足物联网对安全的需求。针对这种情况,本文将机器学习算法应用于物联网的入侵检测系统中来提升检测性能。具体研究工作如下。1.将关联规则算法应用于入侵检测系统中,挖掘出所有已知攻击间的关联规则。采用效率较高的FP-growth算法挖掘入侵数据集中的关联规则,通过关联规则库识别物联网入侵行为。挖掘算法在处理数据时会删除未达到支持度要求的攻击类型,这导致部分有效规则被算法忽略。为解决此问题,本文将入侵数据集按照攻击类型划分,再依次对各子数据集进行挖掘。并采用改进的粒子群算法为每个子数据集寻优出最适合的参数组,使挖掘算法更全面的挖掘关联规则。2.通过深度学习来构建入侵检测系统,以卷积神经网络与长短期记忆神经网络为核心构建基于异常的入侵检测系统。其中,卷积神经网络具有局部感受野、权值共享、池化等特点;长短期记忆神经网络可以更好地处理具有长距离属性的数据。因此,本文结合这两种算法来解决误用检测难以检测出新攻击类型的问题,极大提高了入侵检测系统的检测率。3.将上述两种检测系统相互融合,设计出一种以综合算法为核心的物联网入侵检测系统。两种检测模块可以相互更新,使系统在运行时自动升级,从而减少系统的维护成本。最后通过实验证明,本文设计的物联网入侵检测系统在准确率、检测率、精确率、误报率等方面都有着明显的提升,证明了本文所设计的物联网入侵检测系统的实用性。
董福洋[8](2020)在《基于数据挖掘的入侵检测系统设计与实现》文中进行了进一步梳理随着互联网应用的普及,网络攻击逐渐变得频繁,这些网络攻击给用户的信息安全带来了极大的隐患,所以一些网络安全工具逐渐受到了用户的欢迎。Suricata作为一种新型的入侵检测系统,可以通过多线程技术来对网络流量进行分析,并根据内部的规则库来对流量进行过滤,从而实现对网络入侵的高效检测。Suricata系统根据规则库进行匹配从而发现入侵行为,当网络流量变得庞大时,全量匹配规则库会降低入侵检测效率,甚至造成Suricata系统宕机,这一问题在服务端应用中尤为明显。同时,这种匹配的行为忽略了特征间的关系,增加了入侵误报率。本文考虑到Suricata系统存在的这一缺陷,设计了一种基于数据挖据算法的Suricata系统,系统通过对网络数据流量的分析来动态扩展Suricata系统的能力,从而实现了Suricata系统的高效、稳定的运行。在整体实现上面,本文设计了数据包分流算法和规则库更新算法实现了对Suricata系统的改进,算法的分流部分与规则库更新部分构成了一个闭环系统,使Suricata模块能够自适应地处理网络中的数据,尤其是在面对大型服务端应用时,系统能够具有更高的可用性。总体而言,本文所做的工作主要包含以下几个方面的内容:1.数据分流:通过数据挖掘算法K-means离线学习数据包间的关系,对网络数据进行分流,被分流算法判定为可疑的流量才进一步在Suricata系统中进行检测。通过分流算法的处理,减缓数据压力,同时强化数据包间关系,减少入侵误报。2.自动更新Suricata系统的规则存储策略:算法会根据数据挖掘产生的数据来动态更新Suricata系统的后端规则库,从而允许Suricata规则库的动态更新,避免了全量匹配规则库产生的服务器频繁重启或者宕机的问题,提高了系统的可用性。3.对改进后的算法与Suricata算法在误报率和检测率两个方面进行了测试,测试结果表明本文设计的算法降低了50%以上的误报率,而在检测率方面,有40%以上的提升。
李恩燕[9](2020)在《基于经典聚类算法和关联算法的入侵检测系统研究》文中研究表明随着网络通信的快速发展,“互联网+”模式也因此得到了广泛普及。与此同时,以网络入侵为主的黑客技术也在不断朝着更复杂更隐秘的方向发展,导致信息通信网络的安全态势更加严峻,产生的蓄意攻击和破坏造成的影响更加广泛。面对复杂多样的攻击手段,传统的数据库安全机制显得有些乏力。而入侵检测系统(IDS)作为新型的安全防卫系统,它通过发现可能的入侵行为并采取报警等措施来保护数据安全,承担了不可替代的沉重责任,但目前各入侵检测系统由于检测效率低下等问题日益突出,难以将网络保证在安全稳定的状态下运行。故此,为提升入侵检测的性能,更好的解决网络安全问题,进行了基于经典聚类算法和关联算法的入侵检测系统研究。首先,分析了目前国际上入侵检测系统的现状,尤其是在国内安全行业具有重要地位且最受欢迎的入侵检测系统Snort,得出其存在检测时间长和仅能检测已知攻击而造成的检测准确率低等问题;然后,利用基于经典聚类算法和关联算法对Snort系统进行改进,但传统的聚类算法——Kmeans算法本身存在聚类中心k的不确定性导致聚类结果不稳定的问题,同时关联算法——Apriori算法也存在诸如关联程度不够强等问题,故分别提出了通过K近邻算法优化的L-Kmeans算法和额外增加了信任度指标的C-Apriori算法,使得数据挖掘算法能够更好的应用于入侵检测Snort中,得到一种性能更优的改进的Snort;最后,从检测时间和检测准确率两个方面分析L-Kmeans算法和C-Apriori算法应用于入侵检测系统Snort后的优势。实验仿真结果表明,两个算法应用后的Snort相较于传统Snort在检测效率和准确率上均有一定改善,同时还体现出,将数据挖掘算法中的经典聚类算法和关联算法与入侵检测系统相结合,可以使Snort入侵检测技术由传统的仅检测已知入侵转变为主动发现未知的可疑行为,在缩短了检测时间的同时也提高检测准确率。该研究促进了入侵检测技术的发展,进一步提高了网上工作、学习和娱乐等信息传输的安全性。
蔡晶晶[10](2019)在《基于智能网关的网络防御技术研究》文中研究表明计算机通信技术的快速发展,促进了科技的快速进步,如今互联网与物联网已经进入了人们的生产和生活中,同时也出现了大量的网络入侵行为,这些行为通过网络对家庭网络环境做出攻击,盗取家庭信息导致人们的经济财产甚至生命安全得不到保障,这使得网路防御技术的提高有着重要意义。本文在智能网关中应用了基于Snort引擎的网络入侵检测系统对家庭网络进行实时性保护。并对Snort引擎无法检测出网络中新出现的网络入侵行为的缺点做出了优化,结合了机器学习和数据挖掘技术,采用了逻辑回归算法以及Apriori算法,在系统中增加了预测模块和规则动态生成模块,使Snort引擎具备了能够根据网络中异常数据包自动生成规则的能力,同时为了降低系统的丢包率,增强系统的实时性检测性能,我们对Snort引擎的三步规则动态匹配算法也做出了一定的优化措施,减少了系统的匹配次数。在两个方向的优化下提高系统能检测性能。通过对智能网关中Snort系统的研究及优化,提高了网络防御系统的检测效率,使网络入侵检测系统能够更好的实时性保护网络环境安全,给用户一个良好的家庭网络环境。
二、使用关联规则技术构建入侵检测系统行为模式规则库(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、使用关联规则技术构建入侵检测系统行为模式规则库(论文提纲范文)
(1)入侵报警数据融合与关联分析方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| §1.1 研究背景与意义 |
| §1.2 国内外研究现状 |
| §1.2.1 入侵检测系统研究现状 |
| §1.2.2 报警数据融合研究现状 |
| §1.2.3 报警关联分析研究现状 |
| §1.3 主要研究内容 |
| §1.4 论文组织结构 |
| 第二章 相关理论与关键技术 |
| §2.1 入侵检测系统 |
| §2.1.1 入侵检测系统概述 |
| §2.1.2 入侵检测系统体系结构 |
| §2.1.3 入侵检测技术概述 |
| §2.2 报警融合技术 |
| §2.2.1 报警数据 |
| §2.2.2 报警融合概述 |
| §2.3 报警关联技术 |
| §2.3.1 报警关联概述 |
| §2.3.2 攻击场景 |
| §2.3.3 常用的报警关联方法 |
| §2.4 本章小结 |
| 第三章 入侵报警数据融合与关联分析模型设计 |
| §3.1 模型设计 |
| §3.2 分层描述 |
| §3.2.1 数据采集层 |
| §3.2.2 数据预处理层 |
| §3.2.3 报警融合层 |
| §3.2.4 报警关联层 |
| §3.3 原型系统设计 |
| §3.4 本章小结 |
| 第四章 基于改进谱聚类的报警数据融合方法 |
| §4.1 引言 |
| §4.2 基于改进谱聚类的报警数据融合方法设计 |
| §4.2.1 谱聚类算法 |
| §4.2.2 改进的谱聚类算法 |
| §4.2.3 融合方法设计思想 |
| §4.2.4 融合方法实现 |
| §4.3 实验与结果分析 |
| §4.3.1 实验环境 |
| §4.3.2 实验数据 |
| §4.3.3 实验结果分析 |
| §4.4 本章小结 |
| 第五章 基于攻击场景构建的报警关联分析方法 |
| §5.1 引言 |
| §5.2 基于攻击场景构建的报警关联分析方法设计 |
| §5.3 格兰杰因果关系检验 |
| §5.4 基于动态时间窗口的场景划分方法 |
| §5.5 基于因果关系和GCT的报警关联分析方法 |
| §5.5.1 基于因果关系的报警关联方法 |
| §5.5.2 基于GCT的报警关联方法 |
| §5.6 实验与结果分析 |
| §5.6.1 实验环境 |
| §5.6.2 实验结果分析 |
| §5.7 本章小结 |
| 第六章 总结与展望 |
| §6.1 论文研究工作总结 |
| §6.2 下一步研究工作展望 |
| 参考文献 |
| 致谢 |
| 作者在攻读硕士期间的主要研究成果 |
(2)关联规则挖掘算法及其分布式并行化研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 本文主要内容 |
| 1.4 本文组织结构 |
| 2 关联规则挖掘及分布式并行计算研究 |
| 2.1 关联规则挖掘概述 |
| 2.1.1 关联规则基本概念 |
| 2.1.2 关联规则挖掘过程 |
| 2.1.3 常用算法分析 |
| 2.2 并行计算概述 |
| 2.3 分布式并行计算技术分析 |
| 2.3.1 Hadoop框架分析 |
| 2.3.2 Spark框架分析 |
| 2.3.3 影响Spark性能的因素分析 |
| 2.4 本章小结 |
| 3 串行关联规则挖掘算法优化 |
| 3.1 问题分析 |
| 3.2 改进策略与算法分析 |
| 3.2.1 编码转换 |
| 3.2.2 哈希存储 |
| 3.2.3 事务压缩 |
| 3.2.4 算法分析 |
| 3.3 算法实现 |
| 3.3.1 实现细节及伪代码 |
| 3.3.2 算法实例 |
| 3.4 实验与分析 |
| 3.4.1 实验环境 |
| 3.4.2 结果分析 |
| 3.5 本章小结 |
| 4 基于Spark的分布式并行改进算法研究 |
| 4.1 问题分析 |
| 4.2 流程设计及优化策略 |
| 4.2.1 并行算法流程设计 |
| 4.2.2 算法优化策略 |
| 4.3 算法实现 |
| 4.3.1 数据分区与挖掘频繁1-项集 |
| 4.3.2 编码转换 |
| 4.3.3 挖掘频繁 k-项集 |
| 4.4 实验与分析 |
| 4.4.1 实验环境 |
| 4.4.2 结果分析 |
| 4.5 本章小结 |
| 5 入侵检测中关联规则挖掘算法的应用 |
| 5.1 入侵检测概述 |
| 5.2 基于关联规则的规则库挖掘框架 |
| 5.2.1 框架架构 |
| 5.2.2 框架设计 |
| 5.3 结果分析 |
| 5.4 本章小结 |
| 6 总结 |
| 6.1 总结 |
| 6.2 下一步工作 |
| 致谢 |
| 参考文献 |
| 攻读学位期间取得的研究成果 |
(3)基于混合蜜罐的入侵检测技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 本文主要工作 |
| 1.4 论文组织结构 |
| 第2章 相关技术介绍 |
| 2.1 入侵检测技术 |
| 2.1.1 入侵检测的基本介绍 |
| 2.1.2 常见的入侵检测方法 |
| 2.1.3 入侵检测技术的缺陷 |
| 2.2 蜜罐技术 |
| 2.2.1 蜜罐的基本介绍 |
| 2.2.2 蜜罐的分类 |
| 2.2.3 蜜罐的关键技术 |
| 2.2.4 混合蜜罐介绍 |
| 2.3 数据挖掘技术 |
| 2.3.1 数据挖掘的基本介绍 |
| 2.3.2 数据预处理 |
| 2.3.3 聚类分析算法 |
| 2.3.4 关联规则 |
| 2.4 本章小结 |
| 第3章 基于改进模糊聚类算法的混合蜜罐数据分析 |
| 3.1 混合蜜罐采集的数据预处理 |
| 3.1.1 数据获取 |
| 3.1.2 数据预处理 |
| 3.2 基于自适应布谷鸟的改进模糊聚类算法 |
| 3.2.1 自适应布谷鸟算法 |
| 3.2.2 自适应布谷鸟优化模糊聚类算法(ACSFCM) |
| 3.3 实验分析 |
| 3.3.1 UCI和 kdd99 数据集分析 |
| 3.3.2 混合蜜罐数据集分析 |
| 3.4 本章小结 |
| 第4章 基于混合蜜罐的入侵检测系统 |
| 4.1 系统概述 |
| 4.2 系统设计与实现 |
| 4.2.1 入侵检测模块 |
| 4.2.2 混合蜜罐模块 |
| 4.2.3 数据挖掘模块 |
| 4.3 系统测试 |
| 4.3.1 系统测试概述 |
| 4.3.2 系统测试过程 |
| 4.4 本章小结 |
| 第5章 结束语 |
| 5.1 工作总结 |
| 5.2 问题和展望 |
| 致谢 |
| 参考文献 |
| 附录A 攻读研究生期间取得成果 |
(4)基于数据挖掘的入侵检测方法的研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 本文组织结构 |
| 第二章 相关背景知识介绍 |
| 2.1 入侵检测技术 |
| 2.1.1 入侵检测的基本概念 |
| 2.1.2 入侵检测系统的模型 |
| 2.1.3 入侵检测系统的分类 |
| 2.1.4 入侵检测技术的发展趋势 |
| 2.2 数据挖掘技术 |
| 2.2.1 数据挖掘的基本概念 |
| 2.2.2 数据挖掘的主要步骤 |
| 2.2.3 数据挖掘技术在入侵检测中的应用 |
| 2.3 本章小结 |
| 第三章 模糊c-均值算法的研究 |
| 3.1 模糊c-均值算法 |
| 3.1.1 模糊聚类分析 |
| 3.1.2 模糊c-均值算法的原理 |
| 3.1.3 模糊c-均值算法存在的主要问题 |
| 3.2 模糊c-均值算法的改进 |
| 3.2.1 相异性度量 |
| 3.2.2 加权的欧氏距离 |
| 3.2.3 基于密度的初始化聚类中心 |
| 3.2.4 改进的模糊c-均值算法 |
| 3.3 仿真结果与分析 |
| 3.3.1 实验数据集 |
| 3.3.2 数据预处理 |
| 3.3.3 实验结果与分析 |
| 3.4 本章小结 |
| 第四章 改进的模糊c-均值与支持向量机在入侵检测的应用 |
| 4.1 支持向量机 |
| 4.1.1 线性支持向量机 |
| 4.1.2 非线性支持向量机 |
| 4.2 集成式入侵检测方法 |
| 4.3 仿真结果与分析 |
| 4.3.1 实验数据集 |
| 4.3.2 数据预处理 |
| 4.3.3 评价指标 |
| 4.3.4 实验结果与分析 |
| 4.4 本章小结 |
| 第五章 总结与展望 |
| 5.1 全文总结 |
| 5.2 工作展望 |
| 参考文献 |
| 附录1 攻读硕士学位期间撰写的论文 |
| 致谢 |
(5)基于机器学习的Web异常检测算法设计与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 选题背景 |
| 1.2 研究意义 |
| 1.3 研究现状 |
| 1.3.1 基于误用检测的攻击检测技术 |
| 1.3.2 基于异常检测的攻击检测技术 |
| 1.4 研究内容 |
| 1.5 论文组织结构 |
| 第二章 Web相关技术 |
| 2.1 Web服务 |
| 2.1.1 Web服务架构 |
| 2.1.2 HTTP协议 |
| 2.2 Web攻击技术 |
| 2.2.1 XSS攻击技术 |
| 2.2.2 CSRF攻击 |
| 2.2.3 SQL注入 |
| 2.3 本章小结 |
| 第三章 基于传统机器学习算法的Web异常检测模型 |
| 3.1 常见传统机器学习算法 |
| 3.1.1 KNN算法 |
| 3.1.2 逻辑回归算法 |
| 3.1.3 朴素贝叶斯算法 |
| 3.1.4 支持向量机算法 |
| 3.1.5 决策树算法和随机森林算法 |
| 3.2 基于传统机器学习算法的异常检测模型 |
| 3.2.1 基于传统机器学习算法的特征提取 |
| 3.2.2 基于传统机器学习算法的Web异常检测模型实现 |
| 3.3 实验结果及评估 |
| 3.3.1 实验数据集 |
| 3.3.2 异常检测模型评估标准 |
| 3.3.3 实验环境 |
| 3.3.4 实验结果及评估 |
| 3.4 本章小结 |
| 第四章 基于CNN-GRU的Web异常检测模型 |
| 4.1 神经网络相关基础 |
| 4.1.1 卷积神经网络 |
| 4.1.2 循环神经网络 |
| 4.2 基于CNN-GRU的Web异常检测模型设计 |
| 4.2.1 词向量构建 |
| 4.2.2 基于卷积神经网络的Web异常检测模型 |
| 4.2.3 基于门空循环单元的Web异常检测模型 |
| 4.2.4 基于CNN-GRU的Web异常检测模型 |
| 4.3 实验结果及模型评估 |
| 4.3.1 数据预处理 |
| 4.3.2 实验环境 |
| 4.3.3 实验结果及评估 |
| 4.4 本章小结 |
| 第五章 基于CNN-GRU的Web异常检测系统设计与实现 |
| 5.1 Web异常检测系统架构 |
| 5.2 Web异常检测系统的实现 |
| 5.2.1 技术要点 |
| 5.2.2 Web异常检测系统功能实现与测试 |
| 5.3 本章小结 |
| 第六章 总结与展望 |
| 6.1 本文工作总结 |
| 6.2 未来展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文目录 |
(6)基于Linux Shell的用户异常操作检测方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究目的及意义 |
| 1.2 国内外研究现状 |
| 1.3 论文主要研究内容 |
| 1.4 论文组织结构 |
| 2 基于规则的异常操作检测 |
| 2.1 异常操作检测方法设计 |
| 2.2 规则库设计 |
| 2.3 SHELL命令库设计 |
| 2.4 规则库匹配算法设计 |
| 2.5 实验设计与结果分析 |
| 2.6 本章小结 |
| 3 基于命令序列的异常操作检测 |
| 3.1 异常操作检测方法设计 |
| 3.2 Linux Shell 日志收集及日志预处理 |
| 3.3 命令序列库构建 |
| 3.4 异常命令序列检测 |
| 3.5 实验设计与结果分析 |
| 3.6 本章小结 |
| 4 系统设计与实现 |
| 4.1 系统总体设计 |
| 4.2 系统实现 |
| 4.3 本章小结 |
| 5 总结与展望 |
| 5.1 全文总结 |
| 5.2 存在的问题 |
| 5.3 研究展望 |
| 致谢 |
| 参考文献 |
(7)基于机器学习的物联网入侵检测系统研究(论文提纲范文)
| 中文摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 选题背景及研究意义 |
| 1.2 研究现状 |
| 1.2.1 物联网安全技术研究现状 |
| 1.2.2 入侵检测系统研究现状 |
| 1.3 研究内容 |
| 1.4 论文的组织结构 |
| 第二章 相关理论基础 |
| 2.1 物联网 |
| 2.1.1 物联网的逻辑架构 |
| 2.1.2 物联网的现实应用 |
| 2.2 入侵检测系统 |
| 2.2.1 入侵检测的流程 |
| 2.2.2 入侵检测的分类 |
| 2.3 关联规则 |
| 2.4 深度学习 |
| 2.5 本章小结 |
| 第三章 基于关联规则的入侵检测系统 |
| 3.1 FP-growth算法 |
| 3.1.1 FP-growth算法的概念 |
| 3.1.2 FP-growth算法实例 |
| 3.2 粒子群算法 |
| 3.2.1 粒子群算法的概念 |
| 3.2.2 改进粒子群算法 |
| 3.3 应用于入侵检测系统的改进FP-growth算法 |
| 3.3.1 改进的FP-growth算法设计思想 |
| 3.3.2 基于关联规则的物联网入侵检测系统 |
| 3.4 本章小结 |
| 第四章 基于深度学习的物联网入侵检测系统 |
| 4.1 卷积神经网络 |
| 4.1.1 卷积神经网络的概念 |
| 4.1.2 卷积神经网络的基本结构 |
| 4.1.3 基于卷积神经网络的入侵检测系统 |
| 4.2 长短期记忆神经网络 |
| 4.3 基于深度学习的物联网入侵检测系统 |
| 4.4 本章小结 |
| 第五章 基于综合算法的物联网入侵检测系统 |
| 5.1 基于综合算法的物联网入侵检测系统设计 |
| 5.2 实验数据 |
| 5.2.1 NSL-KDD数据集介绍 |
| 5.2.2 数据预处理 |
| 5.3 评价标准 |
| 5.4 实验结果与分析 |
| 5.4.1 基于关联规则的物联网入侵检测系统实验 |
| 5.4.2 基于深度学习的物联网入侵检测系统实验 |
| 5.4.3 基于综合算法的物联网入侵检测系统实验 |
| 5.5 本章小结 |
| 第六章 总结与展望 |
| 6.1 本文总结 |
| 6.2 工作展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间取得的学术成果 |
(8)基于数据挖掘的入侵检测系统设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.2.1 入侵检测技术发展现状 |
| 1.2.2 数据挖掘技术在入侵检测领域的应用 |
| 1.3 论文主要研究内容 |
| 1.4 论文组织结构 |
| 2 相关技术介绍 |
| 2.1 入侵检测技术简介 |
| 2.1.1 入侵检测方法分类 |
| 2.1.2 入侵检测模型 |
| 2.1.3 现在主流攻击 |
| 2.2 防火墙技术简介 |
| 2.2.1 身份验证 |
| 2.2.2 日志监控 |
| 2.3 数据挖掘技术简介 |
| 2.3.1 支持向量机 |
| 2.3.2 决策树 |
| 2.3.3 随机森林和随机树算法 |
| 2.3.4 朴素贝叶斯算法 |
| 2.3.5 聚类 |
| 2.4 Suricata系统简介 |
| 2.4.1 Suricata系统介绍 |
| 2.4.2 Suricata系统缺陷分析 |
| 2.5 本章小结 |
| 3 基于数据挖掘算法的Suricata系统设计与实现 |
| 3.1 需求分析 |
| 3.1.1 功能需求 |
| 3.1.2 性能需求 |
| 3.2 系统优化思想 |
| 3.2.1 设计思想 |
| 3.2.2 分流算法选择 |
| 3.2.3 规则库更新算法选择 |
| 3.3 系统总体方案设计 |
| 3.3.1 分流架构 |
| 3.3.2 规则库更新架构 |
| 3.4 分流算法实现 |
| 3.4.1 数据结构设计 |
| 3.4.2 分流算法实现 |
| 3.4.3 分流算法整体流程设计 |
| 3.5 规则库自动更新算法实现 |
| 3.5.1 数据结构设计 |
| 3.5.2 规则库更新算法实现 |
| 3.5.3 规则库更新算法整体流程设计 |
| 3.6 Suricata数据挖掘系统实现 |
| 3.6.1 ELK前端系统部署 |
| 3.6.2 Suricata后端部署 |
| 3.6.3 Suricata嵌入系统实现 |
| 3.7 本章小结 |
| 4 系统测试与性能分析 |
| 4.1 测试数据集描述 |
| 4.2 系统测试环境 |
| 4.3 算法入侵检测测试 |
| 4.4 算法误报率测试 |
| 4.4.1 算法测试 |
| 4.4.2 测试结果分析 |
| 4.5 算法检测速率测试 |
| 4.5.1 算法测试 |
| 4.5.2 测试结果分析 |
| 4.6 本章小结 |
| 5 总结与展望 |
| 5.1 总结 |
| 5.2 未来展望 |
| 致谢 |
| 参考文献 |
| 附录 攻读硕士学位期间发表的论文和出版着作情况 |
(9)基于经典聚类算法和关联算法的入侵检测系统研究(论文提纲范文)
| 摘要 |
| abstract |
| 注释表 |
| 第1章 引言 |
| 1.1 研究背景及意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 国内外研究现状 |
| 1.3 本文主要工作 |
| 1.4 本文组织结构 |
| 第2章 相关理论研究 |
| 2.1 入侵检测系统 |
| 2.1.1 入侵检测系统概述 |
| 2.1.2 入侵检测系统的部署模式 |
| 2.1.3 入侵检测系统的检测方式 |
| 2.1.4 入侵检测系统的性能指标 |
| 2.2 数据挖掘 |
| 2.2.1 数据挖掘思想 |
| 2.2.2 数据挖掘过程 |
| 2.2.3 数据挖掘分析方法 |
| 2.2.4 数据挖掘算法介绍 |
| 2.3 Snort系统 |
| 2.3.1 Snort系统概述 |
| 2.3.2 Snort系统模式介绍 |
| 2.3.3 Snort系统规则介绍 |
| 2.4 本章小结 |
| 第3章 经典聚类和关联算法改进研究 |
| 3.1 经典聚类算法——Kmeans算法 |
| 3.1.1 Kmeans算法分析 |
| 3.1.2 Kmeans改进算法 |
| 3.1.3 算法仿真结果分析 |
| 3.2 经典关联算法——Apriori算法 |
| 3.2.1 Apriori算法分析 |
| 3.2.2 Apriori改进算法 |
| 3.2.3 算法仿真结果分析 |
| 3.3 本章小结 |
| 第4章 基于L-Kmeans和 C-Apriori算法的改进Snort |
| 4.1 一种改进的Snort |
| 4.2 L-Kmeans算法在Snort中的应用 |
| 4.3 C-Apriori算法在Snort中的应用 |
| 4.4 实验环境搭建 |
| 4.5 实验仿真结果与分析 |
| 4.5.1 检测时间对比测试 |
| 4.5.2 检测准确率对比测试 |
| 4.5.3 结果分析 |
| 4.6 本章小结 |
| 第5章 总结与展望 |
| 5.1 工作总结 |
| 5.2 工作展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间从事的科研工作及取得的成果 |
(10)基于智能网关的网络防御技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 课题研究的目的及意义 |
| 1.2 网络防御技术的发展与研究现状 |
| 1.3 网络防御技术存在的问题与发展趋势 |
| 1.4 网络防御技术的研究内容与创新点 |
| 1.5 论文组织结构 |
| 2 入侵检测技术与机器学习和数据挖掘理论 |
| 2.1 入侵检测系统概述 |
| 2.2 入侵检测系统的分类 |
| 2.2.1 基于主机的入侵检测系统 |
| 2.2.2 基于网络的入侵检测系统 |
| 2.3 Snort入侵检测系统分析 |
| 2.3.1 入侵检测系统的优点 |
| 2.3.2 Snort入侵检测系统的不足 |
| 2.4 机器学习概述 |
| 2.4.1 逻辑回归算法 |
| 2.4.2 归纳学习算法 |
| 2.4.3 解释学习算法 |
| 2.4.4 基于神经网络的学习 |
| 2.5 数据挖掘技术概述 |
| 2.5.1 数据挖掘的概念 |
| 2.5.2 数据挖掘的过程 |
| 2.5.3 数据挖掘的类型 |
| 2.6 本章小结 |
| 3 基于数据挖掘的入侵检测系统的设计 |
| 3.1 Snort系统框架分析 |
| 3.2 需求分析 |
| 3.2.1 系统的功能需求 |
| 3.2.2 系统的性能需求 |
| 3.3 系统总体设计 |
| 3.3.1 设计思想 |
| 3.3.2 体系结构 |
| 3.3.3 模块功能简述 |
| 3.3.4 工作流程图 |
| 3.4 核心模块设计 |
| 3.4.1 基于逻辑回归算法的预测模块设计 |
| 3.4.2 规则动态生成模块设计 |
| 3.5 本章小结 |
| 4 基于数据挖掘的智能网关入侵检测系统的实现 |
| 4.1 基于逻辑回归算法的预测模块实现 |
| 4.1.1 基本思想 |
| 4.1.2 算法实现 |
| 4.2 三步动态规则匹配算法优化实现 |
| 4.2.1 基本思想 |
| 4.2.2 改进型三步动态规则匹配算法 |
| 4.3 规则动态生成模块的实现 |
| 4.3.1 基本思想 |
| 4.3.2 Apriori算法 |
| 4.3.3 算法实现 |
| 5 系统测试 |
| 5.1 规则动态生成模块功能测试 |
| 5.1.1 测试工具与测试方法 |
| 5.2 规则动态生成模块功能的测试 |
| 5.3 入侵检测系统检测效率测试 |
| 5.3.1 算法改进后系统功能测试 |
| 5.3.2 增加预测模型和规则动态生成模型后系统性能测试 |
| 6 结论 |
| 6.1 总结 |
| 6.2 未来展望 |
| 参考文献 |
| 致谢 |
| 附录1 攻读硕士学位期间参与的项目和发表的论文 |
四、使用关联规则技术构建入侵检测系统行为模式规则库(论文参考文献)
- [1]入侵报警数据融合与关联分析方法研究[D]. 石兰. 桂林电子科技大学, 2021(02)
- [2]关联规则挖掘算法及其分布式并行化研究[D]. 易志宇. 西南科技大学, 2021(08)
- [3]基于混合蜜罐的入侵检测技术研究[D]. 高妍妍. 昆明理工大学, 2021(01)
- [4]基于数据挖掘的入侵检测方法的研究[D]. 张芷有. 南京邮电大学, 2020(02)
- [5]基于机器学习的Web异常检测算法设计与实现[D]. 牛强强. 北京邮电大学, 2020(05)
- [6]基于Linux Shell的用户异常操作检测方法研究[D]. 帅俊岚. 华中科技大学, 2020(01)
- [7]基于机器学习的物联网入侵检测系统研究[D]. 张博. 太原科技大学, 2020(03)
- [8]基于数据挖掘的入侵检测系统设计与实现[D]. 董福洋. 南京理工大学, 2020(01)
- [9]基于经典聚类算法和关联算法的入侵检测系统研究[D]. 李恩燕. 重庆邮电大学, 2020(02)
- [10]基于智能网关的网络防御技术研究[D]. 蔡晶晶. 武汉邮电科学研究院, 2019(12)
标签:入侵检测系统论文; 关联规则论文; suricata论文; 关联分析论文; 入侵检测技术论文;