基于多克隆和C均值算法入侵检测系统.docVIP

基于多克隆和C均值算法入侵检测系统 　　摘要： 本文将多克隆算子和模糊C-均值算法相结合，将多克隆的免疫基因策略作用于特定的亲合度函数来指导聚类过程，得到一种无监督的聚类分析方法。该方法不依赖先验知识、与数据分布无关、能够有效处理大规模原始数据。在KDD CUP99数据集上进行了仿真实验，实验结果表明基于本文方法的入侵检测系统具备良好的性能。 　　Abstract： A novel clustering algorithm is developed by using polyclonal algorithm and fuzzy C-means algorithm， which is directed by affinity function applied by polyclonal strategy. Independent of transcendental knowledge and data distribution， this algorithm can deal with mass unlabeled data， and the computer simulations on the KDD CUP99 dataset show that this method can achieve good performance. 　　关键词： 多克隆策略；模糊C-均值；入侵检测 　　Key words： poly-clonal strategy；Fuzzy C-Means；intrusion detection 　　中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2013）25-0192-02 　　0 引言 　　随着计算机网络技术的飞速发展，网络入侵的风险也日益加剧，如何对网络攻击进行有效的检测已成为网络安全领域的重要课题。入侵检测就是从系统所处理的数据中找出威胁系统安全的因素，并对威胁做出相应处理。是一种主动的、实时的网络安全防御措施[1]。 　　入侵检测算法通过建立用户正常行为模型，以是否显著偏离正常模型来进行检测。大多数系统在构造检测算法时，均采用带标签或完全正常的数据来训练获得正常模型，这种有监督的方法在实际中工作量巨大，并不可行。本文旨在构造一种无监督的入侵检测系统：将人工免疫系统中的多克隆策略引入聚类算法进行聚类分析获得正常模型，从而进行异常检测。 　　1 多克隆策略 　　1.1 克隆算法 　　克隆算法是一种人工免疫系统方法[2]。其操作过程可表示成如下的随机过程，即克隆操作、免疫基因操作和压缩选择操作。 　　A（i）■B（i）■C（i）■A（i+1） 　　克隆的实质就是在进化过程中，在一代最优解的附近，根据亲合度的大小，产生一个变异解的群体，扩大搜索范围，增加抗体的多样性，防止了进化早熟和搜索陷于局部最优。 　　1.2 多克隆算法 　　在人工免疫系统中，免疫基因操作包括抗体的交叉和变异。仅采用变异的克隆算法为单克隆算法；交叉和变异都采用的为多克隆算法，其更多的继承了父代的特点，收敛速度更快。 　　2 基于多克隆策略的模糊C-均值聚类算法 　　聚类分析是一种无监督的数据分析方法，将一个未标记的样本集按某种准则划分成若干子集。其中相似的样本尽量归为一类，不相似的样本尽量归为不同类[3]。 　　传统的聚类分析方法是一种硬划分，会将每个待辨识的对象严格的划分到某一类中，具有非此即彼的性质。然而实际中，大多数对象并没有严格的属性，它们在性态和类属方面存在着中介性，适合进行软划分。模糊集理论为这种软划分提供了有力的分析工具，用模糊的方法来处理聚类问题的过程即为模糊聚类分析方法。模糊聚类建立起了样本对于类别的不确定性的描述，可以更客观的反映现实世界，从而成为聚类分析研究的主流。在众多模糊聚类方法中，应用最广泛的就是模糊C-均值聚类算法。从本质上来说，该算法是一种局部搜索优化方法，对初始化很敏感，容易在迭代中陷入局部最优。为了克服这些缺点，可以引入人工免疫系统算子对算法进行改进，从而提高算法的收敛速度和聚类的有效性。本文就将多克隆算子作用于特定的亲和度函数来指导模糊C-均值聚类的过程。 　　2.1 目标函数 　　令X={x1，…，xn}表示一个样本集，其中xi=（x■■，…，x■■，x■■， 　　x■■，…，x■■）■表示第i个样本的m个特征值。对X进行聚类，目的就是要找到一个最优划分，将其分为k类。本文通过以下目标函数来指导聚类的过程。 　　C（W，P）=■（■w■■■x■■-p■■■）+λ■w■■■δ（x■■， 　　p■■），w∈[0，1]（1） 　　其中pi=（pi1，pi2，…，pim）T表示第i类的原型，wij是xj属于第I类的隶属度。W是k×