聚类算法简介-ppt.pptVIP

基于聚类的入侵检测方法 由于IDS需要处理的数据量非常大，对建模和检测的准确性、时效性要求高，因此在研究基于聚类的入侵检测方法时重点考虑三个方面的要求： 聚类算法时间复杂度低； 聚类精度高，能将不同类型的数据聚集在分离的簇中； 给簇准确做标记，能得到较准确的分类模型。 基于聚类的检测方法 主要由两大模块构成： 模型建立 第一步：对训练集进行聚类； 第二步：利用聚类结果得到分类模型； 模型评估 检测率：被正确检测的攻击记录数占整个攻击记录数的比例。 误报率：表示正常记录被检测为攻击的记录数占整个正常记录数的比例。 未见攻击类型的检测率：表示测试集中出现而训练集中没有出现的新类型攻击记录被正确检测的比例。 基于聚类的入侵检测方法分类 有指导的入侵检测方法 通过在已标记为正常和入侵的数据集上进行训练，建立分类模型，通过检测数据偏离各分类模型的偏差来检测非正常的、潜在的入侵行为。 方法的有效性取决于训练数据集的质量。 要求训练数据被正确地标记为正常或攻击，如果标记不正确，则算法可能会将某种入侵行为及其变种看成正常而不能检测，从而使检测率降低，或者将正常行为看成入侵，使误报率提高。 有指导的聚类检测过程 1.初始时，簇集合为空，读入一个新的对象； 2.以这个对象构建一个新的簇，该记录的类别标记作为新簇类别的标志； 3.若已到数据库末尾，则转6，否则读入新对象，利用给定的距离定义，计算它与每个