随着互联网应用的普及,网络攻击逐渐变得频繁,这些网络攻击给用户的信息安全带来了极大的隐患,所以一些网络安全工具逐渐受到了用户的欢迎。Suricata作为一种新型的入侵检测系统,可以通过多线程技术来对网络流量进行分析,并根据内部的规则库来对流量进行过滤,从而实现对网络入侵的高效检测。Suricata系统根据规则库进行匹配从而发现入侵行为,当网络流量变得庞大时,全量匹配规则库会降低入侵检测效率,甚至造成Suricata系统宕机,这一问题在服务端应用中尤为明显。同时,这种匹配的行为忽略了特征间的关系,增加了入侵误报率。本文考虑到Suricata系统存在的这一缺陷,设计了一种基于数据挖据算法的Suricata系统,系统通过对网络数据流量的分析来动态扩展Suricata系统的能力,从而实现了Suricata系统的高效、稳定的运行。在整体实现上面,本文设计了数据包分流算法和规则库更新算法实现了对Suricata系统的改进,算法的分流部分与规则库更新部分构成了一个闭环系统,使Suricata模块能够自适应地处理网络中的数据,尤其是在面对大型服务端应用时,系统能够具有更高的可用性。总体而言,本文所做的工作主要包含以下几个方面的内容:1.数据分流:通过数据挖掘算法K-means离线学习数据包间的关系,对网络数据进行分流,被分流算法判定为可疑的流量才进一步在Suricata系统中进行检测。通过分流算法的处理,减缓数据压力,同时强化数据包间关系,减少入侵误报。2.自动更新Suricata系统的规则存储策略:算法会根据数据挖掘产生的数据来动态更新Suricata系统的后端规则库,从而允许Suricata规则库的动态更新,避免了全量匹配规则库产生的服务器频繁重启或者宕机的问题,提高了系统的可用性。3.对改进后的算法与Suricata算法在误报率和检测率两个方面进行了测试,测试结果表明本文设计的算法降低了50%以上的误报率,而在检测率方面,有40%以上的提升。