改進(jìn)的聚類分析算法在入侵檢測中的研究.pdf

1、入侵檢測技術(shù)是一種通過主動檢測來發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)中異常行為的技術(shù),主要方法是采集計算機(jī)網(wǎng)絡(luò)以及系統(tǒng)中的數(shù)據(jù)信息和系統(tǒng)記錄,對這些數(shù)據(jù)進(jìn)行分析從而發(fā)現(xiàn)異常。近幾年關(guān)于入侵的研究中,數(shù)據(jù)挖掘的方法被專家和學(xué)者引入進(jìn)來,并且得到了廣泛的使用,特別是 k-means算法被用于對網(wǎng)絡(luò)中采集到的數(shù)據(jù)信息進(jìn)行處理,方便而且靈活性強(qiáng)。但在實踐應(yīng)用中,單純的算法本身存在著明顯的缺陷。因此,圍繞算法本身來做一些改進(jìn)是很有必要的,本文的主要工作是研究和改進(jìn)k-

2、means算法在入侵檢測中的應(yīng)用。
　　首先本文對該算法在實際應(yīng)用于入侵檢測時所遇到的問題進(jìn)行了剖析,研究后有以下兩個方面的發(fā)現(xiàn):第一,網(wǎng)絡(luò)中的數(shù)據(jù)集是未知的,可能是球面也可能是其他形狀的,而 k-means算法本身更適合處理球狀或者有固定形態(tài)的數(shù)據(jù)集;第二, k-means算法自身所固有的缺點,如何選取聚類的個數(shù)以及確定初始聚類中心的位置都沒有較好的理論依據(jù),主要依靠經(jīng)驗值,最終可能得到一個局部的最優(yōu)聚類。對于入侵檢測的結(jié)果而言

3、,會使得檢測率大大降低。然后本文的工作也是圍繞以上兩點展開,先解決入侵檢測數(shù)據(jù)集的優(yōu)化問題,一般來說在入侵檢測中異常數(shù)據(jù)本身與正常數(shù)據(jù)相比差異較大,即可視為孤立點并預(yù)先進(jìn)行處理,使數(shù)據(jù)集得到優(yōu)化,接著利用Davies-Bouldin指數(shù)來確定初始聚類中心的位置,使得算法本身避免陷入局部最優(yōu)。
　　最后選取KDDCup99數(shù)據(jù)集來模擬網(wǎng)絡(luò)中的入侵?jǐn)?shù)據(jù)和正常數(shù)據(jù),進(jìn)行了一定的實驗分析。實驗結(jié)果顯示,本文提出的研究和改進(jìn),對于入侵檢測的