聚类算法在网络入侵检测技术中的作用.docVIP

聚类算法在网络入侵检测技术中的作用 　　摘要：该文探讨了聚类算法作为一种无监督的异常检测技术，在网络入侵检测技术中的作用，并通过具体分析K-means算法和迭代最优化算法的优劣，把两种算法结合起来，提出一种新的分类算法。 　　关键词：模式识别；无监督的异常检测技术；聚类算法K-means算法；迭代最优化算法 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)32-1194-03 　　The Role of the Clustering Algorithm in the Network Intrusion Detection Technology 　　ZHANG Pei-shuai 　　(The PLA 71977 Unit, Rizhao 276800, China) 　　Abstract: The paper studies the role of the clustering algorithm in the network intrusion detection technology, and create a new algorithm by analysising the Pros and Cons of K-means algorithm and Iterative optimization algorithms. 　　Key words: pattern recognition; anomaly detection technology without supervision; clustering algorithm; K-means algorithm; iterative optimization algorithms 　　 　　1 引言 　　 　　我们知道，在一个多因素问题中，结果即目标与各因素即指标之间难以找出直接的联系，很难用理论的途径去解决。在各指标之间一时也寻找不到明显的关联，所能得到的只是些模糊的认识、由长期的经验所形成的感知和由测量所积累的数据。因此，若能用计算机技术对以往的经验、观察、数据进行总结，寻找目标与各指标之间的某种联系或目标的优化区域、优化方向，则对实际问题的解决是具有指导意义和应用价值的。 　　在无监督情况下，我们可以尝试以多种方式重新描述问题，其中之一是将问题陈述为对数据分组或聚类的处理。尽管得到的聚类算法没有很明显的理论性，但它们确实是模式识别研究中非常有用的一类技术。 　　聚类算法是一个将数据集划分成若干个聚类的过程，使得同一聚类内的数据具有较高的相似性，而不同聚类中的数据不具有相似性。相似或者不相似根据描述数据的属性值来度量，通常使用基于距离的方法。通过聚类，可以发现数据的密集和稀疏的区域，从而发现数据整体的分布模式，以及数据属性间有意义的关联。 　　我们首先从模式识别的思想入手进行探讨。 　　 　　2 模式识别的概念 　　 　　模式识别方法（Pattern Recognition Method）是一种借助于计算机对信息进行处理、判决分类的数学统计方法。在日常生产实践和社会研究中，往往所需处理的问题影响因素非常多且复杂，给问题的研究和解决增加了困难。模式识别方法可使人们在影响因素众多的情况下仍能对问题进行方便的处理，进而发现问题的解决途径和事物发展的潜在规律性。 　　 　　应用模式识别方法的首要步骤是建立模式空间。所谓模式空间是指在考察一客观现象时，影响目标的众多指标构成的多维空间。每个指标代表一个模式参量。 　　假设一现象有几个事件（样本）组成，每一个事件都有P个特征参量（X1,X2,…,Xp），则它就构成P维模式空间，每一个事件的特征参量代表一个模式。模式识别就是对多维空间中各种模式的分布特点进行分析，对模式空间进行划分，识别各种模式的聚类情况，从而作出判断或决策。 　　 　　3 模式分类 　　 　　模式分类的方法有很多种，比如贝叶斯决策论，最大似然估计和贝叶斯参数估计，分参数技术，线性判别函数法，独立于算法的机器学习，利用这些方法，我们一直假设在设计分类器时，训练样本集中每个样本的类别归属是“被标记了” 的，这种利用已标记样本集的方法称为“有监督”或“有教师”方法。 　　下面我们将介绍“无监督”或“无教师”方法，用来处理未被标记的样本集。 　　有许多理由使我们相信“无监督”方法是非常有用的： 　　1) 收集并标记大型样本集是个非常费时费力的工作，若能在一个较小的样本空间上粗略地训练一个分类器，随后，允许它以自适应的方式处理大量的无监督的样本，我们就能节省大量的时间和精力。 　　2) 存在很多应用，待分类模式的性质会随着时间发生缓慢的变化。如果这种性质的变化能在无监督的情况下捕捉