改進(jìn)的聚類(lèi)分析算法在入侵檢測(cè)中的研究.pdf

1、入侵檢測(cè)技術(shù)是一種通過(guò)主動(dòng)檢測(cè)來(lái)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)中異常行為的技術(shù),主要方法是采集計(jì)算機(jī)網(wǎng)絡(luò)以及系統(tǒng)中的數(shù)據(jù)信息和系統(tǒng)記錄,對(duì)這些數(shù)據(jù)進(jìn)行分析從而發(fā)現(xiàn)異常。近幾年關(guān)于入侵的研究中,數(shù)據(jù)挖掘的方法被專(zhuān)家和學(xué)者引入進(jìn)來(lái),并且得到了廣泛的使用,特別是 k-means算法被用于對(duì)網(wǎng)絡(luò)中采集到的數(shù)據(jù)信息進(jìn)行處理,方便而且靈活性強(qiáng)。但在實(shí)踐應(yīng)用中,單純的算法本身存在著明顯的缺陷。因此,圍繞算法本身來(lái)做一些改進(jìn)是很有必要的,本文的主要工作是研究和改進(jìn)k-

2、means算法在入侵檢測(cè)中的應(yīng)用。
　　首先本文對(duì)該算法在實(shí)際應(yīng)用于入侵檢測(cè)時(shí)所遇到的問(wèn)題進(jìn)行了剖析,研究后有以下兩個(gè)方面的發(fā)現(xiàn):第一,網(wǎng)絡(luò)中的數(shù)據(jù)集是未知的,可能是球面也可能是其他形狀的,而 k-means算法本身更適合處理球狀或者有固定形態(tài)的數(shù)據(jù)集;第二, k-means算法自身所固有的缺點(diǎn),如何選取聚類(lèi)的個(gè)數(shù)以及確定初始聚類(lèi)中心的位置都沒(méi)有較好的理論依據(jù),主要依靠經(jīng)驗(yàn)值,最終可能得到一個(gè)局部的最優(yōu)聚類(lèi)。對(duì)于入侵檢測(cè)的結(jié)果而言

3、,會(huì)使得檢測(cè)率大大降低。然后本文的工作也是圍繞以上兩點(diǎn)展開(kāi),先解決入侵檢測(cè)數(shù)據(jù)集的優(yōu)化問(wèn)題,一般來(lái)說(shuō)在入侵檢測(cè)中異常數(shù)據(jù)本身與正常數(shù)據(jù)相比差異較大,即可視為孤立點(diǎn)并預(yù)先進(jìn)行處理,使數(shù)據(jù)集得到優(yōu)化,接著利用Davies-Bouldin指數(shù)來(lái)確定初始聚類(lèi)中心的位置,使得算法本身避免陷入局部最優(yōu)。
　　最后選取KDDCup99數(shù)據(jù)集來(lái)模擬網(wǎng)絡(luò)中的入侵?jǐn)?shù)據(jù)和正常數(shù)據(jù),進(jìn)行了一定的實(shí)驗(yàn)分析。實(shí)驗(yàn)結(jié)果顯示,本文提出的研究和改進(jìn),對(duì)于入侵檢測(cè)的