一种改进聚类算法在入侵检测中的应用.docVIP

一种改进聚类算法在入侵检测中的应用 【 摘 要 】 本文首先介绍入侵检测系统的基本结构和研究情况，然后介绍了K-means聚类算法的目标函数、算法流程；在总结K-means聚类算法存在的问题的基础上，提出了一种改进的聚类算法。该算法为基于数据挖掘的入侵检测的设计提供了相关可操作的理论依据。最后，通过模拟实验，证明了改进算法的有效性。 【 关键词 】 数据挖掘；入侵检测；聚类算法 The Application of An Improved Clustering Algorithm in Intrusion Detection Zhao Yun Gu Jian Zhang Xiao-xiao （The Third Research Institute of Ministry of Public Security Shanghai 200031） 【 Abstract 】 In this paper， the basic structure and research situation of intrusion detection system are introduced firstly， and then the objective function and procedure of the K-means clustering algorithm are presented. Based on the summarized problems of K-means clustering algorithm， an improved clustering algorithm is proposed. The algorithm provides a related operable theoretical basis for intrusion detection design based on data mining. The simulated experiments prove the validity of the improved algorithm /. 【 Keywords 】 data mining； intrusion detection； clustering algorithm 0 引言 由于计算机网络的广泛使用和网络之间信息传输量的急剧增长，入侵行为正在不断的扩大，随着时间的推移，攻击的手段和原理也越来越复杂，而攻击的工具却越来越自动化，使得攻击越来越自动化。普通的网民可以利用工具进行攻击，不需要依赖黑客。对网络安全工作提出了很大的挑战。 入侵检测技术是近20年来继防火墙、数据加密等传统安全机制之后出现的一种主动保护自己以免受黑客攻击的积极主动的安全防御技术。入侵检测系统（Intrusion Detection System，IDS）通过对入侵行为过程和特征的研究，使安全系统能够对入侵事件和入侵过程做出实时相应，它是一种随着当前网络状态变化而动态相应得安全防御手段，被认为是防火墙之后的第二道安全闸门。它在不影响网络性能的前提下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护，并采取相应的防护手段，这些手段包括记录证据用于跟踪入侵者和灾难恢复、发出警报，甚至终止进程断开网络连接等。可是目前的入侵检测系统只是将抓取的数据包或者数据与已有的模式数据库做比较，采用目前的模式匹配方法对已经存在的攻击具有很高的检测效率和正确率，但对目前流行的 很多新的入侵攻击行为和手段却有很大的局限性，检测效率和正确率比较低. 因此利用数据挖掘技术不仅可以提高检测速度，减少手工操作的工作量，用来进行入侵检测，还将提高入侵检测的检测效率和准确性。数据挖掘技术能够从大量的数据中挖掘出有效的、新颖的具有潜在用途并最终可理解的格式。如何将数据挖掘技术应用到入侵检测领域，探索可行的有效的数据挖掘算法，解决入侵检测系统自适应性和高效性的瓶颈问题成为入侵检测领域一个重要的研究方向。 1 K-means算法研究 K-means聚类算法是由Steinhaus于1955年、Lloyd于1957年、BallHall于1965年、McQueen于1967年分别在各自的不同的科学研究领域独立的提出。它是一套很典型的基于划分的聚类算法，由于其简单、计算复杂度小和快速收敛等优点，很多聚类任务都选择该经典算法。它采用距离作为评价相似性的指标，即如果两个对象的距离越近则其相似度就越大。该算法将相似的某些对象定义为簇。 算法描述如下：假设样本集是E，类C定义成E的一个非空子集，即C∈E且C=。每个类或簇就是满足下面两个条件的类或簇C1，C2，...，Ck的集合： C1∪C2... ∪Ck=E （1） Ci ∩Cj=，（对任意i≠j） （2） 由公式（1）