基于聚类分析的入侵检测方法研究
随着网络技术的飞速发展和网络应用范围的不断扩大,对网络的各类攻击与破坏与日俱增。在网络安全问题日益突出的今天,如何迅速有效地发现各种入侵行为,对于保证系统和网络资源的安全显得十分重要。入侵检测系统是一种积极主动的安全防护技术,它是信息安全保护体系结构中的一个重要组成部分。
由于网络工作环节层次多,入侵模式不断变化,有大量研究计划将数据挖掘技术运用到入侵检测中。然而,面对网络环境中各类攻击与破坏的与日俱增,以及产生的海量数据,人们需要一个良好的检测方法,使其对各种攻击行为都有较高的检测率和较低的误检率,并且对海量的、高维的、混合型的复杂数据做出有效分析。
本文主要探讨数据挖掘的聚类分析及相关技术在入侵检测中的应用。传统的异常检测方法需要从大量纯净的正常数据集中获得检测模型,而在现实网络环境中,很难保证在数据采集阶段没有入侵的发生,也很难对采集的数据进行标识,这就使其应用受到很大的限制。本文尝试在未标记的、混杂了少量入侵数据的正常网络审计数据源上,采用聚类分析及相关技术,尽可能准确的将训练数据集中少量的入侵数据从大量正常数据中分离开来,并给出使用该模型进行入侵检测的方法。
文章针对网络数据流海量、高维等特征,将聚类分析与异常挖掘的思想结合起来,采用改进的K-Prototypes算法解决K-Means聚类算法不能处理混合型数据的缺点,以提高聚类准确度。
本文用基于K-Prototypes的算法对数据进行聚类,得到聚类结果。标记得到的聚类结果,得出划分。但是该划分只是一个粗略的划分,为了优化聚类结果,文章采用孤立点检测技术。聚类和孤立点检测是两个相辅相成的方面,聚类在某种程度上可能是个粗糙的划分,在聚类的过程中和聚类之后要决定如何处理孤立点的问题对于优化聚类结果很重要。本文提出了基于局部偏差系数的孤立点检测算法。结果表明,基于局部偏差系数的孤立点检测算法优化了聚类结果,提高了检测率。
本文使用KDDCUP99数据集对检测模型进行了性能测试,实验结果表明,改进的K-Prototypes算法能较好地处理海量、高维、混合型数据。对聚类结果的孤立点检测提高了检测模型的性能,优化了聚类结果。
聚类分析;入侵检测;网络安全
江南大学
硕士
检测技术与自动化装置
赵曾贻
2008
中文
TP393.08;TN915.08
77
2009-03-27(万方平台首次上网日期,不代表论文的发表时间)