基于密度和网格的入侵检测算法研究.docVIP

基于密度和网格的入侵检测算法研究 　　摘要：该文用一种基于密度和网格的混合聚类算法构造出一种适合入侵检测系统使用的异常检测算法。通过基于密度聚类算法和基于网格聚类算法的有效结合，使之更加适用于如今大流量下的入侵检测。最后，使用KDDCUP99数据集对算法进行测试结果表明，本算法能获得较理想的检测率和误检率，并有较好的系统性能。 　　关键词：密度聚类；网格聚类；混合聚类；入侵检测 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)20-4847-03 　　Research of Intrusion Detection Arithmetic Based on Density and Grid 　　WANG Gan 　　(School of Electronic and Information Engineering, Lanzhou jiaotong University, Lanzhou 730070, China) 　　Abstract: A hybrid clustering algorithm based on density and grid is used in this paper to construct an anomaly detection algorithm which benefits intrusion detection system.By effective combination of density-based clustering algorithm and grid-based clustering algorithm,The arithmetic is used better in the present intrusion detection of high flow.In the end,the results that KDDCUP99 data set was used to test the arithmetic show that the algorithm can get ideal detection rate,false detection rate and it has better system performance. 　　Key words: density clustering；cluster grid；hybrid clustering；intrusion detection 　　随着计算机网络的迅猛发展和网络规模的不断扩大，网络安全问题日益突出。传统的杀毒软件和防火墙已经不能完全应对日趋严重的网络安全问题，主动防御的入侵检测系统（Intrusion Detection System，下称IDS）成为近年来的研究热点。现今的IDS主要分为基于误用检测算法和基于异常检测算法两种，基于误用检测算法依赖于一个特征库，正因如此，倘若该特征库中没有包含某种新型攻击，算法对该攻击将无能为力；而异常检测算法针对用户的正常行为建模，当模型建立好后，运行于网络环境中的IDS检测到网络流量或操作系统审计特征超出正常行为模型之外时，就认为入侵发生了。但因异常检测存在对整个系统的所有用户行为描述的完备性问题，涉及大量的数据处理，导致其误检率较高，系统性能不甚理想。 　　数据挖掘技术是一项通用的知识发现技术，它能较好地从海量数据中提取对用户有用的数据。其中的聚类分析近年来成为数据分析领域的一个研究热点。将聚类算法应用于入侵检测中，势必提高入侵检测的性能和减少误检率。本文就是将聚类分析中的密度聚类算法和网格聚类算法有效结合应用于入侵检测的异常检测中，下面将分别对基于密度聚类算法和基于网格密度算法进行简要介绍，并给出一种新的二者结合算法，最后给出实验后其与现有一些算法的性能对比，证明其确实提高了系统性能和拥有较小的误检率。 　　1 相关聚类算法简介 　　基于密度的代表算法DBSCAN（Density-Based Spatial Clustering of Applications with Noise）利用类的密度连通特性，可以快速发现任意形状的类，这样不再局限于只能发现类球形的簇。其算法思想是：对于一个类中的每一对象，在其给定半径（Eps）的邻域中包含的对象不能少于某一给定的最小阀值（MinPts）。但其缺点是需要大量的内存和I/O开销，时间复杂度为O(NlogN) (N为数据量)、偏高，还有对参数Eps和MinPts很敏感，不易确立。 　　基于网格聚类算法 　　该算法思想是首先将数据空间量化为有限个单元的网格结构，然后对量化后的单个的单元为对象进行聚类。典型的算法有STING（Statistical Information Gr