基于改进聚类分析算法的入侵检测系统研究
基于聚类分析技术的入侵检测系统的研究的开题报告
基于聚类分析技术的入侵检测系统的研究的开题报告一、研究背景随着互联网和计算机技术的不断发展,网络攻击也变得更加隐蔽、复杂。
入侵检测系统成为保障网络安全的关键技术之一。
传统的入侵检测系统主要基于规则和特征匹配,但是这种方法往往需要人工定义大量规则,并且存在漏报和误报的问题。
针对这些问题,利用聚类分析技术进行入侵检测成为一种新的解决方案。
二、研究目的本研究旨在研究基于聚类分析技术的入侵检测系统。
通过构建聚类模型,将网络流量数据进行聚类分析,识别出异常流量和攻击行为,从而提高入侵检测的准确率和覆盖率。
三、研究内容1、研究聚类算法相关理论和方法,包括层次聚类、划分聚类、密度聚类等,了解各种算法的优缺点和适用范围。
2、收集网络流量数据,并对数据进行预处理,包括数据清洗、数据转换、特征提取等。
3、构建聚类模型,根据数据特征和聚类算法进行模型参数的选择和优化。
4、应用聚类模型进行入侵检测,对异常流量和攻击行为进行识别和分析。
5、评价入侵检测系统的性能,分析准确率、覆盖率、召回率等指标,并与传统入侵检测系统进行比较。
四、研究意义本研究对提高网络入侵检测的效率和精确度具有重要意义。
聚类分析技术可以自动化地发现网络中的异常行为,减轻了网络管理员的负担,有助于及时发现并应对网络攻击事件。
此外,本研究还对聚类算法的研究和应用提供了借鉴意义。
五、研究方法本研究采用理论研究与实验研究相结合的方法。
在理论研究方面,将收集与聚类算法相关的文献资料,对聚类算法的理论基础进行分析和归纳。
在实验研究方面,将收集网络流量数据进行聚类分析,构建入侵检测系统,并进行实验验证。
六、预期成果本研究的预期成果包括:1、总结聚类算法的优缺点和适用范围,为聚类算法的研究提供参考。
2、构建基于聚类分析技术的入侵检测系统,提高入侵检测的准确率和覆盖率。
3、评价入侵检测系统的性能,并与传统入侵检测系统进行比较。
4、从实践中总结经验,为网络入侵检测技术的发展提供参考。
基于聚类分析的SDWSN入侵检测研究
消耗。该 方 法可以解 决 无 线传感 器网络的大 部 分固有问 题,促 进与其他网络的互 操 作性,提高无 线传感 器网络的 效率和可持续性。
2 一种K值确定的二分K-means算法 假设 X=(x1,x2,…xi,…xn)是 Rd空间的数据,在进行
聚类之前,假设K 值为类簇的数量。为了将数据分成K个类 簇,将空间中所有的点看作一个类簇Ci,然后执行当K 值 等于2的K-means算法,将类簇分为两个类簇[5]。然后计算 这两个类 簇的 S S E函数,选 择 S S E函数比 较 大 的那 个类 簇 来继续执行K =2的K-means算法二分K-means算法进行划 分。续进行上述的分割,直到分割类簇的数量达到用户所 指定的K值。SSE函数定义:
检测出的攻击样本数 检测率 =
攻击样本总数
(2)
误报率 = 正常样本被误认为攻击样本数 正常样本数
(3)
根 据 数 据集的类型分配比例,随机 选取10 0 0 0 个数 据,其中正常数据8689,异常数据1311。通过公式(2)(3) 计 算得到改 进 前后聚类 算 法的 检 测率 和 误 报率如 表1所 示。
科 技资讯 2018 NO.31 SCIENCE & TECHNOLOGY INFORMATION
DOI:10.16661/ki.1672-3791.2018.31.022
信息技术
基于聚类分析的SDWSN入侵检测研究①
宋鹏 (沈阳理工大学 辽宁沈阳 110159)
摘 要:无线传感器网络中,由于受到节点能量等因素的限制,只能部署轻量级的入侵检测方案。因此,不可能实现分布式
1 软件定义无线传感器网络
在软件定义无线传感器网络中主要存在3个基本角色 主节点(MasterNode)、中心节点(CenterNode)、普通节点。 主节点作为整个网络的控制器,可以根据控制单元的实时 情况,如网络拓扑、路由传输和路由限制等来控制整个网 络[4]。中心节点类似于SDN中的OpenFlow交换机,负责无线 传感器网络中的数据流匹配和转发。普通节点只负责接受 和执行数据流。因此,传感器的普通节点只进行数据的转 发 操 作,任 何 检 测 计 算任 务由主节点执 行,但不影响能 量
基于k-means改进算法的入侵检测系统的研究
当前 系统 的入侵检测 , 实现对入侵行为 的识别和 预防。
Dso eyi D tb s ) 是 指从 大 型数据 库 或数 据仓 i vr n aa a e , c
1 引言
随着 Ient n re 的迅速发展 , t 信息安全 日益受到人们 的关 注, 为网络安全一 个组成部分 的入侵检 测技术 作 被重视起 来 , 并逐渐成为 保障 网络信 息安全不可 缺少 的部分 。基于 内容的 网络安全解决方案成为 人们研 究
关 心 王 新 ( 湛江 师范学院 广东省湛江市 5 4 4 ) 2 0 8
摘要 : 文介绍 了入侵检测 系统的基本概念 , 本 分析 了数据挖掘技术在入侵检 测 系统 中的应用。本 文主要研 究 了聚
类分析 中的 k— a s算法在入侵规则 匹配 中的应 用 , 出了该算法 的不足 , me n 指 通过对传 统 k —me n a s算法的改进 解决 了聚类算 法固有的无法预知最佳聚类个数和分类过 细的问题 。提 高了系统的规 则匹配效率。 关键词 : 入侵检测 数据挖掘 聚类分析
trs 、 en ) 约束 ( o s a t) 可视 化 ( i azt n ) C nt is 、 rn V u lai s 等。 s i o
广泛地 审计 数据来得 到模 型 , 而精确地捕 获实际 的 从
入 侵和 正常 的行 为 模 式。数 据 挖 掘 ( M, aa Mi D D t n — i ) 又称 为 数 据 库 中 的知 识 发 现 ( D K o tg n , g K D, n wa e
改进的模糊聚类算法在入侵检测中的研究
匹配检测 是否 发生入 侵 , 已知入侵 检 测准 确度 很 对 高, 速度快 , 它检测 不 到特征 库 以外 的未 知入 侵 。 但 异 常检测 技术是 不需 要特征 库 的检 测 技术 , 以检 可
测 出 以前 未 曾 出现 过 的新 的未 知 人 侵 , 用 性 强 。 通
墙 策略 已经无法 满足 人们对 网络安 全 的要求 , 这 在
( mp tr c ne& Teh oo yC lg ,HabnUnv f c o C ue i c Se c n l ol e g e ri i .o i S . ̄T c ,Habn 10 8 ) eh ri 5 00
A src F zyCmen lsei loi m e s i snt laino a e a di bet e u co o - b ta t uz - a s utr ga r h i sniv t i iazt f l , n s jci nt ni n n c n g t s t e O t i ii o vu to vf i s
种 环境下 , 入侵 检测 系统 (D ) 运而 生 , 且成 为 IS 应 并 研 究 的热 点[ 。 1 q]
聚类 检测 是一种 异 常检测技 术 , 它将 相 似 的数据 划 分 到 同一 个聚类 中, 而将不 相似 的数 据 划分 到不 同 的聚类 中 , 能够 自动 地对未 知入 侵进行 检测 l 。 _ 4 ] 模 糊 C 均 值 算 法E ( uz - a sa o 5 F zy CMen l — ] g r h 简称 F M) i m, t C 是一 种 有 效 的聚 类算 法 , 已经 引 人 到人侵 检测 中 。然 而 , 糊 C均值 聚类 算法 自身 模
基于聚类算法的网络入侵检测研究的开题报告
基于聚类算法的网络入侵检测研究的开题报告一、研究背景及意义随着网络安全问题日益突出,网络入侵检测成为网络安全领域中一个非常重要的研究课题。
因此,了解并应用有效的网络入侵检测策略和工具变得至关重要。
而其中,聚类算法作为一种非监督学习方法,可以在不需要标签样本的情况下,对数据进行分类和抽象,并对异常数据进行检测。
基于聚类算法进行网络入侵检测的方法可以在一定程度上提高网络安全性和响应效率,具有非常重要的意义。
二、研究内容本项目旨在通过应用基于聚类算法的网络入侵检测方法,分析网络入侵行为的特征,提高网络入侵检测的效率与准确性。
本项目具体研究内容包括以下方面:1.网络入侵检测相关背景知识的学习和掌握。
2.对聚类算法进行深入学习,理解各种常见聚类算法的原理和优缺点。
3.利用聚类算法对网络入侵数据进行分析和处理,提取数据特征,建立聚类模型。
4.构建网络入侵检测系统,通过实验验证基于聚类算法的网络入侵检测方法的有效性和现实可行性。
三、研究计划及进度安排本研究计划为期10个月,根据研究内容和进度,将具体安排如下:1.第1-2个月:学习网络入侵检测相关背景知识,并熟悉聚类算法的原理和应用。
2.第3-4个月:收集网络入侵数据进行预处理,并提取出客观特征。
3.第5-6个月:应用聚类算法建立网络入侵检测模型。
4.第7-8个月:通过实验对网络入侵检测模型进行测试和验证。
5.第9-10个月:研究编写网络入侵检测系统,并将训练好的模型应用到实际网络中进行测试。
四、研究预期成果本研究预期可以达到以下几点成果:1.系统性学习网络入侵检测和聚类算法相关知识。
2.建立并优化基于聚类算法的网络入侵检测模型。
3.研究开发基于聚类算法的网络入侵检测系统。
4.通过实验验证该方法的有效性和现实可行性。
五、研究难点及解决方法本研究中的主要难点是如何处理大量的网络数据,并提取出网络入侵的特征。
在处理数据时,需要去除数据中的噪声和异常值,保证模型的准确性。
基于K值改进的K-means 算法在入侵检测中的应用
基于K值改进的K-means 算法在入侵检测中的应用
王朔;顾进广
【期刊名称】《工业控制计算机》
【年(卷),期】2014(027)007
【摘要】K-means聚类算法在入侵检测的运用中存在两个重要的缺陷:一是初始聚类中心是随机选择的,二是容易陷入局部最优解.提出一种改进的K-means算法,首先通过数据筛选确定高密度区域,然后确定两个最远点作为初始聚类中心以及非模糊型的集群评估指标来确定剩下的初始聚类中心,最后再进行聚类分析.实验表明,改进后的K-means算法不再依靠随机的K值和聚类中心,使得聚类过程可以依据数据集本身进行自适应的调整,同时保证了较高的网络入侵的检测率和较低的误报率.【总页数】3页(P93-94,97)
【作者】王朔;顾进广
【作者单位】武汉科技大学计算机科学与技术学院,湖北武汉430065;武汉科技大学计算机科学与技术学院,湖北武汉430065
【正文语种】中文
【相关文献】
1.基于改进K-means算法在电网企业网络入侵检测中的应用 [J], 孙章才;车勇波;姚莉;白彪;吴秋玫
2.改进K-means算法在入侵检测中的应用研究 [J], 王茜;刘胜会
3.改进 k-means算法在网络入侵检测系统中的应用研究 [J], 易云飞;杨舰
4.改进的 K-means 算法在入侵检测中的应用 [J], 黎银环;张剑
5.改进的k-means算法在入侵检测中的应用 [J], 杨锴
因版权原因,仅展示原文概要,查看原文内容请购买。
基于聚类分析的入侵检测研究
1 距 离 定 义 .
( ) (j Oi: 离 函 数具有 对称 性 。 3 di) ,=d , 距 ) ( ) (j =di ) (, : 对 象 i 对 象 j 4 di < (k+dki 从 , ) , ) 到 的直 接 距离 不会 大于 途经 任何 其 它对 象 k的距 离 个样 本点与 一个样 本集 的距离 定义 为这个样 本 点 与 这个样 本 集 中所 有样 本 点 当 中最 近 的距 离 。 则 个样 本点 x 和一 个样本集 v的距离就 定义如 下 :
.
入侵 检测 主要 可 以分为误 用检 测( ss tc Mi eDe — u e t n 和 异 常检 测 ( n m l eet n 。误 用 检 测 , i) o A oa Dt i ) y co 也 称 为特 征 检 测 , 它事 先定 义 某 些行 为是 非 法 的 , 后 然 将 用户 行 为与之 比较 作 出判 断。 它对 已知 的攻 击 方式 具 有较好 的检 测率 , 无 法完成 对 未知 入侵 方式 的检 但 测 。异 常检 测通过 收 集 系统 的审记 数据 , 为每个 合 法 用 户建 立行 为轮廓 。 根据 用 户行 为轮廓 之间 的差 异 度 来 判断 是否 发生入 侵 。 现有 的入侵 检 测 系统 使用 专 家 系统 、神 经 网络 、 机器 学 习等 方法 ,而 大 多数 方法需 要 给 出导 师信号 。 下面介 绍 的聚 类 分 析 异 常检 测 就 是 一 种无 需 导 师信 号 的异 常检 测技 术 , 它可 以对 没有 标记 的数据 进 行 操 作 , 相似 的数据 划 分 到 同一 个聚 类 中 , 不相 似 的 将 将 数据 划 分到 不 同的聚 类 , 并对 这些 聚 类加 以标记 表 明
基于聚类算法的入侵检测技术
入 侵 检测 与 人 工 智 能 的结 合 使 得 入 侵 检 测 技 术 得 到 提 高 . 年 来 关 于 入 侵 检 测 技 术 的 研 究 . 现 出 了 许 近 涌
多 研 究 成 果 , 如 : 于 代 理 的分 布 式 入 侵 检 测 系 统 的 例 基
况 .检 测 系 统 用 户 的 越 权 使 用 以 及 系 统 外 部 的 入 侵 者 对 系 统 的非 法 人 侵 入 侵 检 测 系 统 分 析 网 络 数 据 包 和 系 统 的审 计 数 据 . 现 对 网络 和 系 统 的智 能监 控 、 时 实 实 探 测 、 态 响应 , 以检 测 来 自系 统 内部 和外 部 的入 侵 动 可
网 络 入 侵 检 测 系 统 中 的 这类 入 侵 检 测 系统 存 在 的一
1 入 侵 检 测 技 术 概 述
入 侵 检 测 一 般 分 为 两 类 [: 1 误 用 人 侵检 测 ( s s 2 () 1 Miu e
个 最 大 不 足 就 是 :它 需 要 由 侵 检 测 知 识 。 也 就 意 味 着 : 只能 被 动 依 靠 外 界 提 这 它
收 稿 日 期 :0 0 1 5 2 1 —1 —1 修 稿 日期 :00 2 3 2 1 —1 —1
图 1 示 是 一 个 基 于 数 据 挖 掘 的 入 侵 检 测 系 统 结 所 构, 由数 据 引擎 、 测 器 、 据 库 和 数 据 挖 掘 ( 成 入 侵 检 数 生 模 型 和 异 常检 测 等 ) 四部 分 构 成 [ 基 于 数 据 挖 掘 的 入 9 1 侵 检 测 系 统 首 先 从 原 始 数 据 中 提 取 特 征 .以帮 助 区 分
It s nD tein .是 指 利 用 定 量 的 方 式 来 描 述 可 接 nr i ee t ) uo o 受 的 行 为 特 征 . 区 分 和 正 常 行 为 相 违 背 的 、 正 常 的 以 非 行 为 特 征 来 检 测 入 侵 入 侵 检 测 技 术 按 所 在 位 置 可 分 为 主 机 型 和 网络 型 :按 时 间 可 分 为 实 时 人 侵 检 测 和 事 后 入侵 检 测 等[ 3 1
基于改进k-means聚类算法的入侵检测研究
与扫 描攻击 。 在 实 验 中 , 选 用 实 验 平 台 W i do XP, n WS
M a lb . 语 言 编 程 环 境 ,I tl e tu t 65 a n e P n i m 3 GH Z
吒 ’ … 参 ,
( 4 )
12样本属性加权处理 .
k -me n 算法 认 为被分 析样 本 的各个 属性 对聚 as
类结 果 的贡献 均 匀 ,没 有考 虑样 本不 同属性 特 征对 聚类 结 果可 能造 成 的不 同影 响 ,这样 就 大 大影 响 了 聚类 结 果的 准确 性 。本文 把 统计 学 中常 用 的变 异 系 数法 应 用到 入侵 检 测数 据 的属性 赋 权 中 ,通 过 属性
/一 / I ,
程 中所 起 作用 的程 度 的不 同 。
() 、 9 ,
Srie: 拒绝 服务 攻击 ;() R( sr t o) evc) 2U2 U e o Ro t: 未授 权获 取超 级用 户权 限攻 击 ;() 2 ( moe o 3R LRe t t
误检 率
03 % 3
检测 率
l O 2 % O2
误检率
04l %
检测率
2 4
l 5 2 0 2 5
3 0
3 % 54 4 1 4 % 5 % 33
5 l 6 %
04 O5 % 6 06 0
08 % 7
413< 0 8 6 q 32 6 75 1 %
步骤 2 :初 始 中 心 点 集 M 初 始 化 为 空 集 , 即
, /一 1
\ ( 1 、 /
基于聚类分析的入侵检测研究
动中连接数据记录之间的关联关系。这种算法也 有同样的缺点 , 就是必须要有做了标记的网络记录 来 训 练数 据 挖 掘 方 面 的 规 则 , 就 是 说 预 先 制 定 也
“ 常” “ 常” 正 与 异 两类 数据 。这 样在 规则 的扩 展上 有很 大 的局 限 性 。通 过分 析 上 面两 种 算 法 的基 础
m, 大 于 m 的聚 类簇 即认 为是 正 常 行 为 , 则 即 对 否 是异 常行 为 。 在基 于聚 类分析 的入 侵检 测过程 中 , 行初 始 进 化聚 类 的算 法 步骤如 下 :
收网络 中所有正在传输的数据包 , 并把它们记录到
文件 中 。然 后将原 始 的 网络 数 据包 恢 复成 T P I C /P
3 数据挖掘方法应用在入侵检测 中
的 比较
根 据入侵 检测 的技 术 特点 , 目前 可用 于入侵 检
日 新月异、 出不穷 , 层 针对这些攻击手段 的网络安 全技术也随之迅速发展。但诸如用户鉴别、 信息保 护( 如加密) 防病毒、 、 防火墙等被动防御技术作为 保障网络的第一层防线, 已经不能完全满足需要 , 也不能完全防止入侵的发生 。由于传统 的操作系
统加 固技 术和 防火 墙 技 术 等 都是 静 态 的安 全 防 御 技术 , 网络环 境下 日新 月异 的攻 击手段 缺 乏主 动 对 反应 。为 了能更 主 动 的检测入 侵 , 入侵 检测 技术 被 提 出和研究 。入侵 检 测 技 术是 一 种 主 动 的 安 全 技
测领域的有关算 法主要有 : 分类算法、 聚类分析算 法和关联分析算法 , 本文选择聚类分析算法是做了 大量的研究之后才选择了关联分析算法 。其 中, 分 类算法的主要 目的是把一个数据项划分到预先定 义 类别 中 的某 一 类 。 算 法 一 般 采 用 分 类 器 ( 类 分
基于聚类分析的入侵检测技术研究
( )如 果 四 Z ( ) J ) j ,… …k J『 ≠z( j 1 3 =, 二 ,将样本逐个重新分类,重复迭代计
算 。如 果
z ( 1 Z( ' j 1 ,…. .+ ) . ) = , 3 . 『 = f 2 k (. ) 16
W a g Ho g n n
( a g h uDa z U i ri ,a g h u 3 1 , ia H n z o i i n esyH n z o 1 0 Ch ) n v t 0 8 n
Absr c : re tituson d tc in s se t n ur t r s c rt a c m e a n c sa y t o1 i pe r s n sa t a tCu r n nr i e e to y t m o e s enewo k e u i h sbe o e e s r o . spa rp e e t n y Th
e nt trb e ot es m ecu trusn t l sei g f n r i e e to fe d n i c to fcuse ng ve satiutdt h a l se, ig cu trn oritusond tc in a rie tf ai n o l tr . he t i i Ke w o dsCl sei g; a i n; ee to y r : u trn I so D t cin nv
关键 词 :聚 类 ;入侵 ;检 测
中图分类号:T 3 P
文献标识码 :A
文章编号:10— 59 ( 00 1— 08 0 07 99 2 1 ) 0 03 — 2
I t u i n De e to c n q e s d o u t rn a y i n r so t c in Te h i u sBa e n Cl se i gAn l ss
基于改进的K-均值聚类算法的入侵检测系统
基于改进的K-均值聚类算法的入侵检测系统卢永祥【期刊名称】《龙岩学院学报》【年(卷),期】2016(34)2【摘要】随着网络时代的发展,网络攻击手段越来越复杂多样,网络系统的安全越来越重要,基于主动监测性能的入侵检测系统受到重视,为了更好地适应网络时代对安全性能的要求,需要对现有入侵检测系统进行改进。
采用主成分分析法和改进的K-均值聚类算法处理入侵检测系统输入数据,建立基于此两种方法的入侵检测系统模型。
后经KDD CUP 99数据集进行仿真实验证明该模型能够有效地提高入侵检测系统的检测效率并降低误报率。
%With the development of the network era, the means of network attacks has become more and more complicated, so the safety of network system are becoming more and more important. The intrusion detection system on the active monitoring performance are much more valued, but we need to improve the existing intrusion detection systems in order to better meet the requirements of network era on safety performance. In this paper, we deal with the data input with both PCA ( principal component analysis) and K-mean clustering to establish the intrusion detection system model based on the two methods. The data sets of KDD CUP 99 for simulation experiment prove that the model can effectively improve the efficiency of intrusion detection system and reduce the rate of false alarm.【总页数】6页(P39-44)【作者】卢永祥【作者单位】武夷学院福建武夷山 354300【正文语种】中文【中图分类】TP393.08【相关文献】1.主成分分析法和K-均值聚类算法在入侵检测系统中的运用 [J], 卢永祥;李巧兰2.基于改进的SVD算法和二分K-均值聚类算法的协同过滤算法 [J], 过金超;杨继纲3.基于改进K-均值聚类算法的合肥市电动客车行驶工况构建 [J], 孙骏;方涛;张炳力;李傲伽;朱鹤4.基于改进的SVD算法和二分K-均值聚类算法的协同过滤算法 [J], 过金超;杨继纲5.基于空间分布优选初始聚类中心的改进K-均值聚类算法 [J], 宋仁旺;苏小杰;石慧因版权原因,仅展示原文概要,查看原文内容请购买。
改进的聚类算法在入侵检测系统中的应用分析
2019年4期花炮科技与市场设计与应用219Design and Application 改进的聚类算法在入侵检测系统中的应用分析胡 翰,戴 琴,李 威,刘仕琴(吉安职业技术学院,江西 吉安 343000)【摘 要】文章主要阐述了入侵检测系统的基本内容,并对改进后的聚类算法应用进行了全面探析,以期为入侵检测系统检测质量和检测效率的提高打下坚实的基础。
【关键词】入侵检测系统;聚类算法;改进内容;应用中图分类号:TP393.08 文献标志码:A 文章编号:2096-5699(2019)04-0219-01作者简介:胡翰(1980—),男,江西新余人,硕士,讲师,研究方向:软件开发。
1 入侵检测系统内容概述简单而言,入侵检测系统就是一种计算机软件系统,它主要是建立在侵犯行为与系统行为不同的这一假设基础上,通过收集、分析网络数据,针对可能入侵问题做出某些响应,以阻止其对系统威胁和破坏的动态网络安全技术。
提供事件记录流的信息源、发现入侵迹象的分析引擎以及基于分析引擎的结果响应部件是入侵检测系统的三个功能部件,虽然从某方面而言,入侵检测系统在预防网络风险中发挥了重要作用,但随着近年来网络攻击手段的多样化,入侵检测系统的应用弊端也日益显露,给企业发展造成不良影响的同时,也严重阻碍了社会的稳定性发展。
2 聚类算法在入侵检测系统中的应用聚类算法是研究(样品或指标)分类问题的一种统计分析方法,从目前来看由于它高效的数据分析和数据挖掘,被广泛地应用于各个领域,并在一定程度上取得了突破性进展。
而近年来随着电子信息技术的不断发展和广泛应用,网络安全受到了社会各界的高度关注。
从根本上有效地提高入侵检测系统的检测质量和检测效率,将其应用到入侵检测系统中也成了现阶段网络产业的核心发展方向。
聚类算法是将数据集按照其元素之间的相关性划分为若干类的过程,在划分过程完成后,同一聚类内的数据具有极高的相似性,而不同聚类之间的数据不具备相似性,而k-中心点算法作为其中最具代表性的算法之一,具有适应性广泛、工作效率较高以及不受极端数据影响的优势,在入侵检测系统中的应用率较高。
基于聚类算法的入侵检测系统的研究
基于聚类算法的入侵检测系统的研究作者:周迈来源:《中外企业家》 2017年第1期周迈(湖南外贸职业学院,长沙410004)摘要:将异常入侵检测系统设计成四个环节:数据收集与预处理模块、聚类模块、标记模块和检测模块。
在聚类模块中,使用K-means算法对KDDCUP 99入侵检测数据集进行聚类处理,通过对其聚类结果的分析,发现识别数据入侵的检测率低、误报率高等问题。
在此基础上,提出一种改进的K-means算法,改进后的算法首先使用了(凝聚)层次方法来选取聚类的初始中心,然后使用K-means算法快速收敛获取聚类结果。
改进算法克服了k-means算法因为依赖于对初始聚类中心的选择容易陷入局部极值的缺点,且在聚类过程中可以充分考虑数据类的结构,能有效提高数据聚类效果和入侵检测的准确度。
关键词:入侵检测;k-means算法;实验分析中图分类号:TP309文献标志码:A文章编号:1000-8772(2017)01-0173-03目前,聚类技术广泛应用于入侵检测系统的研究,通过对海量的网络数据信息进行聚类,以便找出异常类和正常类,从而预警和告示检测系统。
Portnoy、Elizabeth L 和Chi-HoTsang等人把聚类算法应用于入侵检测系统进行研究,并使用kddcup 99入侵检测数据集进行了测试,获得了较好的聚类效果。
一、K-means算法K-means算法[1]的步骤这里不再赘述。
使用K-means算法尝试找出使平方误差函数值最小的k个聚类。
其定义如式(1)所示:D表示数据集中所有对象的平方误差和,q表示数据集中某个元素,mi代表某个聚类Ci的均值(q、mi代表多维数据)。
由这个公式生成的聚类特点:各聚类之间尽可能分开,而各聚类内部尽可能紧凑。
二、改进的K-means算法K-means算法中作为初始聚类中心的k个对象是从n个数据对象中随机选择的,这将导致产生具有很大的不确定性的聚类结果。
因此,影响最后聚类结果的关键因素就在于如何选择初始聚类中心点。
基于改进majorclust聚类的网络入侵行为检测
(中国刑事警察学院网络犯罪侦查系,沈阳110035 )
摘要:基于监督的入侵检测算法对于没有类别标记或识别特征不明显的网络访问 连接,无法准确训练出入侵检测模型。为此,文章提出一种基于改进MajorClust聚类算 法的无监督入侵检测算法,该算法能够动态自适应网络入侵行为数据的内在关系 ,实现 自动高效地检测。改进MNorClust聚类算法,以未聚类邻边之和最小的点作为初始簇中 心,依据簇中心与其他节点的距离分布特点,通过最小二乘法原理拟合点间的空间分布 曲线,以曲线的拐点值作为聚类半径 ,并将簇抽象为节点重新进行聚类迭代 ,进而实现 网络行为数据的自动聚类以及优化。文章构建了改进MRorClust算法、means算法及 DBSCAN算法的无监督入侵检测模型,在优化处理的基础上,利用NSL-KDD数据集分 析比较检测效果。实验结果表明,改进MNorClust算法在入侵检测性能及效果稳定性等 方面具有较为显著的优势。
英文引用 : LUO Wenhua, XU Caidian. Network Intrusion Detection Based on Improved MrgoiClust Clustering[J]. Netinfo Security, 2020,20(2): 14-21.
基于AC-BM改进算法的入侵检测技术研究论文[精选5篇]
![基于AC-BM改进算法的入侵检测技术研究论文[精选5篇]](https://img.taocdn.com/s3/m/8557eb499a6648d7c1c708a1284ac850ad0204e5.png)
基于AC-BM改进算法的入侵检测技术研究论文[精选5篇]第一篇:基于AC-BM改进算法的入侵检测技术研究论文摘要:网络的飞速发展带来了诸多安全隐患,入侵检测技术作为一种积极防御手段成为了网络安全领域的研究热点。
模式匹配由于原理简单、无需训练、检测效率高、扩展性好广泛用于目前的入侵检测系统。
本文首先分析了模式匹配,比较了经典的模式匹配算法,总结了其存在的问题,并在此基础上对AC-BM模式匹配算法进行优化,提出了AC-BM改进算法,有效提高了检测效率,降低了检测过程中的资源消耗。
关键词:入侵检测模式匹配 AC-BM改进算法检测效率随着网络的日新月异,网络入侵行为变得越来越复杂,因此网络安全也日益受到人们广泛关注。
入侵检测系统能够在不影响网络正常工作的前提下,对网络数据进行监测、收集和分析,进而从中发现是否存在入侵行为[1]。
根据入侵检测方法的不同,可以分为异常检测技术和误用检测技术。
误用检测技术存在一个已知攻击模式特征库,通过网络数据与库中攻击模式进行匹配来判断是否存在入侵行为,其检测的误报率较低。
误用检测中使用的检测技术主要有模式匹配、专家系统、状态转移等,而模式匹配由于原理简单、可扩展性好等特点被广泛应用[2]。
网络数据包的高速传输使得模式匹配算法应用于入侵检测领域面临了诸多问题,模式匹配的效率将直接影响入侵检测的性能。
模式匹配模式匹配是指:已知一长度为n的文本字符串T=T1T2….Tn和一长度为t(t目前的模式匹配算法多分为单模式匹配和多模式匹配[3]。
若每次文本串只能对一种模式串进行模式匹配,这种方法称为单模式匹配算法。
即己知文本串Text=T[l...n]和模式串Pattern=P[l...t],对于1<=f<=n,存在T[f+1...f+t]=P[1…t]。
网络入侵类型日益复杂,为了提高匹配速度期望可以实现每次可以同时对多个模式进行匹配,这种方法称为多模式匹配方法。
也就是说,文本字符串T ext=T[l...n]对模式树进行扫描时,至少在模式树种发现其中一个模式串与之相匹配。
基于改进的聚类算法的网络入侵行为识别分类器设计与实现
基于改进的聚类算法的网络入侵行为识别分类器设计与实现网络入侵行为对于现代社会的网络安全造成了巨大威胁,因此,设计和实现一种高效准确的网络入侵行为识别分类器显得尤为重要。
本文将基于改进的聚类算法,提出一种网络入侵行为识别的分类器设计与实现方法。
一、引言网络入侵行为识别是指在网络通信中,通过分析网络数据包,判断其中是否包含恶意的入侵行为。
传统的入侵检测方法主要采用了基于规则的方法,但是这种方法难以适应日益增长的恶意攻击手段和攻击者的变化策略。
因此,采用聚类算法进行入侵行为的分类识别,成为一种有效的解决方法。
二、聚类算法的基本原理聚类算法是一种无监督学习方法,通过将相似数据样本聚集在一起,将不相似的样本分开,实现数据的分类。
常用的聚类算法有K-means、DBSCAN等。
这些传统的聚类算法在入侵行为识别中常常存在一些问题,如对于噪声和异常值敏感,处理大规模数据集效率低下等。
三、改进的聚类算法在网络入侵行为识别中的应用为了提高网络入侵行为识别的准确性和效率,本文提出了一种基于改进的聚类算法的网络入侵行为识别分类器。
该分类器主要包括以下几个步骤:1. 数据预处理:对原始网络数据进行清洗和转换,去除噪声和异常数据,提取有效特征。
2. 聚类算法选择:根据实际需求,选择合适的改进聚类算法。
例如,可以采用基于密度的DBSCAN算法,解决传统聚类算法对于噪声和异常值敏感的问题。
3. 聚类中心确定:通过改进的聚类算法,得到每个簇的聚类中心。
4. 簇标记:根据聚类结果,将每个数据样本标记为正常或异常。
5. 分类器训练与测试:使用标记好的数据样本,构建分类器模型,并进行训练和测试。
6. 实验评估:对分类器的性能进行评估,包括准确率、召回率、F1值等。
通过以上步骤,基于改进的聚类算法的网络入侵行为识别分类器可以得到准确、高效的分类结果。
四、实验结果与分析本文使用了某网络数据集进行了实验,并与传统的聚类算法进行了对比。
实验结果表明,基于改进的聚类算法的网络入侵行为识别分类器在准确性和效率方面均优于传统聚类算法。
基于改进模糊C均值聚类算法的云计算入侵检测方法
基于改进模糊C均值聚类算法的云计算入侵检测方法刘绪崇;陆绍飞;赵薇;张悦【期刊名称】《中南大学学报(自然科学版)》【年(卷),期】2016(047)007【摘要】针对标准模糊C均值聚类算法(FCM)在云计算平台下的入侵检测中存在检测精度不高等问题,提出一种基于目标函数优化模糊C均值聚类算法的云计算入侵检测模型。
该模型采用核函数增强FCM算法的寻优能力,根据 Mercer 核定义优化FCM算法的目标函数,使用拉格朗日数乘法求得聚类中心和隶属度矩阵,有效降低算法的复杂度。
研究结果表明:所提出的基于目标函数优化的FCM算法与传统的FCM算法相比,对云计算网络入侵检测的准确率较高,具有更好的收敛性能。
%Considering that standard fuzzy C-means clustering algorithm’s detection accuracy is not high in the cloud intrusion detection applications, a cloud computing intrusion detection model was proposed based on kernel fuzzy C-means clustering algorithm. Firstly, kernel functions were used to increase the capacity optimization of fuzzy C clustering algorithm, and then Mercer nuclear-defined objective function of fuzzy C clustering algorithm was optimized. At last, Lagrange multiplication was used to obtain clustering center and membership matrix so that the complexity of the proposed algorithm could be reduced effectively. The results show that the proposed objective function optimization based on kernel FCM algorithm has higher accuracy for cloud computing network intrusiondetection and better convergence performance compared to the traditional FCM algorithm.【总页数】6页(P2320-2325)【作者】刘绪崇;陆绍飞;赵薇;张悦【作者单位】网络侦查技术湖南省重点实验室,湖南长沙,410138; 网络犯罪侦查湖南省普通高等学校重点实验室,湖南长沙,410138; 湖南警察学院信息技术系,湖南长沙,410138;湖南大学信息科学与工程学院,湖南长沙,410082;网络侦查技术湖南省重点实验室,湖南长沙,410138; 网络犯罪侦查湖南省普通高等学校重点实验室,湖南长沙,410138; 湖南警察学院信息技术系,湖南长沙,410138;网络侦查技术湖南省重点实验室,湖南长沙,410138; 网络犯罪侦查湖南省普通高等学校重点实验室,湖南长沙,410138; 湖南警察学院信息技术系,湖南长沙,410138【正文语种】中文【中图分类】TP393.08【相关文献】1.基于改进决策树算法的入侵检测方法 [J], 姜潇蔚;王勇2.基于极限学习机与改进K-means算法的入侵检测方法 [J], 王琳琳;刘敬浩;付晓梅3.基于改进麻雀算法的工控入侵检测方法 [J], 杨忠君;郑志权;敖然;王国刚;宗学军;李鹏程4.基于特征选择与遗传算法改进的支持向量机入侵检测方法 [J], 张小琴5.基于改进Apriori算法的船舶通信入侵检测方法分析 [J], 吕晓芳;白燕青因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目标 系统
事件产生器
日志数 据存储
分析引擎
响应单元
数据搜 集配置 数据搜集
状态 信息
检测 策略 检测
响应 策略 响应
图 1 入侵检测系统结构图
基金项目: 山西省高校科技开发项目 (No.200512G2) ; 山西大学科研项目 (No.2005103) 。 作者简介: 杜强 (1985—) , 男, 硕士研究生, 主要研究方向: 网络安全; 孙敏 (1968—) , 女, 副教授, 硕士研究生导师。E-mail: duqiang.student@ 收稿日期: 2010-05-12; 修回日期: 2010-08-09
网络系统面临着越来越多的攻击和安全问题。为了有效地保 护网络环境, 及时有效地发现攻击行为, 继防火墙、 数据加密 等传统安全保护措施后入侵检测作为一种新的安全防护技术 应运而生。如今, 网络速度不断加快, 入侵方式和种类的不断 更新, 这些都对入侵检测技术提出了新的要求。入侵检测分 为误用检测和异常检测两种类型, 其中异常检测技术根据使 用者的行为或资源使用状况来判断是否存在入侵, 不依赖具 体入侵是否出现来检测, 而且对系统的依赖性相对较小, 从而 成为了近几年来网络安全研究的热点之一。 数据挖掘技术于 1999 年由 Wenk Lee[1]等人引入到入侵检 测系统中。聚类分析作为一种常用的数据挖掘技术, 其算法 简单、 计算复杂度低, 尤其适用于高速网络环境。然而聚类分 析算法本身采用随机法选择初始聚类中心和易陷入局部最优 解等问题极大地限制了其在网络入侵检测方面的应用。基于 上述现实背景, 提出了一种基于改进聚类分析算法的入侵检 测系统, 并通过仿真实验验证了该系统的优越性。
106
2011, 47 (11)
Computer Engineering and Applications 计算机工程与应用
基于改进聚类分析算法的入侵检测系统研究
杜 强, 孙 敏 DU Qiang, SUN Min
山西大学 计算机与信息技术学院, 太原 030006 School of Computer and Information Technology, Shanxi University, Taiyuan 030006, China DU Qiang, SUN Min.Intrusion detection system based on improved clustering puter Engineering and Applications, 2011, 47 (11) : 106-108. Abstract:There are two major problems exist in commonly used clustering algorithm for intrusion detection systems: One is clustering algorithm that uses the random method to determine initial cluster centers, the other is that it is easy to fall into local optimal solution caused by climbing-type technology.Based on this, an improved clustering algorithm is proposed.By determining the initial cluster centers of the two farthest, hierarchical clustering based on the maximum-minimum distance and DBI index it determines the remaining initial cluster center, the method solves the mentioned issue.The simulation verifies the feasibility and superiority of the proposed algorithm. Key words:intrusion detection; cluster analysis; K-means algorithm 摘 要: 针对常用聚类分析算法应用于入侵检测系统所存在的两大方面的问题: 一是其采用随机法确定初始聚类中心, 不同的初
1
引言
随着网络广泛应用和网络技术特别是黑客技术的发展,
2 入侵检测系统简介及常用的聚类分析算法 2.1 入侵检测系统简介
入侵检测系统 (Intrusion Detection System, IDS) 从系统 内部和各种网络资源信息中, 分析可能的入侵攻击行为, 扩展 系统管理员的安全管理能力 (包括安全审计、 监视、 进攻识别 和响应) , 提高信息安全基础结构的完整性。入侵检测系统根 据用户的历史行为, 基于用户的当前行为, 完成对入侵的检 测, 并留下证据, 为数据恢复和事故处理提供依据。就检测技 术而言, IDS 有误用检测和异常检测之分。一个入侵检测系 统一般包含数据搜集、 入侵检测和入侵响应三个部分, 其一般 结构如图 1 所示[2]。
始值可能产生不同的聚类结果; 二是采用爬山式技术导致容易陷入局部最优解。基于此提出一种改进的聚类分析算法, 通过确 定两个最远初始聚类中心和基于最大最小距离的层次聚类、 DBI 指标来确定剩余初始聚类中心, 该方法使上述问题得到解决, 并 通过仿真实验验证了该算法的可行性和优越性。 关键词: 入侵检测; 聚类分析; K-means 算法 DOI: 10.3778/j.issn.1002-8331.2011.11.030 文章编号: 1002-8331 (2011) 11-0106-03 文献标识码: A 中图分类号: TP393.08
di j 表示。
(3) 如果 j = t , 那么 xt 与 x j 互为最大距离点, 则转到 (6) ; 如果 j ¹ t , 则转到 (4) 。
xt 与 x j 互为最大距 (4) 如果 dt i ³ di j , 则与 (3) 结果一致,
离点。 (5) 如果 dt i < di j , 则 xi 与 x j 距离最远, 二者互为最大距 离点。 (6)c1 和 c 2 分别用于存储找到的互为最大距离的两个点, 用作初始两个聚类中心。
杜 强, 孙
敏: 基于改进聚类分析算法的入侵检测系统研究
2011, 47 (11)
107
2.2 入侵检测中常用的聚类分析算法介绍
聚类分析是将数据集合中的对象划分成若干个类的过 程, 使得同一个类的对象具有较高的相似度, 而不同类的对象 之间相似度较低, 或者说不同类之间的对象差异较大。因此, 基于聚类分析的入侵检测技术就是用无参数的方法将事件流 用向量表示, 然后再利用聚类分析算法将它们分为行为类。 每一类都代表相似的活动或用户的行为, 这样就能够辨别出 正常和异常的行为。无监督聚类分析算法应用于入侵检测不 需要对训练集进行标类和严格的过滤, 而且对于检测网络数 据中的未知攻击行为有比较好的效果, 因此聚类分析算法在 入侵检测领域[3]值得进一步深入研究。 在众多聚类分析算法[4]中, 将 K-means 算法应用于异常检 测的优点是其方法简单、 计算复杂性小, 因此容易达到入侵检 测实时性的要求, 而且也比较容易实现。其基本思想是: 随机 地选择 k 个对象, 每个对象初始化地代表了一个类的平均值或 中心。对剩余的每个对象, 根据其与各个类中心的相似度, 将 它赋给最近的类, 然后重新计算每个类的平均值, 这个过程不 断重复, 直到准则函数收敛。其主要步骤 描述如下: 输入: 指定类的个数 K 和包含 N 个对象的数据集。 输出: k 个类。 方法: (1) 从 N 个数据对象中任意选择 k 个对象作为初始的类中心。 (2) 计算剩余数据对象到各个聚类中心的距离, 并把对象 分配到离各自最近的聚类中。 (3) 分配完成后, 重新计算 k 个聚类的中心, 即计算聚类中 对象的平均值。 (4) 与前一次计算得到的 k 个聚类中心比较, 是否准则函 数开始收敛, 是则转 (5) , 否则转 (2) 。 (5) 输出 k 个聚类结果。 该算法在计算两个数据对象之间相似度时, 考虑到网络 入侵检测效率的因素一般采用计算复杂度较小的欧几里德距离 作为两个数据对象之间属性值的相似性度量, 式子表示为:
O n =பைடு நூலகம் x1 x 2 x n} , 假设数据库中有 n 个数据对象, 随机 di j 表示数据对象 i 和 j 之间的距离。 选择一个数据对象 xt ,
(1) 寻找与数据对象 xt 距离最远的对象 xi , 两者间距离用
dt i 表示。
(2) 寻找与数据对象 xi 距离最远的对象 x j , 两者间距离用
(2)
其中 E 为数据库中所有数据对象的均方差之和,p 代表其所 在聚类空间的一个数据对象点, mi 为聚类 ci 平均值,p 和 mi 均为多维的数据对象。 可见, K-means 算法是解决聚类问题的一种经典算法。它 的主要优点是算法简单、 快速而且能有效地处理大数据库。 然而这种算法采用随机法选取初始聚类中心, 因此对不同的 初始值可能会导致不同的聚类结果, 使聚类结果产生不稳定 性, 应用于在线入侵检测系统导致该算法的执行结果与输入 顺序[6]有关。其次, 这种算法采用了所谓的爬山式技术来寻找 最优解, 其每次调整都为了寻求更好的聚类结果, 因此很容易 陷入局部最优解 [7]。由于这两大缺陷极大地限制了该算法的 应用范围, 因此本文选择改进的 K-means 算法应用于网络入 侵检测 系统。
d c (i j) = |xi1 - x j1|2 + |xi2 - x j2|2 + ... + |xip - x jp|2
[5]
3 改进的 K-means 算法 3.1 确定两个最佳的初始聚类中心
选取两个最佳最远聚类中心的思想是为了避免算法初始 值选取时很可能出现的初始聚类种子过于邻近的问题, 算法 初始时选出距离最远的两个数据对象, 从而形成两个初始的 聚类中心, 以便很好地保证后续的处理使同一类内的对象有 极高的相似性[9], 而不同类之间有极低的相似性。为保证系统 在处理大数据量时的高效率, 本文设计一种时间复杂度为 O(n) 的计算方法, 其相关说明如下: