基于聚类的二次异常入侵检测算法.pdfVIP

2O10．03 ■doi：10．3969~．issn．1671-1122．2010．03．016 基于聚类的二 侵检测算法 王飞，钱玉文 ，王执铨 (南京理工大学 自动化学院，江苏南京 210094) 聚类分析是一 种无监督的学习方 在网络安全问 ■ 法。它的输入是一 题日益突出的今天， ■ 组 未标记 的数据， 如何快速有效的发 ■ 这些数据的分类情 现各类新的入侵行 ■ 况是未知的，通过 为，对于保证系统 ■- 聚类分析将数据划 和网络资源的安全 ■ 归 到不 同的类 中， 类之间的差别尽可 侵检测系统 (IDS)是网络安全中的重要研究课题 ，是继防 能的大，而类内的差别尽可能的小。聚类分析有多种方法，集中 火墙技术，数据加密等众多信息安全防范技术之后的重要的 表现为两类 ：划分的方法和分层的方法。基于划分的方法需要 信息安全保障措施。侵检测技术一般分为两类 ：1)误用检测 ；2) 指定参数，不能 自动的增减新类，这是此类方法的缺点。另外， 异常检测。异常检测可不依赖标记的数据样本对人侵进行有效 此类方法对于差别很大带有孤立点数据类的聚类效果不是很好， 检测。聚类检测是一种异常检测技术。Portnoyetal(2001)… 且对初始值的选取较为敏感。K一均值法是这类方法中的典型代 和Eskineta1．(2002) 提出了基于聚类的异常检测算法，算 表。基于层次的方法主要以样本问的相似度为基础，根据相似度 的大小对不同的类进行合并或分类，来逐步完成对数据的聚类。 法通过训练数据集生成聚类，再根据生成聚类的大小自动标 示 “正常”和 “异常”，然后通过标示过的类来分类网络数据。 除此之外还有其它的诸如基于网格的方法，基于密度的方法等。 1．2数据预处理 在已知的无监督方法中大都存在以下不足 】：1)难以确 数据预处理对于提高聚类算法的有效性和快速性都起着