孤立點(diǎn)挖掘在入侵檢測(cè)中的應(yīng)用研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，新類(lèi)型的入侵行為也層出不窮，人們迫切需要能檢測(cè)出新類(lèi)型入侵行為的技術(shù)。異常檢測(cè)技術(shù)從理論上能解決這個(gè)問(wèn)題，因此出現(xiàn)了多種異常檢測(cè)方法。數(shù)據(jù)挖掘是幫助人們?cè)诤Ａ繑?shù)據(jù)中發(fā)現(xiàn)信息和知識(shí)的工具，廣泛應(yīng)用到各個(gè)領(lǐng)域，包括異常檢測(cè)。數(shù)據(jù)挖掘中的大多數(shù)算法是針對(duì)數(shù)據(jù)集一般模式的研究，但是現(xiàn)實(shí)生活中的各種領(lǐng)域，經(jīng)常出現(xiàn)一些與數(shù)據(jù)集的一般行為或模型不一致的數(shù)據(jù)對(duì)象，這些對(duì)象稱(chēng)為孤立點(diǎn)。對(duì)孤立點(diǎn)的識(shí)別就是對(duì)數(shù)據(jù)集小模式的研究。在網(wǎng)絡(luò)

2、活動(dòng)中，正常行為遠(yuǎn)遠(yuǎn)多于入侵行為，入侵行為本身在本質(zhì)上有別于正常行為，即入侵行為與正常行為是不一致的。因此，采用孤立點(diǎn)挖掘技術(shù)來(lái)識(shí)別入侵行為包括識(shí)別出新類(lèi)型的入侵行為，具有一定的理論基礎(chǔ)和實(shí)踐意義。基于距離的孤立點(diǎn)挖掘技術(shù)D<'k><,n>，以其接近孤立點(diǎn)本質(zhì)和算法簡(jiǎn)單的優(yōu)勢(shì)，是孤立點(diǎn)挖掘應(yīng)用廣泛的算法。針對(duì)D<'k><,n>原始算法具有較高的時(shí)間復(fù)雜度，出現(xiàn)了多種優(yōu)化算法:循環(huán)嵌套、基于索引和基于劃分的方法等。當(dāng)數(shù)據(jù)量太大、屬性較多時(shí)

3、，基于劃分的方法較之其它方法具有更好的性能。因此，對(duì)數(shù)據(jù)量大、屬性多的入侵檢測(cè)來(lái)說(shuō)，基于劃分的方法是最好的選擇。借鑒基于劃分的思想，本文提出了一種改進(jìn)的基于距離的孤立點(diǎn)算法:首先采用一種基于距離的聚類(lèi)方法將數(shù)據(jù)集分割成多個(gè)數(shù)據(jù)子集;然后分析子集的固有特性，計(jì)算每個(gè)數(shù)據(jù)對(duì)象的第k最近鄰距離;最后將數(shù)據(jù)對(duì)象的第k最近鄰距離由大到小進(jìn)行排序，取前n個(gè)數(shù)據(jù)對(duì)象為孤立點(diǎn)。此算法實(shí)現(xiàn)簡(jiǎn)單、有效，并且從理論上，能很好地應(yīng)用于異常入侵檢測(cè)。 本