当前位置:文档之家 › 基于改进聚类分析算法的入侵检测系统研究

基于改进聚类分析算法的入侵检测系统研究

  • 格式:pdf
  • 大小:1.64 MB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

基于聚类分析技术的入侵检测系统的研究的开题报告

基于聚类分析技术的入侵检测系统的研究的开题报告

基于聚类分析技术的入侵检测系统的研究的开题报告一、研究背景随着互联网和计算机技术的不断发展,网络攻击也变得更加隐蔽、复杂。

入侵检测系统成为保障网络安全的关键技术之一。

传统的入侵检测系统主要基于规则和特征匹配,但是这种方法往往需要人工定义大量规则,并且存在漏报和误报的问题。

针对这些问题,利用聚类分析技术进行入侵检测成为一种新的解决方案。

二、研究目的本研究旨在研究基于聚类分析技术的入侵检测系统。

通过构建聚类模型,将网络流量数据进行聚类分析,识别出异常流量和攻击行为,从而提高入侵检测的准确率和覆盖率。

三、研究内容1、研究聚类算法相关理论和方法,包括层次聚类、划分聚类、密度聚类等,了解各种算法的优缺点和适用范围。

2、收集网络流量数据,并对数据进行预处理,包括数据清洗、数据转换、特征提取等。

3、构建聚类模型,根据数据特征和聚类算法进行模型参数的选择和优化。

4、应用聚类模型进行入侵检测,对异常流量和攻击行为进行识别和分析。

5、评价入侵检测系统的性能,分析准确率、覆盖率、召回率等指标,并与传统入侵检测系统进行比较。

四、研究意义本研究对提高网络入侵检测的效率和精确度具有重要意义。

聚类分析技术可以自动化地发现网络中的异常行为,减轻了网络管理员的负担,有助于及时发现并应对网络攻击事件。

此外,本研究还对聚类算法的研究和应用提供了借鉴意义。

五、研究方法本研究采用理论研究与实验研究相结合的方法。

在理论研究方面,将收集与聚类算法相关的文献资料,对聚类算法的理论基础进行分析和归纳。

在实验研究方面,将收集网络流量数据进行聚类分析,构建入侵检测系统,并进行实验验证。

六、预期成果本研究的预期成果包括:1、总结聚类算法的优缺点和适用范围,为聚类算法的研究提供参考。

2、构建基于聚类分析技术的入侵检测系统,提高入侵检测的准确率和覆盖率。

3、评价入侵检测系统的性能,并与传统入侵检测系统进行比较。

4、从实践中总结经验,为网络入侵检测技术的发展提供参考。

基于聚类分析的SDWSN入侵检测研究

基于聚类分析的SDWSN入侵检测研究

消耗。该 方 法可以解 决 无 线传感 器网络的大 部 分固有问 题,促 进与其他网络的互 操 作性,提高无 线传感 器网络的 效率和可持续性。
2 一种K值确定的二分K-means算法 假设 X=(x1,x2,…xi,…xn)是 Rd空间的数据,在进行
聚类之前,假设K 值为类簇的数量。为了将数据分成K个类 簇,将空间中所有的点看作一个类簇Ci,然后执行当K 值 等于2的K-means算法,将类簇分为两个类簇[5]。然后计算 这两个类 簇的 S S E函数,选 择 S S E函数比 较 大 的那 个类 簇 来继续执行K =2的K-means算法二分K-means算法进行划 分。续进行上述的分割,直到分割类簇的数量达到用户所 指定的K值。SSE函数定义:
检测出的攻击样本数 检测率 =
攻击样本总数
(2)
误报率 = 正常样本被误认为攻击样本数 正常样本数
(3)
根 据 数 据集的类型分配比例,随机 选取10 0 0 0 个数 据,其中正常数据8689,异常数据1311。通过公式(2)(3) 计 算得到改 进 前后聚类 算 法的 检 测率 和 误 报率如 表1所 示。
科 技资讯 2018 NO.31 SCIENCE & TECHNOLOGY INFORMATION
DOI:10.16661/ki.1672-3791.2018.31.022
信息技术
基于聚类分析的SDWSN入侵检测研究①
宋鹏 (沈阳理工大学 辽宁沈阳 110159)
摘 要:无线传感器网络中,由于受到节点能量等因素的限制,只能部署轻量级的入侵检测方案。因此,不可能实现分布式
1 软件定义无线传感器网络
在软件定义无线传感器网络中主要存在3个基本角色 主节点(MasterNode)、中心节点(CenterNode)、普通节点。 主节点作为整个网络的控制器,可以根据控制单元的实时 情况,如网络拓扑、路由传输和路由限制等来控制整个网 络[4]。中心节点类似于SDN中的OpenFlow交换机,负责无线 传感器网络中的数据流匹配和转发。普通节点只负责接受 和执行数据流。因此,传感器的普通节点只进行数据的转 发 操 作,任 何 检 测 计 算任 务由主节点执 行,但不影响能 量

基于k-means改进算法的入侵检测系统的研究

基于k-means改进算法的入侵检测系统的研究
范, 在网络系统 受 到危 害 之前 识别 和 拦截入 侵 行 为。 入侵检测原理如图 1 所示。 从 图 1 以看 出 : 可 通过对历史 行为、 定行为模 式 特 等 的分析 , 以制订 出安 全 ( 侵 ) 可 入 规则库 , 而指 导 进
当前 系统 的入侵检测 , 实现对入侵行为 的识别和 预防。
Dso eyi D tb s ) 是 指从 大 型数据 库 或数 据仓 i vr n aa a e , c
1 引言
随着 Ient n re 的迅速发展 , t 信息安全 日益受到人们 的关 注, 为网络安全一 个组成部分 的入侵检 测技术 作 被重视起 来 , 并逐渐成为 保障 网络信 息安全不可 缺少 的部分 。基于 内容的 网络安全解决方案成为 人们研 究
关 心 王 新 ( 湛江 师范学院 广东省湛江市 5 4 4 ) 2 0 8
摘要 : 文介绍 了入侵检测 系统的基本概念 , 本 分析 了数据挖掘技术在入侵检 测 系统 中的应用。本 文主要研 究 了聚
类分析 中的 k— a s算法在入侵规则 匹配 中的应 用 , 出了该算法 的不足 , me n 指 通过对传 统 k —me n a s算法的改进 解决 了聚类算 法固有的无法预知最佳聚类个数和分类过 细的问题 。提 高了系统的规 则匹配效率。 关键词 : 入侵检测 数据挖掘 聚类分析
trs 、 en ) 约束 ( o s a t) 可视 化 ( i azt n ) C nt is 、 rn V u lai s 等。 s i o
广泛地 审计 数据来得 到模 型 , 而精确地捕 获实际 的 从
入 侵和 正常 的行 为 模 式。数 据 挖 掘 ( M, aa Mi D D t n — i ) 又称 为 数 据 库 中 的知 识 发 现 ( D K o tg n , g K D, n wa e

改进的模糊聚类算法在入侵检测中的研究

改进的模糊聚类算法在入侵检测中的研究
c n e ,e s O f l i t o a n mu p i t ,wh l a t e h p i a o u in C mb n d wi l b lf s— e r h c p — o v x a y t al n o l c l mi i m o n s i c n’ g tt eo t e m l lt . o s o i e t g o a a ts a c a a h
匹配检测 是否 发生入 侵 , 已知入侵 检 测准 确度 很 对 高, 速度快 , 它检测 不 到特征 库 以外 的未 知入 侵 。 但 异 常检测 技术是 不需 要特征 库 的检 测 技术 , 以检 可
测 出 以前 未 曾 出现 过 的新 的未 知 人 侵 , 用 性 强 。 通
墙 策略 已经无法 满足 人们对 网络安 全 的要求 , 这 在
( mp tr c ne& Teh oo yC lg ,HabnUnv f c o C ue i c Se c n l ol e g e ri i .o i S . ̄T c ,Habn 10 8 ) eh ri 5 00
A src F zyCmen lsei loi m e s i snt laino a e a di bet e u co o - b ta t uz - a s utr ga r h i sniv t i iazt f l , n s jci nt ni n n c n g t s t e O t i ii o vu to vf i s
种 环境下 , 入侵 检测 系统 (D ) 运而 生 , 且成 为 IS 应 并 研 究 的热 点[ 。 1 q]
聚类 检测 是一种 异 常检测技 术 , 它将 相 似 的数据 划 分 到 同一 个聚类 中, 而将不 相似 的数 据 划分 到不 同 的聚类 中 , 能够 自动 地对未 知入 侵进行 检测 l 。 _ 4 ] 模 糊 C 均 值 算 法E ( uz - a sa o 5 F zy CMen l — ] g r h 简称 F M) i m, t C 是一 种 有 效 的聚 类算 法 , 已经 引 人 到人侵 检测 中 。然 而 , 糊 C均值 聚类 算法 自身 模

基于聚类算法的网络入侵检测研究的开题报告

基于聚类算法的网络入侵检测研究的开题报告

基于聚类算法的网络入侵检测研究的开题报告一、研究背景及意义随着网络安全问题日益突出,网络入侵检测成为网络安全领域中一个非常重要的研究课题。

因此,了解并应用有效的网络入侵检测策略和工具变得至关重要。

而其中,聚类算法作为一种非监督学习方法,可以在不需要标签样本的情况下,对数据进行分类和抽象,并对异常数据进行检测。

基于聚类算法进行网络入侵检测的方法可以在一定程度上提高网络安全性和响应效率,具有非常重要的意义。

二、研究内容本项目旨在通过应用基于聚类算法的网络入侵检测方法,分析网络入侵行为的特征,提高网络入侵检测的效率与准确性。

本项目具体研究内容包括以下方面:1.网络入侵检测相关背景知识的学习和掌握。

2.对聚类算法进行深入学习,理解各种常见聚类算法的原理和优缺点。

3.利用聚类算法对网络入侵数据进行分析和处理,提取数据特征,建立聚类模型。

4.构建网络入侵检测系统,通过实验验证基于聚类算法的网络入侵检测方法的有效性和现实可行性。

三、研究计划及进度安排本研究计划为期10个月,根据研究内容和进度,将具体安排如下:1.第1-2个月:学习网络入侵检测相关背景知识,并熟悉聚类算法的原理和应用。

2.第3-4个月:收集网络入侵数据进行预处理,并提取出客观特征。

3.第5-6个月:应用聚类算法建立网络入侵检测模型。

4.第7-8个月:通过实验对网络入侵检测模型进行测试和验证。

5.第9-10个月:研究编写网络入侵检测系统,并将训练好的模型应用到实际网络中进行测试。

四、研究预期成果本研究预期可以达到以下几点成果:1.系统性学习网络入侵检测和聚类算法相关知识。

2.建立并优化基于聚类算法的网络入侵检测模型。

3.研究开发基于聚类算法的网络入侵检测系统。

4.通过实验验证该方法的有效性和现实可行性。

五、研究难点及解决方法本研究中的主要难点是如何处理大量的网络数据,并提取出网络入侵的特征。

在处理数据时,需要去除数据中的噪声和异常值,保证模型的准确性。

基于K值改进的K-means 算法在入侵检测中的应用

基于K值改进的K-means 算法在入侵检测中的应用

基于K值改进的K-means 算法在入侵检测中的应用
王朔;顾进广
【期刊名称】《工业控制计算机》
【年(卷),期】2014(027)007
【摘要】K-means聚类算法在入侵检测的运用中存在两个重要的缺陷:一是初始聚类中心是随机选择的,二是容易陷入局部最优解.提出一种改进的K-means算法,首先通过数据筛选确定高密度区域,然后确定两个最远点作为初始聚类中心以及非模糊型的集群评估指标来确定剩下的初始聚类中心,最后再进行聚类分析.实验表明,改进后的K-means算法不再依靠随机的K值和聚类中心,使得聚类过程可以依据数据集本身进行自适应的调整,同时保证了较高的网络入侵的检测率和较低的误报率.【总页数】3页(P93-94,97)
【作者】王朔;顾进广
【作者单位】武汉科技大学计算机科学与技术学院,湖北武汉430065;武汉科技大学计算机科学与技术学院,湖北武汉430065
【正文语种】中文
【相关文献】
1.基于改进K-means算法在电网企业网络入侵检测中的应用 [J], 孙章才;车勇波;姚莉;白彪;吴秋玫
2.改进K-means算法在入侵检测中的应用研究 [J], 王茜;刘胜会
3.改进 k-means算法在网络入侵检测系统中的应用研究 [J], 易云飞;杨舰
4.改进的 K-means 算法在入侵检测中的应用 [J], 黎银环;张剑
5.改进的k-means算法在入侵检测中的应用 [J], 杨锴
因版权原因,仅展示原文概要,查看原文内容请购买。

基于聚类分析的入侵检测研究

是 正常行 为还 是入 侵 行 为。
1 距 离 定 义 .
( ) (j Oi: 离 函 数具有 对称 性 。 3 di) ,=d , 距 ) ( ) (j =di ) (, : 对 象 i 对 象 j 4 di < (k+dki 从 , ) , ) 到 的直 接 距离 不会 大于 途经 任何 其 它对 象 k的距 离 个样 本点与 一个样 本集 的距离 定义 为这个样 本 点 与 这个样 本 集 中所 有样 本 点 当 中最 近 的距 离 。 则 个样 本点 x 和一 个样本集 v的距离就 定义如 下 :

入侵 检测 主要 可 以分为误 用检 测( ss tc Mi eDe — u e t n 和 异 常检 测 ( n m l eet n 。误 用 检 测 , i) o A oa Dt i ) y co 也 称 为特 征 检 测 , 它事 先定 义 某 些行 为是 非 法 的 , 后 然 将 用户 行 为与之 比较 作 出判 断。 它对 已知 的攻 击 方式 具 有较好 的检 测率 , 无 法完成 对 未知 入侵 方式 的检 但 测 。异 常检 测通过 收 集 系统 的审记 数据 , 为每个 合 法 用 户建 立行 为轮廓 。 根据 用 户行 为轮廓 之间 的差 异 度 来 判断 是否 发生入 侵 。 现有 的入侵 检 测 系统 使用 专 家 系统 、神 经 网络 、 机器 学 习等 方法 ,而 大 多数 方法需 要 给 出导 师信号 。 下面介 绍 的聚 类 分 析 异 常检 测 就 是 一 种无 需 导 师信 号 的异 常检 测技 术 , 它可 以对 没有 标记 的数据 进 行 操 作 , 相似 的数据 划 分 到 同一 个聚 类 中 , 不相 似 的 将 将 数据 划 分到 不 同的聚 类 , 并对 这些 聚 类加 以标记 表 明

基于聚类算法的入侵检测技术

和 可 靠 性 明显 得 到 提 高
入 侵 检测 与 人 工 智 能 的结 合 使 得 入 侵 检 测 技 术 得 到 提 高 . 年 来 关 于 入 侵 检 测 技 术 的 研 究 . 现 出 了 许 近 涌
多 研 究 成 果 , 如 : 于 代 理 的分 布 式 入 侵 检 测 系 统 的 例 基
况 .检 测 系 统 用 户 的 越 权 使 用 以 及 系 统 外 部 的 入 侵 者 对 系 统 的非 法 人 侵 入 侵 检 测 系 统 分 析 网 络 数 据 包 和 系 统 的审 计 数 据 . 现 对 网络 和 系 统 的智 能监 控 、 时 实 实 探 测 、 态 响应 , 以检 测 来 自系 统 内部 和外 部 的入 侵 动 可
网 络 入 侵 检 测 系 统 中 的 这类 入 侵 检 测 系统 存 在 的一
1 入 侵 检 测 技 术 概 述
入 侵 检 测 一 般 分 为 两 类 [: 1 误 用 人 侵检 测 ( s s 2 () 1 Miu e
个 最 大 不 足 就 是 :它 需 要 由 侵 检 测 知 识 。 也 就 意 味 着 : 只能 被 动 依 靠 外 界 提 这 它
收 稿 日 期 :0 0 1 5 2 1 —1 —1 修 稿 日期 :00 2 3 2 1 —1 —1
图 1 示 是 一 个 基 于 数 据 挖 掘 的 入 侵 检 测 系 统 结 所 构, 由数 据 引擎 、 测 器 、 据 库 和 数 据 挖 掘 ( 成 入 侵 检 数 生 模 型 和 异 常检 测 等 ) 四部 分 构 成 [ 基 于 数 据 挖 掘 的 入 9 1 侵 检 测 系 统 首 先 从 原 始 数 据 中 提 取 特 征 .以帮 助 区 分
It s nD tein .是 指 利 用 定 量 的 方 式 来 描 述 可 接 nr i ee t ) uo o 受 的 行 为 特 征 . 区 分 和 正 常 行 为 相 违 背 的 、 正 常 的 以 非 行 为 特 征 来 检 测 入 侵 入 侵 检 测 技 术 按 所 在 位 置 可 分 为 主 机 型 和 网络 型 :按 时 间 可 分 为 实 时 人 侵 检 测 和 事 后 入侵 检 测 等[ 3 1

基于改进k-means聚类算法的入侵检测研究

L c 1:未 授权远 程 访 问攻 击 ;() R I o a) 4P 0B NG: 测 探
与扫 描攻击 。 在 实 验 中 , 选 用 实 验 平 台 W i do XP, n WS
M a lb . 语 言 编 程 环 境 ,I tl e tu t 65 a n e P n i m 3 GH Z
吒 ’ … 参 ,
( 4 )
12样本属性加权处理 .
k -me n 算法 认 为被分 析样 本 的各个 属性 对聚 as
类结 果 的贡献 均 匀 ,没 有考 虑样 本不 同属性 特 征对 聚类 结 果可 能造 成 的不 同影 响 ,这样 就 大 大影 响 了 聚类 结 果的 准确 性 。本文 把 统计 学 中常 用 的变 异 系 数法 应 用到 入侵 检 测数 据 的属性 赋 权 中 ,通 过 属性
/一 / I ,
程 中所 起 作用 的程 度 的不 同 。
() 、 9 ,
Srie: 拒绝 服务 攻击 ;() R( sr t o) evc) 2U2 U e o Ro t: 未授 权获 取超 级用 户权 限攻 击 ;() 2 ( moe o 3R LRe t t
误检 率
03 % 3
检测 率
l O 2 % O2
误检率
04l %
检测率
2 4
l 5 2 0 2 5
3 0
3 % 54 4 1 4 % 5 % 33
5 l 6 %
04 O5 % 6 06 0
08 % 7
413< 0 8 6 q 32 6 75 1 %
步骤 2 :初 始 中 心 点 集 M 初 始 化 为 空 集 , 即
, /一 1
\ ( 1 、 /

基于聚类分析的入侵检测研究


动中连接数据记录之间的关联关系。这种算法也 有同样的缺点 , 就是必须要有做了标记的网络记录 来 训 练数 据 挖 掘 方 面 的 规 则 , 就 是 说 预 先 制 定 也
“ 常” “ 常” 正 与 异 两类 数据 。这 样在 规则 的扩 展上 有很 大 的局 限 性 。通 过分 析 上 面两 种 算 法 的基 础
m, 大 于 m 的聚 类簇 即认 为是 正 常 行 为 , 则 即 对 否 是异 常行 为 。 在基 于聚 类分析 的入 侵检 测过程 中 , 行初 始 进 化聚 类 的算 法 步骤如 下 :
收网络 中所有正在传输的数据包 , 并把它们记录到
文件 中 。然 后将原 始 的 网络 数 据包 恢 复成 T P I C /P
3 数据挖掘方法应用在入侵检测 中
的 比较
根 据入侵 检测 的技 术 特点 , 目前 可用 于入侵 检
日 新月异、 出不穷 , 层 针对这些攻击手段 的网络安 全技术也随之迅速发展。但诸如用户鉴别、 信息保 护( 如加密) 防病毒、 、 防火墙等被动防御技术作为 保障网络的第一层防线, 已经不能完全满足需要 , 也不能完全防止入侵的发生 。由于传统 的操作系
统加 固技 术和 防火 墙 技 术 等 都是 静 态 的安 全 防 御 技术 , 网络环 境下 日新 月异 的攻 击手段 缺 乏主 动 对 反应 。为 了能更 主 动 的检测入 侵 , 入侵 检测 技术 被 提 出和研究 。入侵 检 测 技 术是 一 种 主 动 的 安 全 技
测领域的有关算 法主要有 : 分类算法、 聚类分析算 法和关联分析算法 , 本文选择聚类分析算法是做了 大量的研究之后才选择了关联分析算法 。其 中, 分 类算法的主要 目的是把一个数据项划分到预先定 义 类别 中 的某 一 类 。 算 法 一 般 采 用 分 类 器 ( 类 分
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

目标 系统
事件产生器
日志数 据存储
分析引擎
响应单元
数据搜 集配置 数据搜集
状态 信息
检测 策略 检测
响应 策略 响应
图 1 入侵检测系统结构图
基金项目: 山西省高校科技开发项目 (No.200512G2) ; 山西大学科研项目 (No.2005103) 。 作者简介: 杜强 (1985—) , 男, 硕士研究生, 主要研究方向: 网络安全; 孙敏 (1968—) , 女, 副教授, 硕士研究生导师。E-mail: duqiang.student@ 收稿日期: 2010-05-12; 修回日期: 2010-08-09
网络系统面临着越来越多的攻击和安全问题。为了有效地保 护网络环境, 及时有效地发现攻击行为, 继防火墙、 数据加密 等传统安全保护措施后入侵检测作为一种新的安全防护技术 应运而生。如今, 网络速度不断加快, 入侵方式和种类的不断 更新, 这些都对入侵检测技术提出了新的要求。入侵检测分 为误用检测和异常检测两种类型, 其中异常检测技术根据使 用者的行为或资源使用状况来判断是否存在入侵, 不依赖具 体入侵是否出现来检测, 而且对系统的依赖性相对较小, 从而 成为了近几年来网络安全研究的热点之一。 数据挖掘技术于 1999 年由 Wenk Lee[1]等人引入到入侵检 测系统中。聚类分析作为一种常用的数据挖掘技术, 其算法 简单、 计算复杂度低, 尤其适用于高速网络环境。然而聚类分 析算法本身采用随机法选择初始聚类中心和易陷入局部最优 解等问题极大地限制了其在网络入侵检测方面的应用。基于 上述现实背景, 提出了一种基于改进聚类分析算法的入侵检 测系统, 并通过仿真实验验证了该系统的优越性。
106
2011, 47 (11)
Computer Engineering and Applications 计算机工程与应用
基于改进聚类分析算法的入侵检测系统研究
杜 强, 孙 敏 DU Qiang, SUN Min
山西大学 计算机与信息技术学院, 太原 030006 School of Computer and Information Technology, Shanxi University, Taiyuan 030006, China DU Qiang, SUN Min.Intrusion detection system based on improved clustering puter Engineering and Applications, 2011, 47 (11) : 106-108. Abstract:There are two major problems exist in commonly used clustering algorithm for intrusion detection systems: One is clustering algorithm that uses the random method to determine initial cluster centers, the other is that it is easy to fall into local optimal solution caused by climbing-type technology.Based on this, an improved clustering algorithm is proposed.By determining the initial cluster centers of the two farthest, hierarchical clustering based on the maximum-minimum distance and DBI index it determines the remaining initial cluster center, the method solves the mentioned issue.The simulation verifies the feasibility and superiority of the proposed algorithm. Key words:intrusion detection; cluster analysis; K-means algorithm 摘 要: 针对常用聚类分析算法应用于入侵检测系统所存在的两大方面的问题: 一是其采用随机法确定初始聚类中心, 不同的初
1
引言
随着网络广泛应用和网络技术特别是黑客技术的发展,
2 入侵检测系统简介及常用的聚类分析算法 2.1 入侵检测系统简介
入侵检测系统 (Intrusion Detection System, IDS) 从系统 内部和各种网络资源信息中, 分析可能的入侵攻击行为, 扩展 系统管理员的安全管理能力 (包括安全审计、 监视、 进攻识别 和响应) , 提高信息安全基础结构的完整性。入侵检测系统根 据用户的历史行为, 基于用户的当前行为, 完成对入侵的检 测, 并留下证据, 为数据恢复和事故处理提供依据。就检测技 术而言, IDS 有误用检测和异常检测之分。一个入侵检测系 统一般包含数据搜集、 入侵检测和入侵响应三个部分, 其一般 结构如图 1 所示[2]。
始值可能产生不同的聚类结果; 二是采用爬山式技术导致容易陷入局部最优解。基于此提出一种改进的聚类分析算法, 通过确 定两个最远初始聚类中心和基于最大最小距离的层次聚类、 DBI 指标来确定剩余初始聚类中心, 该方法使上述问题得到解决, 并 通过仿真实验验证了该算法的可行性和优越性。 关键词: 入侵检测; 聚类分析; K-means 算法 DOI: 10.3778/j.issn.1002-8331.2011.11.030 文章编号: 1002-8331 (2011) 11-0106-03 文献标识码: A 中图分类号: TP393.08
di j 表示。
(3) 如果 j = t , 那么 xt 与 x j 互为最大距离点, 则转到 (6) ; 如果 j ¹ t , 则转到 (4) 。
xt 与 x j 互为最大距 (4) 如果 dt i ³ di j , 则与 (3) 结果一致,
离点。 (5) 如果 dt i < di j , 则 xi 与 x j 距离最远, 二者互为最大距 离点。 (6)c1 和 c 2 分别用于存储找到的互为最大距离的两个点, 用作初始两个聚类中心。
杜 强, 孙
敏: 基于改进聚类分析算法的入侵检测系统研究
2011, 47 (11)
107
2.2 入侵检测中常用的聚类分析算法介绍
聚类分析是将数据集合中的对象划分成若干个类的过 程, 使得同一个类的对象具有较高的相似度, 而不同类的对象 之间相似度较低, 或者说不同类之间的对象差异较大。因此, 基于聚类分析的入侵检测技术就是用无参数的方法将事件流 用向量表示, 然后再利用聚类分析算法将它们分为行为类。 每一类都代表相似的活动或用户的行为, 这样就能够辨别出 正常和异常的行为。无监督聚类分析算法应用于入侵检测不 需要对训练集进行标类和严格的过滤, 而且对于检测网络数 据中的未知攻击行为有比较好的效果, 因此聚类分析算法在 入侵检测领域[3]值得进一步深入研究。 在众多聚类分析算法[4]中, 将 K-means 算法应用于异常检 测的优点是其方法简单、 计算复杂性小, 因此容易达到入侵检 测实时性的要求, 而且也比较容易实现。其基本思想是: 随机 地选择 k 个对象, 每个对象初始化地代表了一个类的平均值或 中心。对剩余的每个对象, 根据其与各个类中心的相似度, 将 它赋给最近的类, 然后重新计算每个类的平均值, 这个过程不 断重复, 直到准则函数收敛。其主要步骤 描述如下: 输入: 指定类的个数 K 和包含 N 个对象的数据集。 输出: k 个类。 方法: (1) 从 N 个数据对象中任意选择 k 个对象作为初始的类中心。 (2) 计算剩余数据对象到各个聚类中心的距离, 并把对象 分配到离各自最近的聚类中。 (3) 分配完成后, 重新计算 k 个聚类的中心, 即计算聚类中 对象的平均值。 (4) 与前一次计算得到的 k 个聚类中心比较, 是否准则函 数开始收敛, 是则转 (5) , 否则转 (2) 。 (5) 输出 k 个聚类结果。 该算法在计算两个数据对象之间相似度时, 考虑到网络 入侵检测效率的因素一般采用计算复杂度较小的欧几里德距离 作为两个数据对象之间属性值的相似性度量, 式子表示为:
O n =பைடு நூலகம் x1 x 2 x n} , 假设数据库中有 n 个数据对象, 随机 di j 表示数据对象 i 和 j 之间的距离。 选择一个数据对象 xt ,
(1) 寻找与数据对象 xt 距离最远的对象 xi , 两者间距离用
dt i 表示。
(2) 寻找与数据对象 xi 距离最远的对象 x j , 两者间距离用
(2)
其中 E 为数据库中所有数据对象的均方差之和,p 代表其所 在聚类空间的一个数据对象点, mi 为聚类 ci 平均值,p 和 mi 均为多维的数据对象。 可见, K-means 算法是解决聚类问题的一种经典算法。它 的主要优点是算法简单、 快速而且能有效地处理大数据库。 然而这种算法采用随机法选取初始聚类中心, 因此对不同的 初始值可能会导致不同的聚类结果, 使聚类结果产生不稳定 性, 应用于在线入侵检测系统导致该算法的执行结果与输入 顺序[6]有关。其次, 这种算法采用了所谓的爬山式技术来寻找 最优解, 其每次调整都为了寻求更好的聚类结果, 因此很容易 陷入局部最优解 [7]。由于这两大缺陷极大地限制了该算法的 应用范围, 因此本文选择改进的 K-means 算法应用于网络入 侵检测 系统。
d c (i j) = |xi1 - x j1|2 + |xi2 - x j2|2 + ... + |xip - x jp|2
[5]
3 改进的 K-means 算法 3.1 确定两个最佳的初始聚类中心
选取两个最佳最远聚类中心的思想是为了避免算法初始 值选取时很可能出现的初始聚类种子过于邻近的问题, 算法 初始时选出距离最远的两个数据对象, 从而形成两个初始的 聚类中心, 以便很好地保证后续的处理使同一类内的对象有 极高的相似性[9], 而不同类之间有极低的相似性。为保证系统 在处理大数据量时的高效率, 本文设计一种时间复杂度为 O(n) 的计算方法, 其相关说明如下: