基于入侵检测的数据处理分析关键算法研究-计算机科学与技术专业论文.docxVIP

万 万方数据 独创性声明 本人芦明所呈交的论文是我个人在导师指导 fill行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人 己经发表或撰写过的研究成果，也不包含为获得西南科技大学或其它教育 机构的 学位或证书而使用过的材料。与我一同工作的同志对本研究所 做的任何贡献均已 在论文中作 f 明确的说明并表示了谢意。 M : 王春飞 日明: 2016. b.b 关于论文使用和授权的说明 本人 JL 企了解向南科技火学有关保留、使 用户jf:位论文的规定 ，[t1J : 学校有权 保留学位论艾的复印件.允许该论文被我阅和 {if阅:手段可以公布该论文的全部 或部分内容，可以采用影印、缩印或其他 ü M于段似仔论文。 (必威体育官网网址的学位论丈 解密后应遵守此规定) 签名:王祥我 导师签名: 日期:2016.6. 西南科技大学硕士研究生学位论文 第 I页 摘 要 自从互联网诞生以来，网络安全问题一直是不容小觑的问题，特别是入侵检 测领域，也一直是研究者们研究的热点。现如今攻击者的攻击手段日益的隐蔽， 复杂，网络安全设备所产生的告警数据又分散独立，庞大冗杂，导致安全问题日 益严重，考虑到设备更新换代的代价，如何使用智能的算法，使得管理员能从错 综复杂的安全数据中发现攻击者的蛛丝马迹，从而对网络攻击进行防御和响应成 为了网络安全领域中研究的重点。 通过阅读大量国内外文献以及对不同攻击行为所产生的入侵检测告警数据的 分析与研究，本文首先提出了一种基于 SVM（支持向量机）的告警聚合模型，通 过选取不同的核函数对 KDDCUP99 数据集进行实验对比，发现采用多项式核函数 对告警数据聚合的准确率最高，之后，由于 SVM 的聚合性能与参数的设置有很大 关系，而人工设置的随机参数并不能保证结果的准确率是最优的，因此本文采用 遗传算法对所建立的支持向量机模型进行参数自动优化，避免了人工设置参数的 随机性与盲目性。通过 KDDCUP99 数据集的仿真得出，本文所采用的方法所建立 的聚合模型的准确率要高于随机参数所建立的聚合模型。 其次提出了一种基于攻击行为序列的多步攻击场景构建的方法，将无候选序 列的最大序列模式挖掘思想应用到攻击场景的构建中，改变了以往利用序列模式 挖掘思想产生较多攻击序列模式，耗费大量内存以及时间，不利于实时在线攻击 意图识别，并且挖掘结果难以理解的现状，并根据算法的特点提出了三种可以改 进算法性能的策略。基于 DARPA 2000 数据集的实验分析表明，该方法可以有效 的挖掘出攻击者的多步攻击行为模式，并且在时间、内存消耗以及挖掘结果上比 BIDE 算法更优。 关键词：SVM 告警聚合 攻击行为序列 攻击场景 最大序列模式 西南科技大学硕士研究生学位论文 第 II页 Abstract Since the birth of the Internet, network security especially intrusion detection field has always been a research focus of researchers and the problem that should not be underestimated.The measures of the attackers are more subtle and complex nowadays.The alarm data generated by network security devices are scattered, independent, huge and redundant, leading to increasingly serious security problems.Taking account into the cost of the equipment update, how to use the intelligent algorithm to find the tracks of the attacker from the complex security data has become a top priority. By reading a lot of domestic and foreign literatures and analysing the intrusion detecion alarm data of different attack measures, an alarm aggregation model based on SVM (support vector machine) is proposed in the paper firstly.