基于扩展K均值算法的入侵检测模型

基于异常检测算法的网络入侵检测研究一、引言现代社会处处皆是网络，人们的日常生活、工作、学习等均离不开网络。

然而网络的存在也给人类带来了新的安全威胁，网络入侵就是其中之一。

网络入侵可以导致重要数据泄露，网络系统崩溃等问题，给个人和企业带来巨大的经济和社会影响。

因此，研究网络入侵检测的方法是当今信息安全领域的一个重要课题。

在网络入侵检测中，基于异常检测算法的方法得到了越来越广泛的应用。

本文将介绍网络入侵检测的背景、原理和应用，并对现有的一些方法进行总结和比较，同时对未来的发展方向提出一些看法。

二、网络入侵检测的背景网络入侵检测始于20世纪90年代初。

从那时起，网络的快速发展和广泛应用使得网络安全问题日益突出。

早期的网络入侵检测技术主要基于特征检测（signature-based）的方法。

该方法通过检测传入和传出网络流量中的已知网络攻击特征来发现并阻止攻击。

传统的特征检测方法在一定程度上可以检测已知攻击，但无法对未知攻击进行检测，因此易受到零日漏洞攻击的影响。

为了解决这些问题，基于异常检测的方法应运而生。

相比于传统的特征检测方法，基于异常检测的方法能够检测未知的攻击类型，增强了网络的安全性。

三、基于异常检测算法原理基于异常检测的入侵检测方法是一种统计学方法，主要思路是将系统中的恶意行为视为异常行为。

该方法通过建立系统模型来识别异常行为，该模型可以建立在单个主机或整个网络上。

通常，异常检测方法基于以下几个方面的特征来检测入侵：1. 网络流量网络流量是指在网络上的数据传输过程中的数据量，这一维度所关注的是入侵针对的是网络上的传输数据。

例如，窃听、数据篡改等等网络入侵行为都会影响到网络流量，因此检测网络流量异常就可以发现入侵。

2. 网络拓扑网络拓扑是指网络的物理或逻辑结构，包括网络设备之间的连接和交互方式。

该检测维度主要关注内部入侵，例如多不在同一子网中的主机之间进行通信，这种交流是少有的，也不符合网络拓扑的正常流量规律。

基于改进K均值聚类的入侵检测算法研究何明亮;陈泽茂;黄相静【期刊名称】《计算机与数字工程》【年(卷),期】2017(045)006【摘要】为解决现有入侵检测系统规则库维护管理复杂,系统检测效率不足等问题,设计了一种基于改进K均值聚类的规则挖掘算法.首先针对传统k-means算法聚类数目不确定的问题,通过分析聚类数目与簇间距离、簇内距离的关系,引入动态函数确定最佳聚类数目;然后通过寻找数据密集区域避开离群点,优化了初始聚类中心的选择,提高了算法效率.采用改进k-means聚类的入侵规则挖掘算法能够快速有效的对大数据集进行聚类分析,解决了传统入侵检测系统规则库维护复杂、难于检测未知攻击等问题.%In order to solve the problems of the existing intrusion detection system,such as the complexity of the maintenance and management of the rule base,the lack of the detection efficiency of the system,an intrusion rule mining algorithm based on im?proved K mean clustering algorithm is designed. Firstly,according to the problem that the traditional K-means algorithm is not sure of the number of clusters,by analyzing the relationship between the number of clusters and the distance between clusters and inter clusters,the dynamic function is introduced to determine the optimal number of clusters. Then,the selection of initial cluster cen?ters is optimized by finding the data intensive regions to avoid outliers,which improves the efficiency of the algorithm. The intrusion rule mining algorithm based on improved k-means clustering algorithm can quickly and effectively do cluster analysis on large data sets,and solve the problems of traditional intrusion detection system,such as the complexity of rule base and difficulty of detecting unknown attacks.【总页数】5页(P1145-1149)【作者】何明亮;陈泽茂;黄相静【作者单位】海军工程大学信息安全系武汉 430033;海军工程大学信息安全系武汉 430033;91681部队宁波 315731【正文语种】中文【中图分类】TP393【相关文献】1.基于改进差分进化的K均值聚类算法在入侵检测中的研究 [J], 王广;张晓明;徐日华2.基于粗糙集与改进LSSVM的入侵检测算法研究 [J], 刘其琛;施荣华;王国才;穆炜炜3.基于改进人工免疫算法的入侵检测算法研究 [J], 宋海波;陆正福;刘仕云4.基于K均值聚类改进的蚁群算法研究 [J], 李旭;徐立祥;刘家保5.基于改进人工免疫算法的入侵检测算法研究 [J], 宋海波[1];陆正福[2];刘仕云[1]因版权原因，仅展示原文概要，查看原文内容请购买。

基于K值改进的K-means 算法在入侵检测中的应用
王朔;顾进广
【期刊名称】《工业控制计算机》
【年(卷),期】2014(027)007
【摘要】K-means聚类算法在入侵检测的运用中存在两个重要的缺陷:一是初始聚类中心是随机选择的,二是容易陷入局部最优解.提出一种改进的K-means算法,首先通过数据筛选确定高密度区域,然后确定两个最远点作为初始聚类中心以及非模糊型的集群评估指标来确定剩下的初始聚类中心,最后再进行聚类分析.实验表明,改进后的K-means算法不再依靠随机的K值和聚类中心,使得聚类过程可以依据数据集本身进行自适应的调整,同时保证了较高的网络入侵的检测率和较低的误报率.【总页数】3页(P93-94,97)
【作者】王朔;顾进广
【作者单位】武汉科技大学计算机科学与技术学院,湖北武汉430065;武汉科技大学计算机科学与技术学院,湖北武汉430065
【正文语种】中文
【相关文献】
1.基于改进K-means算法在电网企业网络入侵检测中的应用 [J], 孙章才;车勇波;姚莉;白彪;吴秋玫
2.改进K-means算法在入侵检测中的应用研究 [J], 王茜;刘胜会
3.改进 k-means算法在网络入侵检测系统中的应用研究 [J], 易云飞;杨舰
4.改进的 K-means 算法在入侵检测中的应用 [J], 黎银环;张剑
5.改进的k-means算法在入侵检测中的应用 [J], 杨锴
因版权原因，仅展示原文概要，查看原文内容请购买。

改进k—means算法在网络入侵检测系统中的应用研究作者：易云飞杨舰来源：《软件导刊》2014年第03期摘要：入侵检测技术作为一种主动的网络安全防护技术越来越引起研究者的关注，但现有技术的误检率和漏检率较高。

对入侵检测技术进行了介绍，分析了k-means算法及其存在的问题，提出了相应的改进策略，并将改进后的算法应用于入侵检测系统中。

仿真实验结果表明，改进后的k-means算法在检测率和误检率上均优于传统的k-means算法。

关键词：网络入侵检测；聚类分析；k-means算法中图分类号：TP312文献标识码：A 文章编号：1672-7800（2014）003-0059-030 引言随着网络规模的不断扩大，网络受到入侵的威胁也越来越大，有效阻止各种网络入侵行为尤为必要。

入侵检测系统作为一种积极主动的安全防护技术提供了对网络内部攻击、外部攻击和误操作的实时保护，确保在网络系统受到危害之前拦截和响应入侵。

基于聚类算法的入侵检测是一种无监督的异常检测算法，通过对未标识数据进行分类，能发现新型的和未知的入侵类型。

传统的k-means算法存在许多问题，如：k的点数必须提前给出；初始值对算法影响极大；对噪声点和孤立点敏感等，这些问题极大地限制了其在网络入侵检测方面的应用。

基于上述原因，本文对传统的k均值算法进行了改进，提出了一种基于改进k均值算法的入侵检测系统，并通过仿真实验验证了该系统的优越性。

1 传统k-means算法1.1 k-means算法介绍k-means算法是一种 cluster analysis算法，通过不断地取离种子点最近均值，计算数据聚集。

其特点是收敛速度较快、算法简单、算法效率高。

算法流程如下：输入：聚类个数k包含n个数据对象的数据样本集；输出：k个聚类结果。

步骤如下：（1）随机在图中取k个种m（1）1，…，m（1）k。

（2）对图中的所有点求到这K个种子点的距离，假如点xp离种子点Si最近，那么Pi属于Si点群。

《基于行为层次关系分析的入侵检测模型的研究》篇一一、引言随着网络技术的飞速发展，网络安全问题愈发严重，尤其是入侵检测技术的关键性作用凸显。

基于行为层次关系分析的入侵检测模型应运而生，为应对网络威胁提供了强有力的手段。

本文将从理论基础、模型设计、模型应用等方面，深入探讨该模型的构建和其效果。

二、理论基础入侵检测系统（IDS）是一种主动保护网络安全的技术，它通过对网络流量、系统日志等信息的收集和分析，检测并报告网络中潜在的安全威胁。

基于行为层次关系分析的入侵检测模型通过深度解析用户或系统行为的层次结构关系，进一步挖掘入侵行为和异常行为的模式。

其理论基础主要来源于网络安全、机器学习、模式识别等领域的理论知识。

三、模型设计1. 数据收集与预处理：收集网络流量、系统日志等数据，并进行清洗和预处理，为后续的模型分析提供高质量的数据源。

2. 行为层次关系构建：将用户或系统的行为划分为多个层次，构建行为层次关系图。

每个层次的行为具有不同的粒度和抽象程度，从而能够更全面地描述用户或系统的行为。

3. 异常检测与入侵识别：利用机器学习和模式识别技术，对行为层次关系图进行分析，检测异常行为和潜在的入侵行为。

通过比较和分析历史数据，提取出正常的行为模式和入侵行为的特征。

4. 模型优化与更新：根据实际的检测结果和用户的反馈，不断优化和更新模型参数和规则，提高模型的准确性和鲁棒性。

四、模型应用基于行为层次关系分析的入侵检测模型可以广泛应用于各种网络环境中，如企业内网、政府机构、高校校园网等。

它可以实时监控网络流量和系统日志，检测并报告潜在的入侵行为和异常行为，为网络安全提供强有力的保障。

此外，该模型还可以与其他安全技术（如防火墙、病毒防护等）相结合，形成多层次的网络安全防护体系。

五、实验与分析本文通过大量的实验数据验证了基于行为层次关系分析的入侵检测模型的有效性和准确性。

实验结果表明，该模型能够准确地检测出各种类型的入侵行为和异常行为，并且具有较高的鲁棒性和适应性。

改进K中心点算法在入侵检测的应用魏明军;田昆【摘要】传统K中心点算法虽然改进了K均值算法对噪声和孤立点数据敏感的不足,但是仍存在着初始聚类中心和聚类个数k难以确定的问题,因此,针对算法存在的问题,提出一种基于密度的改进K中心点算法.该算法会根据数据集数据的分布情况自主确定聚类个数k和k个聚类中心点.最后,通过在入侵检测领域KDD Cup99数据集上实验测试表明,改进K中心点算法不仅能够自动形成k个聚类,而且具有较高的入侵检测率和较低的漏报率,聚类和入侵检测的效果均优于传统的K中心点算法.【期刊名称】《河北能源职业技术学院学报》【年(卷),期】2017(017)004【总页数】3页(P57-59)【关键词】入侵检测;K中心点算法;改进K中心点算法;聚类分析【作者】魏明军;田昆【作者单位】华北理工大学,河北唐山 063000;华北理工大学,河北唐山 063000【正文语种】中文【中图分类】TP393入侵检测作为一种有别于防火墙的安全技术，能够提供对来自外部和内部攻击的实时监控。

然而，传统的两种入侵检测技术误用检测和异常检测，在入侵检测性能的两个评价指标误检率和检测率上各有长短，前者的特点是误检率低但检测率低，不能检测新型的未知攻击，后者正好相反，特点是检测率高但误检率高，它能够检测出新型的攻击，适应性好，但是存在高误检率问题。

聚类分析是数据挖掘中常用的一种无监督的学习方法，它依据数据内部的潜在关联将数据集中的数据依据相似性划分成不同的分类，同一分类中的数据之间具有较高的相似度，不同分类的数据之间有较大的差异性，这一点正满足了入侵检测中异常检测的需要。

异常检测需要建立正常行为库和异常行为库来区分正常行为和攻击行为，而且要求两个行为库各自内部的数据越相似越好，两个行为库之间数据差异性越大越好。

因此，可以将聚类分析应用于入侵检测来提高入侵检测的检测率和降低漏报率。

1.1 基本思想K中心点算法与K均值算法是数据挖掘聚类分析中基于划分的算法中比较经典的两个算法，应用较为广泛。

基于节点生长马氏距离K均值和HMM的网络入侵检测方法设计储泽楠;李世扬【摘要】传统的网络入侵检测方法存在着检测率低和无法进行在线检测的问题,为此设计了一种基于节点生长马氏距离K均值和HMM的网络入侵检测方法;首先,给出了入侵检测系统框图,然后,以马氏距离为评价准则,提出了一种节点根据距离阈值进行自适应生长的K均值算法以实现样本的聚类,得到样本属于各攻击类型的后验概率,并采用此后验概率来初始化HMM中的初始矢量分布、状态转移概率和观察值概率等参数,通过前向评估准则和后向评估准则对HMM模型进行训练,从而获得了HMM检测模型,将样本输入到各检测模型中并将概率最大的检测模型作为其攻击类型;仿真试验表明所提方法能有效地实现网络入侵检测,不仅具有较高的检测率,而且具有较低的误检率和漏检率,是一种有效的网络入侵检测方法.【期刊名称】《计算机测量与控制》【年(卷),期】2014(022)010【总页数】4页(P3406-3409)【关键词】网络入侵检测;K均值;隐形马尔科夫;聚类【作者】储泽楠;李世扬【作者单位】安阳工学院科研处,河南安阳455000;安阳工学院人事处,河南安阳455000【正文语种】中文【中图分类】TP3930 引言入侵检测系统（intrusion detection system，IDS）［1－2］可以定义［3－4］为通过对网络传输进行实时有效监测，以发现网络传输中的可疑行为，入侵检测主要分为误用检测和异常检测两大类［5－6］，误用检测由于需要训练的数据较少，因此发展为最为主流的一种入侵检测方法。

目前主要有的误用检测方法主要有［7－10］：基于神经网络的优监督学习方法、基于聚类的无监督方法、基于隐性马尔科夫链（hidden markov model，HMM）的方法和基于数据融合的方法，汪洁［7］设计了一种基于蜜罐和BP神经网络的入侵检测模型，然后再通过BP网络检测模型进一步识别具体的攻击类型。

基于随机森林和加权K均值聚类的网络入侵检测系统任晓芳;赵德群;秦健勇【摘要】目前,许多误用检测系统无法检测未知攻击,而异常检测系统虽然能够精确检测未知攻击,但具有较高的误报警率.为此,提出了一种基于随机森林和加权K均值聚类算法的混合入侵检测系统.首先,利用随机森林算法从训练集中建立入侵模型,构建误用检测模型,通过网络连接的特征匹配来检测已知攻击.然后,利用加权K均值算法构建异常检测模块,根据随机森林算法获得的特征,将不确定性攻击的网络连接数据进行聚类,进而实现未知攻击的检测.在KDD'99数据库中的实验表明,该系统具有较高的检测率和较低的误报警率.【期刊名称】《微型电脑应用》【年(卷),期】2016(032)007【总页数】4页(P21-24)【关键词】入侵检测系统;随机森林;加权K-均值聚类;误用检测;异常检测【作者】任晓芳;赵德群;秦健勇【作者单位】新疆工学院,计算机工程系,乌鲁木齐,830023;新疆工学院,计算机工程系,乌鲁木齐,830023;新疆工学院,计算机工程系,乌鲁木齐,830023【正文语种】中文【中图分类】TP393当前计算机网络尽管具有多重安全策略，譬如，访问控制、加密以及防火墙的应用，然而，网络安全的漏洞还是与日俱增。

因此，迫切需要智能的入侵检测系统（Intrusion Detection System，IDS）来自动地检测新型的入侵行为[1]。

目前，主要有两种入侵检测方法：误用检测和异常检测[2]。

误用检测只能检测出数据中已知的入侵模式，无法检测新出现的入侵行为，且需要实时的更新数据库[3]。

异常检测系统能够检测出新的入侵行为，但通常具有较高的误报警率[4,5]。

为了解决误用检测和异常检测的这些缺点，则需要采用混合入侵检测的技术。

为此，文献[6]提出一种基于增量式神经网络的入侵检测系统，解决了神经网络离线训练所带来的问题，对在线检测过程中新出现的攻击类型进行增量式学习，实现对入侵检测模型的动态扩展。

基于扩展K均值算法的入侵检测模型秦川【期刊名称】《电脑知识与技术》【年(卷),期】2013(000)014【摘要】该文提出了一个基于扩展K均值算法的入侵检测模型.首先介绍了入侵检测研究的发展概况以及K均值算法及其扩展版本.接着描述了基于扩展K均值算法的入侵检测模型.最后,通过实验仿真利用KDD Cup1999数据集对模型的效能进行了验证.%@@@@This paper presents an intrusion detection model based on extended K-Means algorithm. First, the research progress of intrusion detection is mentioned, K-Means algorithm and its extended version is introduced. Then the model of an Intrusion Detec?tion System based on extended K-Means is presented. Finally, a simulation experiment using the KDD Cup 1999 Dataset is given to illustrate the efficiency of this model.【总页数】3页(P3267-3269)【作者】秦川【作者单位】青海师范大学计算机学院,青海西宁 810008【正文语种】中文【中图分类】TP393【相关文献】1.人工鱼群和K均值算法相融合的网络入侵检测 [J], 袁芳芳2.融合布谷鸟搜索和K均值算法的入侵检测方案 [J], 魏万云3.基于粒子群优化的k均值算法在网络入侵检测中的应用 [J], 谷保平;许孝元;郭红艳4.基于改进K均值算法的入侵检测系统设计 [J], 刘华春;候向宁;杨忠5.基于数据挖掘的动态可扩展入侵检测系统模型 [J], 罗运; 冯云因版权原因，仅展示原文概要，查看原文内容请购买。

融合K-均值聚类、FNN、SVM的网络入侵检测模型邬斌亮;熊琭【期刊名称】《计算机应用与软件》【年(卷),期】2014(000)005【摘要】针对传统的入侵检测模型IDM（Intrusion Detection System）不能检测最新的入侵手段且系统的特征数据库需要频繁更新的问题，提出融合K-均值聚类、模糊神经网络和支持向量机等数据挖掘技术来构建IDM。

首先，利用K-均值聚类将原始的训练集划分为不同的训练子集；然后，基于各训练子集训练各自的模糊神经网络模型，并通过模糊神经网络模型生成支持向量机的支持向量；最后，采用径向支持向量机检测入侵行为是否发生。

在KDD CUP 1999数据集上的实验验证了所提模型的有效性及可靠性。

实验结果表明，相比其他几种较为先进的检测方法，所提模型在入侵检测方面取得了更高的检测精度。

%For the issues that traditional intrusion detection model (IDM)can not detect latest intrusion means and requires frequent update of its feature database,we propose to build IDM by fusing the data mining technologies of k-means clustering,fuzzy neural networks and support vector machine.First,the original training set is divided into different training subsets using k-means clustering.Then,each training subset trains its own fuzzy neural network model respectively based on itself and generates support vector of SVM through fuzzy neural network model.Finally,radial SVM is adopted to detect whether the intrusion action occurs.The effectiveness and reliability of the proposed model has been verified by experiments on KDD CUP1999 dataset.Experimental results show that the proposed model achieves higher accuracy in intrusion detection comparing with some other advanced detection approaches.【总页数】4页(P312-315)【作者】邬斌亮;熊琭【作者单位】上海市计算机软件评测重点实验室上海201112;上海市计算机软件评测重点实验室上海201112【正文语种】中文【中图分类】TP399【相关文献】1.融合集群度与距离均衡优化的K-均值聚类算法 [J], 王日宏;崔兴梅2.基于均值聚类分析和多层核心集凝聚算法相融合的网络入侵检测 [J], 石云;陈钟;孙兵3.核函数距离K-均值聚类的网络入侵检测算法 [J], 原德巍;张军4.K-均值聚类与SVM结合的地空通信干扰识别方法 [J], 张自豪;马方立;裴峥5.融合邻域扰动的简化粒子群K-均值聚类算法 [J], 王日宏;崔兴梅;周炜;李祥因版权原因，仅展示原文概要，查看原文内容请购买。

基于改进的K－均值聚类算法的入侵检测系统卢永祥【期刊名称】《龙岩学院学报》【年(卷),期】2016(34)2【摘要】随着网络时代的发展，网络攻击手段越来越复杂多样，网络系统的安全越来越重要，基于主动监测性能的入侵检测系统受到重视，为了更好地适应网络时代对安全性能的要求，需要对现有入侵检测系统进行改进。

采用主成分分析法和改进的K－均值聚类算法处理入侵检测系统输入数据，建立基于此两种方法的入侵检测系统模型。

后经KDD CUP 99数据集进行仿真实验证明该模型能够有效地提高入侵检测系统的检测效率并降低误报率。

%With the development of the network era, the means of network attacks has become more and more complicated, so the safety of network system are becoming more and more important. The intrusion detection system on the active monitoring performance are much more valued, but we need to improve the existing intrusion detection systems in order to better meet the requirements of network era on safety performance. In this paper, we deal with the data input with both PCA ( principal component analysis) and K-mean clustering to establish the intrusion detection system model based on the two methods. The data sets of KDD CUP 99 for simulation experiment prove that the model can effectively improve the efficiency of intrusion detection system and reduce the rate of false alarm.【总页数】6页(P39-44)【作者】卢永祥【作者单位】武夷学院福建武夷山 354300【正文语种】中文【中图分类】TP393.08【相关文献】1.主成分分析法和K-均值聚类算法在入侵检测系统中的运用 [J], 卢永祥;李巧兰2.基于改进的SVD算法和二分K-均值聚类算法的协同过滤算法 [J], 过金超;杨继纲3.基于改进K-均值聚类算法的合肥市电动客车行驶工况构建 [J], 孙骏;方涛;张炳力;李傲伽;朱鹤4.基于改进的SVD算法和二分K-均值聚类算法的协同过滤算法 [J], 过金超;杨继纲5.基于空间分布优选初始聚类中心的改进K-均值聚类算法 [J], 宋仁旺;苏小杰;石慧因版权原因，仅展示原文概要，查看原文内容请购买。