异常侦测集群AnomalyDetectionclustering.pptVIP

 異常偵測集群Anomaly Detection clustering Anomaly Detection的崛起 根據美國電腦網路危機處理暨協調中心報告指出，在過去的幾年內攻擊事件正以指數方式增加，而目前最常用於入侵偵測的方式是不當行為偵測(misuse detection)，但此方法是利用先前已知的事件建立各種攻擊模式，再比對找出異於正常行為的行為模式。 然而缺點是必須時常更新特徵資料庫或偵測系統，倘若現行攻擊行為不存在於攻擊模式資料中，將無法偵測此行為。 因為如此的限制，使得近來結合Data Mining方法於異常偵測(anomaly detection)受到廣大的矚目與研究。 近來，已有在入侵偵測的問題上應用於集群演算法來改善傳統異常偵測的問題。 集群演算法的好處是對原本的資料不必作標記且不需任何入侵的專業知識，單純利用資料彼此之間的相似與相異程度作分群，因此可找出不當行為偵測(misuse detection)模式下所無法辨識的入侵行為，同時也解決了取的大量正常行為資料的困難，因為現實的網路環境下，攻擊與正常行為並非完全獨立存在。 Anomaly Detection的觀念 異常偵測的主要觀念是在對使用者或網路流量先建立一個正常的行為，再對通過得封包去做對比，假如正常行為產生偏差則視為異常。此種作法的優點是可以偵測未知型態的入侵，但是誤判率會非常高，因為我們