公开(公告)号：CN111224984B

公开(公告)日：2022-01-11

申请号：CN202010011027.6

申请日：2020-01-06

Applicant: 重庆邮电大学 ,  重庆信科设计有限公司

Inventor： 张功国 ,  李恩燕

IPC: H04L9/40 ,  G06V10/762

Abstract: 本发明涉及一种基于数据挖掘算法的Snort改进方法。该方法包括：入侵检测Snort系统获取网络上的数据P；利用改进后的K‑means算法将P与正常行为数据库进行相似性聚类，若相似度小于聚类半径r即判断为正常数据，直接跳过Snort的误用检测过程；反之，则再次与Snort中的异常数据库做对比，计算数据与各异常行为类的相似度，若能聚到异常行为类中，则表明其为异常数据类型，系统发出相应的报警；若仍然不能聚到异常类中，则将其添加至正常数据库，重新更新正常行为数据库。网络上数据有很大部分都是正常数据，异常数据只占有小部分，且改进后的K‑means算法聚类准确率高，经过上述方式处理，会大大减少误用检测引擎所处理的数据，从而提高了Snort系统的整体检测准确率和效率。

公开(公告)号：CN111224984A

公开(公告)日：2020-06-02

申请号：CN202010011027.6

申请日：2020-01-06

Applicant: 重庆邮电大学 ,  重庆信科设计有限公司

Inventor： 张功国 ,  李恩燕

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明涉及一种基于数据挖掘算法的Snort改进方法。该方法包括：入侵检测Snort系统获取网络上的数据P；利用改进后的K-means算法将P与正常行为数据库进行相似性聚类，若相似度小于聚类半径r即判断为正常数据，直接跳过Snort的误用检测过程；反之，则再次与Snort中的异常数据库做对比，计算数据与各异常行为类的相似度，若能聚到异常行为类中，则表明其为异常数据类型，系统发出相应的报警；若仍然不能聚到异常类中，则将其添加至正常数据库，重新更新正常行为数据库。网络上数据有很大部分都是正常数据，异常数据只占有小部分，且改进后的K-means算法聚类准确率高，经过上述方式处理，会大大减少误用检测引擎所处理的数据，从而提高了Snort系统的整体检测准确率和效率。