半徑可調(diào)的覆蓋聚類算法在入侵檢測中的研究.pdf

1、計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，特別是Internet的快速普及，促進了計算機與互聯(lián)網(wǎng)技術(shù)的不斷創(chuàng)新與升級。社會信息化程度的提高使人們的日常生活與網(wǎng)絡(luò)的關(guān)系越來越密切，同時大量的網(wǎng)絡(luò)系統(tǒng)面臨攻擊和入侵。入侵檢測是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護措施后的更為有效的安全保障技術(shù)，它廣泛應(yīng)用于識別和響應(yīng)惡意使用計算機和網(wǎng)絡(luò)資源的行為。 當前多數(shù)入侵檢測方法是使用大量的標記數(shù)據(jù)來訓練入侵檢測模型的，然而很多情況下并沒有已準備好的可供

2、使用的標記數(shù)據(jù)。如果對收集到的數(shù)據(jù)進行手工標記，由于數(shù)據(jù)量十分龐大，將會耗費大量的時間和精力。而基于聚類的入侵檢測方法以一組沒有標記的數(shù)據(jù)作為輸入，進而發(fā)現(xiàn)其中存在的攻擊數(shù)據(jù)，這與傳統(tǒng)的檢測方法相比，免去了手工標記數(shù)據(jù)的繁瑣性，因此具有一定的應(yīng)用優(yōu)勢。 本文分析了傳統(tǒng)聚類方法在入侵檢測領(lǐng)域中的優(yōu)勢和不足，以提高對異常攻擊的檢測有效性為目標，分別從檢測率和誤報率兩個重要指標出發(fā)，提出了半徑可調(diào)的覆蓋聚類算法(Radius Adju

3、stable CoveringClustering Algorithm，RACCA)，將其應(yīng)用于入侵檢測，并通過大量的仿真實驗驗證了該檢測算法的有效性。 本文的主要工作集中體現(xiàn)在四個方面： 1．在深入分析入侵檢測技術(shù)和聚類技術(shù)的基礎(chǔ)上，探討了運用聚類算法解決入侵檢測問題的方法。由于聚類的方法可以在未標記數(shù)據(jù)集上找出異常，因此可以采用聚類方法對數(shù)據(jù)集進行標記，以便于關(guān)聯(lián)規(guī)則、序列規(guī)則、分類等數(shù)據(jù)挖掘方法在這些已標記好的訓

4、練數(shù)據(jù)集上進行模式挖掘，進一步更新規(guī)則庫；也可以直接利用聚類算法在訓練數(shù)據(jù)集上生成檢測模型，并進行實時入侵檢測。 2．在入侵檢測中使用了不需要進行初值選擇且聚類速度快的覆蓋聚類算法(Covering Clustering Algorithm，CCA)，同時針對CCA存在誤報率高的問題，設(shè)計了用于入侵檢測的高效聚類方法RACCA。為了降低誤報率RACCA對CCA的兩個方面做了改進：一是增加兩個改變覆蓋半徑的參數(shù)，使覆蓋半徑變得可調(diào)

5、；二是在確定下一步覆蓋的中心時，選擇離當前所有剩余未聚類樣本點重心最近的樣本點為下一步覆蓋的圓心。 3．用KDD Cup 99數(shù)據(jù)集對RACCA的效率進行了評估，實驗結(jié)果顯示本算法在入侵檢測誤報率上和CCA相比有很大程度的降低。 4．通過實驗反復(fù)精簡特征屬性集，構(gòu)造出一個在檢測率和誤報率方面都有一定改善的重要屬性集，并對利用重要屬性集實現(xiàn)的聚類進行實驗及結(jié)果分析，證實采用RACCA檢測入侵能有效提高檢測率，同時降低誤