聚类算法在入侵检测中的运用.pdf

摘要 摘要 随着计算机技术和网络技术的不断发展，Intcrnet在为我们带来许多机遇和丰 富的网络资源的同时，也使得计算机安全问题更加复杂和突出，这直接关系到个 人隐私、商业利益乃至国家机密。因此，如何有效而迅速地发现并阻止各种非法 入侵行为，成为当今网络安全有待解决的重要问题。虽然现在已有很多传统安全 产品，如认证、访问控制、加密、防火墙等，但是这些安全系统存在不完备性， 而入侵检测技术能够弥补它们的不足。入侵检测能够找到系统漏洞，并在非法入 侵者攻击计算机系统时，实时地捕获这些入侵攻击行为；因此，入侵检测技术是 一种新的安全保障技术，是计算机安全体系中的非常重要组成部分，已成为当前 计算机安全技术研究的重点。 现在已有的入侵检测系统的智能化水平低，对入侵攻击行为的实时检测能力 不强，检测的准确率低，误报率高；而数据聚类方法应用到入侵检测中，能够使 得入侵检测系统具有自学习、自组织的能力，提高系统处理海量数据的能力，从 而提取数据中有潜在价值的知识和规则，提高检测能力；数据聚类方法是一种典 型的无监督学习技术，可以在未标记数据集上直接建立入侵检测模型或者发现异 常数据；本文中提出的aiNet增量聚类算法结合了人工免疫原理中的克隆选择、亲 和力成熟以及网络抑制等免疫机制，有效地提高自学习和智能化能力；把增量聚 类和子簇合并的思想应用到该算法中，有效地提高聚类效率；数据聚类算法在入 侵检测领域有着广泛的应用前景，这是一个非常有价值的研究方向。 本文的课题来源于四川省科技厅应用基础研究项目“基于安全免疫服务网络 的入侵检测技术研究(2008Ⅳ0058)。本文的主要研究工作： 1．介绍了几种传统的数据挖掘聚类算法，然后重点研究基于免疫原理的聚类 算法，并对算法优缺点进行了分析，在此基础上提出aiNet增量聚类算法。 2．在分析现有入侵检测系统模型的基础上，把aiNet增量聚类算法应用到入侵 检测中。该模型工作过程分为数据预处理、聚类分析、标识类和实时检测四个阶 段；首先对数据的所有属性值进行标准化，再利用该聚类算法来对网络数据进行 分类，区分哪些网络数据是正常的，哪些网络数据是异常的；然后把包含异常网 络数据的簇标记为异常簇，而将包含正常网络数据的簇标记为正常簇。 3．实时检测数据。根据检测算法进行增量聚类，在不断完善聚类结果的同时 摘要 有效而快速地检测出入侵攻击行为。 4．先使用二维数据集来证明，增量聚类算法的聚类结果与重新聚类的聚类结 99数据 果一致，以及aiNet增量聚类算法能有效地提高聚类效率；再使用KDDCup 集对基于aiNet增量聚类算法和增量式K-means聚类算法的入侵检测模型进行实验， 实验结果表明，基于aiNet增量聚类算法的入侵检测模型能有效地提高检测率和降 低误报率，而且检测速度也有所提高。 关键词：聚类算法，入侵检测，人工免疫网络，增量聚类 Ⅱ ABSTRACT ABSTRACT With of andnetwork US the computer technologies，internetbrings development and network involvedin opportunitiesmany resources，thusmakingcomputersecurity benefitsandnationalsecretmoreandmore and personalprivacy,business complicated remarkable．Sohowto