聚类算法在网络入侵检测中的应用_向继1
需积分: 0 103 浏览量
2022-08-03
15:28:29
上传
评论
收藏 112KB PDF 举报
基于异常的入侵检测
1
基于异常的入侵检测技术可以分为需要指导的异常检测
和无需指导的异常检测,需要指导的异常检测通过观察得到
的正常数据建立正常数据模型,然后检测那些偏离正常模型
的异常数据,一个比较典型的使用这种技术的系统是美国乔
治梅森大学的系统。这种方法能够检测新的攻
MADAM/ID
击类型,因为这些新的攻击数据也会偏离正常的数据模型。
需要指导的异常检测的一个缺陷是需要一组完全正常的数据
来训练获得模型,如果训练数据中包含攻击数据的话,这些
攻击就很难检测到,因为该方法把这些攻击数据认为是正常
数据,另一方面,要获取这些训练数据也是很困难的。
目前入侵检测技术研究的重点转移到了无需指导的异常
检测上,这种技术用一组没有标记的数据作为输入,发现其
中存在的攻击数据,即试图从一组不知道什么是正常,什么
是异常的数据集中发现那些异常的数据。无需指导的异常检
测与需要指导的异常检测相比,它不需要完全正常的训练数
据,只需要未加工的网络原始数据。
无需指导的异常检测技术有一个基本的假设,就是正常
数据和异常数据有定性的不同,这样才可以将它们区分开
来,例如通过一般的分析,可以知道拒绝服务攻击的数据在
属性取值和模式上与正常的数据有很大的不同,所以可以利
用无需指导的异常检测技术来有效地检测出拒绝服务攻击。
下面介绍的利用聚类算法的异常检测就是一种无需指导
的异常检测技术,这种方法可以在未标记的数据上进行,它
将相似的数据划分到同一个聚类中,而将不相似的数据划分
到不同的聚类,并为这些聚类加以标记表明它们是正常还是
异常,然后将网络数据划分到各个聚类中,根据聚类的标记
来判断网络数据是否异常。在后面的试验中可以看到,经过
聚类后,正常网络数据和异常网络数据被有效地区分。
聚类算法简介
2
聚类算法是一个将数据集划分成若干个聚类的过程,使
得同一聚类内的数据具有较高的相似性,而不同聚类中的数
据不具有相似性。相似或者不相似根据描述数据的属性值来
度量,通常使用基于距离的方法。通过聚类,可以发现数据
的密集和稀疏的区域,从而发现数据整体的分布模式,以及
数据属性间有意义的关联。
聚类算法涉及很多个领域,包括数据挖掘、统计、机器
学习、空间数据库技术,目前研究重点是基于距离的聚类算
法。聚类算法也是一种无指导的学习,它不像分类算法那样
需要事先标记好的训练数据。
聚类算法的输入是一个包含多个数据的数据集,每个数
据通常用一个属性向量
(x
1
,x
2
,...,x
p
来表示,其中
)x
i
是一个连续
的或离散的变量,代表数据的一个属性的取值。聚类算法的
输出是若干个聚类,每个聚类中至少包含一个数据,而且同
一个聚类中的数据具有相似性,不同聚类的数据不具有相似
性。
为了使用聚类算法,需要计算数据之间的差异,数据间
的差异通常用距离来表示,距离计算方法包括欧几里德距
离、距离、距离。其中最常用的是欧几
ManhattanMinkowski
里德距离,它的计算方法如下:
( )
22
22
2
11
,
jpipjiji
xxxxxxjid −++−+−= L
其中分别代表数据集中的两个数据,它们都有个属性。
i,jp
可以给不同的属性赋以不同的权值,这样计算出来的距
离称为加权的欧几里德距离,定义如下:
( )
22
222
2
111
,
jpippjiji
xxwxxwxxwjid −++−+−= L
聚类算法有很多种,可以划分为几种类别:划分方法,
层次方法,基于密度的方法,基于网格的方法和基于模型的
方法,同时聚类也可以用于异常值检测。
(outlier)
最常用的聚类算法是算法,它是一种划分方
K-means
法。给定一个包含个数据的数据集,和产生的聚类的个数
n
,算法将个数据划分成个子集,每个子集代表
kK-meansnk
一个聚类,同一个聚类中的数据之间距离较近,而不同聚类
的数据间距离较远。每个聚类由其中心值来表示,通过计算
基金项目:
国家高技术研究发展计划“”计划:信息安全新技
(863)
术研究——坚固网关技术
(2001AA144050)
作者简介:
向继-,男,硕士生,研究方向:信息安全;
(1976)
高能,博士;荆继武,教授
收稿日期:
2002-09-03
聚类算法在网络入侵检测中的应用
向继,高能,荆继武
中国科学院研究生院信息安全国家重点实验室,北京
( 100039)
摘要:
分析了目前的入侵检测技术,提出了使用聚类算法进行网络入侵检测的方法,并通过试验说明了该方法的应用效果。
关键词:
聚类算法;网络入侵检测;数据挖掘;算法
K-means
Application of Cluster Algorithm in Network Intrusion Detection
,,
XIANG JiGAO NengJING Jiwu
(The State Key Laboratory of Information Security,Graduate School of the Chinese Academy of Sciences,Beijing 100039)
【】
Abstract
This paper analyses the current intrusion detection techniques, brings forward a technique that applies cluster algorithm to network
intrusion detection, and shows the effect through an experiment.
【Key words】
Cluster algorithm; Network intrusion detection; Data mining; K-means algorithm
第卷 第期
2916
№
Vol.29 16
计 算 机 工 程
Computer Engineering
年月
20039
September 2003
·基金项目论文·
中图分类号:
TP393.08
文章编号:———
10003428(2003)16 004802
文献标识码:
A
——
48
评论0