[发明专利]一种基于数据挖掘算法的Snort改进方法

权利要求书

1.一种基于数据挖掘算法的Snort改进方法，其特征在于，包括以下步骤：

步骤一：Snort系统获取网络上的数据P并指定聚类半径r；

步骤二：利用改进K-means算法将P与正常行为数据库进行相似性聚类，判断聚类结果；

步骤三：根据聚类结果判断是否跳过Snort误用检测；

步骤四：进入Snort误用检测的数据利用改进K-means算法将数据与规则库进行相似性聚类，判断聚类结果；

步骤五：根据结果输出异常报警，或正常数据添加至正常行为数据库后更新数据库聚类结果；

利用K近邻非参概率密度算法与传统Kmeans聚类算法相结合，同时去除离群点，得出聚类准确率高的改进的K-means算法，具体步骤如下：

(1)对于空间数据集X＝{x₁，...x_i，...x_n}内的任一点，通过K近邻非参概率密度估计样本的密度，得出点的概率密度估计值，所需公式如下(1)，(2)所示：

其中d_i是K近邻距离，X_t为x_i邻近的t个点的集合；

(2)将概率密度估计值进行从大到小排序，取n*0.9点的值作为阈值，低于阈值的点作为离群点，则X内密度最大的点c₁即为首个聚类中心；

(3)计算每个样本与首个聚类中心c₁的距离，用D₁(x)表示；接着利用下列公式计算每个样本被选为下一个聚类中心的概率Q_i，该样本离群点除外；最后，用轮盘法思想选择出第二个聚类中心；

(4)重复进行(3)步骤，即计算每个样本到被选出的聚类中心的最短距离D(x)，再计算Q_i，一个一个选择聚类中心，直到得到k个聚类中心；

(5)计算样本x_i到各聚类中心c的欧式距离，将每个样本聚类至与其最近的聚类中心c_j，形成k个聚类；

(6)重新计算k个聚类的平均聚类中心，以新的平均聚类中心替换原来的聚类中心；

(7)反复进行(5)(6)步骤，直到聚类中心c基本无变化或达到指定迭代次数后结束。

2.根据权利要求1所述的一种基于数据挖掘算法的Snort改进方法，其特征在于，步骤一中具体为：利用Snort网络嗅探器在网络上获取数据的同时，将正常数据库中的数据利用改进的K-means算法根据聚类半径r进行聚类。

3.如权利要求1中所述的一种基于数据挖掘算法的Snort改进方法，其特征在于：步骤二中具体为：利用改进的K-means算法将网络数据P与正常数据库各类进行相似性聚类，当与任一聚类中心m的聚类相似度d(min)小于等于指定的聚类半径r时，即则判断该数据P是正常数据库中聚类中心为m所属的聚类M，反之，当时，则表示数据P为非正常数据库内的数据。

4.如权利要求1中所述的一种基于数据挖掘算法的Snort改进方法，其特征在于：步骤三中具体为：当时，将数据P归为正常数据库中的聚类M，直接跳出Snort的误用检测引擎。

5.如权利要求1中所述的一种基于数据挖掘算法的Snort改进方法，其特征在于：步骤四中具体为：当时，则表示数据P为非正常数据库内的数据，将其送入Snort误用检测引擎，利用改进的K-means算法将数据P与Snort的规则库进行相似性聚类，改进的K-means算法将数据P与Snort的规则库即为异常数据库，当与任一聚类中心n的聚类相似度D(min)小于等于指定的聚类半径r时，即则判断该数据P是规则库中聚类中心为n所属的聚类N，反之，当时，则表示数据P为正常数据。

6.如权利要求1中所述的一种基于数据挖掘算法的Snort改进方法，其特征在于：步骤五中具体为：当则数据P归为异常数据库中的聚类N，利用Snort的报警模块发出相应的告警，反之，当时，则表示数据P为正常数据，将其添加至正常行为数据库后更新数据库聚类结果。

7.如权利要求6中所述的一种基于数据挖掘算法的Snort改进方法，其特征在于：当时，则表示数据P为正常数据，首先将收据P创建成一个新的聚类Q，将q作为其聚类中心，然后将Q添加至正常数据库，最后更新正常数据库的聚类中心。