基于改進(jìn)CURE聚類算法的無監(jiān)督異常檢測(cè)方法

周亞建，徐晨，李繼國(guó)

（1.北京郵電大學(xué) 網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室 信息安全中心，北京 100876；2.北京郵電大學(xué) 網(wǎng)絡(luò)與信息攻防技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室，北京 100876；3.北京郵電大學(xué) 災(zāi)備技術(shù)國(guó)家工程實(shí)驗(yàn)室，北京 100876；4.河海大學(xué) 計(jì)算機(jī)與信息學(xué)院，江蘇 南京 210098）

1 引言

近年來，隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，入侵行為已經(jīng)越來越嚴(yán)重地威脅到了計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全。入侵就是未經(jīng)授權(quán)蓄意嘗試訪問信息、篡改信息，使系統(tǒng)不可靠或不能使用[1]。由于入侵方式越來越多樣化，手段越來越先進(jìn)，傳統(tǒng)的靜態(tài)安全技術(shù)如：防火墻、數(shù)據(jù)加密技術(shù)等，已經(jīng)無法滿足系統(tǒng)和網(wǎng)絡(luò)的安全性需求。

入侵檢測(cè)技術(shù)作為一種重要的動(dòng)態(tài)安全技術(shù)，很好地彌補(bǔ)了靜態(tài)安全技術(shù)的不足。入侵檢測(cè)技術(shù)主要分為2類：誤用入侵檢測(cè)和異常入侵檢測(cè)。誤用入侵檢測(cè)是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來檢測(cè)入侵[2]。由于該技術(shù)主要是依賴于已知的系統(tǒng)缺陷和入侵，所以可以準(zhǔn)確的檢測(cè)到已知的入侵，但無法檢測(cè)到系統(tǒng)未知的攻擊行為。異常入侵檢測(cè)是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源情況檢測(cè)出來的入侵。異常入侵檢測(cè)試圖用定量方式描述可接受的行為特征，以區(qū)分非正常的、潛在的入侵行為[2]。該方法可以檢測(cè)未知的入侵行為，但是由于描述的可接受行為特征可能與實(shí)際情況偏差較大導(dǎo)致檢測(cè)的準(zhǔn)確性不高。

在異常入侵檢測(cè)中，一般都要根據(jù)正常行為數(shù)據(jù)集建立一個(gè)正常行為模型來描述可接受的行為特征。但是實(shí)際上，要獲取純凈的正常行為數(shù)據(jù)集是很困難的，并且代價(jià)是高昂的。為了解決這個(gè)問題，人們提出了無監(jiān)督異常檢測(cè)的方法。該方法不依賴于已標(biāo)記的數(shù)據(jù)，所以不需要人工或其他方法對(duì)訓(xùn)練集進(jìn)行分類，大大提高了入侵檢測(cè)系統(tǒng)的實(shí)用性。無監(jiān)督異常檢測(cè)主要基于以下2個(gè)假設(shè)：第1個(gè)假設(shè)為正常行為數(shù)據(jù)量要遠(yuǎn)遠(yuǎn)超過入侵行為數(shù)據(jù)量；第2個(gè)假設(shè)為正常行為數(shù)據(jù)與非正常行為數(shù)據(jù)之間的差異很大[3]。第1個(gè)假設(shè)為識(shí)別正常簇與非正常簇提供了依據(jù)，基于第2個(gè)假設(shè)可以認(rèn)為通過聚類能將正常行為數(shù)據(jù)與非正常行為數(shù)據(jù)很好分類。

近年來，無監(jiān)督異常檢測(cè)已成為入侵檢測(cè)領(lǐng)域中的熱點(diǎn)，該領(lǐng)域的研究工作者試著將數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)中的方法應(yīng)用于無監(jiān)督異常檢測(cè)，目前已經(jīng)取得了一定的進(jìn)展。Jiang、Song等人[4]提出了一種新的無監(jiān)督聚類檢測(cè)方法CBUID，該方法在標(biāo)記簇時(shí)考慮了簇的偏離程度(deviation degree)，并且在聚類時(shí)使用了INN（improved nearest neighbor）算法，該算法有效地提高了聚類的質(zhì)量。Eskin等人提出了一個(gè)無監(jiān)督異常檢測(cè)的幾何框架[5]。該框架將未標(biāo)記的數(shù)據(jù)映射到特征空間，如果數(shù)據(jù)點(diǎn)在特征空間的稀疏區(qū)域中，則判斷該點(diǎn)為異常點(diǎn)。Oldmeadow等人在文獻(xiàn)[5]的基礎(chǔ)上，通過特征加權(quán)（feature weighting）和時(shí)變聚類（time-varying）的方法進(jìn)一步提高了檢測(cè)率[6]。Leung和Leckie提出了一種基于密度和網(wǎng)格的聚類算法fpMAFIA[7]。該算法基于pMAFIA算法并通過FP樹對(duì)其進(jìn)行優(yōu)化。他們將 fpMAFIA算法用于無監(jiān)督異常檢測(cè)中，實(shí)驗(yàn)表明取得了良好的效果。但是該算法在最壞情況下的時(shí)間復(fù)雜度較高，而且隨著數(shù)據(jù)維度的增長(zhǎng)，算法的性能會(huì)迅速降低。

有些研究工作者試圖將多種數(shù)據(jù)挖掘算法同時(shí)用于入侵檢測(cè)中，來進(jìn)一步提高系統(tǒng)性能。Zanero和Savaresi提出了一種新的2層入侵檢測(cè)系統(tǒng)[8]。第1層使用了聚類算法來對(duì)數(shù)據(jù)包進(jìn)行分類，并對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行壓縮，第2層則是通過傳統(tǒng)的異常檢測(cè)方法對(duì)第1層產(chǎn)生的數(shù)據(jù)進(jìn)行檢測(cè)。通過對(duì)實(shí)驗(yàn)結(jié)果的分析表明通過第1層機(jī)制的處理，系統(tǒng)的檢測(cè)效果得到了顯著的提高。Luo等人將無監(jiān)督聚類方法與支持向量機(jī)方法相結(jié)合，提出了一種UCSUM-ID算法[9]。該方法的基本思想是將網(wǎng)絡(luò)數(shù)據(jù)包和聚類算法生成的簇中心進(jìn)行比較來確定是否需要進(jìn)一步采用SVM分類，從而只將一部分對(duì)于聚類算法比較難于分類的數(shù)據(jù)包送往 SVM 分類。這樣既提高了檢測(cè)速度，又提高了檢測(cè)率。高能等人[10]將Apriori關(guān)聯(lián)算法和K-means聚類算法分別用于提取網(wǎng)絡(luò)數(shù)據(jù)的流量特征和建立檢測(cè)模型，使其能夠?qū)崟r(shí)、自動(dòng)、有效地檢測(cè)DoS攻擊。肖立中等人[11]將模糊支持向量機(jī)（FSVM）與模糊C均值算法（FCM）相結(jié)合，解決了模糊C均值算法在聚類前需要確定聚類數(shù)的問題。

但是，這些無監(jiān)督異常檢測(cè)方法所使用的聚類算法有的因?yàn)椴荒軐?duì)任意形狀的簇聚類，導(dǎo)致建立的正常行為模型不理想，從而影響了檢測(cè)效果。基于密度的聚類算法、神經(jīng)網(wǎng)絡(luò)的算法雖然可以對(duì)任意形狀的簇聚類，但是在處理含有大規(guī)模數(shù)據(jù)量的訓(xùn)練集時(shí)要耗費(fèi)大量時(shí)間，使得正常行為模型得不到及時(shí)的更新，導(dǎo)致網(wǎng)絡(luò)或主機(jī)狀況發(fā)生改變時(shí)不能很好的檢測(cè)入侵行為。

為了解決這些問題，本文提出了基于改進(jìn)的CURE聚類算法的入侵檢測(cè)方法。CURE算法[12]是一種基于多代表點(diǎn)的算法，除了支持復(fù)雜形狀和不同大小的簇的聚類外，從文獻(xiàn)[13]可以看出該算法在效率、對(duì)異常數(shù)據(jù)的敏感性及對(duì)數(shù)據(jù)輸入敏感性方面要優(yōu)于其他一些算法，如：BIRCH、DBSCAN、CLARANS等。另外，CURE算法還可以通過隨機(jī)取樣和對(duì)樣本點(diǎn)分組的辦法來提高運(yùn)行效率。本文對(duì)CURE聚類算法進(jìn)行了合理的改進(jìn)，然后用于樣本數(shù)據(jù)的聚類。

本文還提出了一種新的基于超矩形的建模算法，使用該算法建立正常行為模型。該模型根據(jù)正常簇中的數(shù)據(jù)定義了待檢測(cè)數(shù)據(jù)在各個(gè)維度上的正常值域，只要待檢測(cè)數(shù)據(jù)在某一維度上不在正常值域中，則判斷為入侵行為數(shù)據(jù)。實(shí)驗(yàn)表明該入侵檢測(cè)方法能夠有效的檢測(cè)包括未知的入侵行為在內(nèi)的各種入侵行為。

本文第2節(jié)提出了一種基于改進(jìn)的CURE聚類算法的入侵檢測(cè)方法；第3節(jié)通過對(duì)實(shí)驗(yàn)結(jié)果詳細(xì)的分析和對(duì)比，論證了本文所述方法的有效性；第4節(jié)是結(jié)束語。

2 基于聚類算法的入侵檢測(cè)

本文先是將改進(jìn)的CURE聚類算法對(duì)訓(xùn)練集進(jìn)行聚類，然后對(duì)簇進(jìn)行標(biāo)類，最后使用基于超矩形的建模算法建立正常行為模型。將待檢測(cè)數(shù)據(jù)與該模型進(jìn)行比較，如果符合該模型則判定為正常行為數(shù)據(jù)，否則為異常行為數(shù)據(jù)。

2.1 改進(jìn)的CURE聚類算法

CURE算法是一種自底向上的層次聚類算法。其基本思想是每個(gè)簇用一定數(shù)量的代表點(diǎn)來代表一個(gè)簇，然后不停地合并相鄰最近的2個(gè)簇，直到簇集中簇的數(shù)目等于某個(gè)特定的閾值。因?yàn)榇氐膫€(gè)數(shù)一般無法事先確定，所以這有可能強(qiáng)制對(duì)2個(gè)簇進(jìn)行合并，或者把簇強(qiáng)行分割開，從而降低聚類結(jié)果的質(zhì)量。本文將聚類結(jié)束條件修改為：如果當(dāng)最近的簇之間的距離超過某個(gè)特定的閾值時(shí)聚類過程就會(huì)停止。這樣最后簇的數(shù)目就由簇之間的相似度來決定。下面給出了改進(jìn)的CURE算法的詳細(xì)描述。

設(shè)數(shù)據(jù)集合D由n個(gè)x維數(shù)據(jù)點(diǎn)di組成，D={d1,d2,…,dn}，S為簇C1,C2,…,Cm的集 合。Q(Ci)為簇Ci的代表點(diǎn)集合，即Q(Ci)={r1,r2,…,rpi}(pi≤λ，λ為最大簇代表點(diǎn)數(shù))。收縮因子為α，0≤α≤1，合并簇之間的最大距離為w。

定 義 dist(para1, para2)表示對(duì)象para1和para2之間的距離，其距離度量可以是歐幾里得距離、曼哈頓距離以及閔可夫斯基距離等，本文在實(shí)驗(yàn)中選擇歐幾里得距離。當(dāng)para1和para2都是簇時(shí)，定義dist(para1,para2)為2個(gè)簇中相隔最近的2個(gè)代表點(diǎn)之間的距離，即dist(para1,para2)

step1 根據(jù)每一個(gè)向量di創(chuàng)建一個(gè)簇Ci。即

step3 找出簇集S中代表點(diǎn)距離最近的 2個(gè)簇Cu、Cv， 即dist(Cu,Cv)=min{d ist(Ci,Cj),Ci∈ S,Cj∈ S,i≠ j} 。如果 dist(Cu,Cv)＞w，執(zhí)行終止。

step4 合并簇Cu、Cv。 Cnew←Cu∪Cv，tmpSet←φ。計(jì)算Cnew的質(zhì)心：

step5 從Cnew中選擇di。如果tmpSet=φ，則使di滿 足 條 件 ：dist(di,hnew)=max{d ist(dj,hnew),dj∈Cnew}。否則使di滿足條件：dist(di,t mpSet)=max{d ist(dj,t mpSet),dj∈Cnew}，其中 dist(dj,t mpSet)=min{d ist(dj,dk),dk∈ tmpSet }。 最 后 將di并 入tmpSet，即：tmpSet ← tmpSet ∪{di}。

step7 收縮代表點(diǎn)：Q(Cnew)←{dk+α *(hnew-dk),dk∈ tmpSet}。 更 新 簇 集 ：S←S-Cu-Cv+Cnew。執(zhí)行step2。

在實(shí)驗(yàn)過程中，一般用 KD樹來存放數(shù)據(jù)點(diǎn),用小頂堆來存放簇，并將簇按照與其最近鄰簇之間的距離升序排序，這樣在最壞情況下該算法的時(shí)間復(fù)雜性為：O(n2lbn)。

2.2 標(biāo)類算法

在聚類之后需要對(duì)簇進(jìn)行標(biāo)記。該算法首先按照簇的大小降序排列。根據(jù)第一條假設(shè)，正常行為數(shù)據(jù)量要遠(yuǎn)遠(yuǎn)大于非正常行為數(shù)據(jù)，所以標(biāo)記前θ個(gè)簇為正常簇。由于θ沒有合適的計(jì)算方法，所以假設(shè)訓(xùn)練集中含有的正常行為數(shù)據(jù)比率為l，然后該算法在最壞情況下的時(shí)間復(fù)雜度為不斷遞增θ，直到其詳細(xì)描述如下。

step1 如果S=φ，則執(zhí)行終止。

step2 將集合S中的簇按照其大小降序排列，θ← 1。則執(zhí)行step5。

step4 θ←θ+ 1，執(zhí)行step3。

step5 標(biāo)記C1,…,Cθ為正常簇。

step3 如果

2.3 基于超矩形的建模算法

本文提出了一種基于超矩形的建模算法。在對(duì)數(shù)據(jù)進(jìn)行檢測(cè)之前，該算法首先根據(jù)正常簇{C1,…,Cθ}建 立 一 個(gè) 超 矩 形 的 檢 測(cè) 模 型M={R1,R2,…,Rθ},Ri為根據(jù)簇Ci創(chuàng)建的超矩形。超矩形的創(chuàng)建是根據(jù)正常簇Ci中的數(shù)據(jù)確定Ri在每一個(gè)維度σj上的上界U(Ri,σj)和下界 L(Ri,σj)。該建模算法在最壞情況下的時(shí)間復(fù)雜度為O(xn)。其詳細(xì)描述如下。

step1 初始化i←1。

step2 k←1，如果i＞θ，執(zhí)行終止。

step3 初 始 化Ri：U(Ri,σj)←I(dk,σj)，L(Ri,σj)←I(dk,σj)(dk∈Ci， j=1,2,…,x)。I(dk,σj)表示為dk在維度σj上的值。

step4 如果k≥ Ci，則i←i+1，執(zhí)行step2。否則 k←k+1。

step5 如果 U(Ri, σj) ＜ I(dk,σj)(j=1,2,…,x)，則 U(Ri, σj)← I(dk,σj)；如果 L(Ri, σj) ＞ I(dk,σj)(j=1,2,…,x )，則 L(Ri, σj)← I(dk,σj)。然后執(zhí)行step4。

基于超矩形的算法通過正常簇中的數(shù)據(jù)來計(jì)算正常行為數(shù)據(jù)在每一個(gè)維度上的正常值域。如果待檢測(cè)數(shù)據(jù)被包含在任意一個(gè)超矩形中時(shí)，就可以判斷為正常行為數(shù)據(jù)。反之，判斷為異常行為數(shù)據(jù)。

檢測(cè)算法在最壞情況下的時(shí)間復(fù)雜度為O(x θ)。假設(shè)d為待檢測(cè)數(shù)據(jù)，詳細(xì)描述如下。

step1 初始化i←1。

step2 對(duì)于任意維 σj(j∈{1,2,…,x})，如果U(Ri, σj)＜ I(d,σj)或 者 L(Ri, σj)＞ I(d ,σj)， 則i←i+ 1。否則判斷d為正常行為數(shù)據(jù)，執(zhí)行終止 。

step3 如果i＞θ，判斷d為異常行為數(shù)據(jù)，執(zhí)行終止。否則執(zhí)行step2。

3 實(shí)驗(yàn)

3.1 訓(xùn)練集描述

選用的實(shí)驗(yàn)數(shù)據(jù)是目前入侵檢測(cè)領(lǐng)域廣泛使用的實(shí)驗(yàn)數(shù)據(jù)：KDD CUP99數(shù)據(jù)。該數(shù)據(jù)集主要分為訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集。訓(xùn)練數(shù)據(jù)集總共約有4 900 000條記錄，其中包含的入侵行為種類共有22種。從中抽取了63 033條數(shù)據(jù)作為實(shí)驗(yàn)用的樣本數(shù)據(jù)集，并且使該數(shù)據(jù)集滿足第一條假設(shè)，并且使其依然包含22種入侵行為數(shù)據(jù)。測(cè)試數(shù)據(jù)集約有 3 000 000條記錄，其中包含的入侵種類共有37種，而且其中有 17種入侵類型是訓(xùn)練數(shù)據(jù)集中沒有的。從測(cè)試數(shù)據(jù)集中抽取13 491條記錄作為測(cè)試數(shù)據(jù)集，同樣保證所含的入侵行為種數(shù)不變。

在KDD CUP99數(shù)據(jù)中，入侵行為種類可劃分為4類：DoS、R2L、U2R、PROBE。把如apache2、processtable、sendmail、xsnoop、sqlattack等測(cè)試集中含有而訓(xùn)練集中沒有的數(shù)據(jù)類型統(tǒng)一標(biāo)識(shí)為UNKNOW類型。實(shí)驗(yàn)數(shù)據(jù)詳細(xì)信息見表1。

表1 實(shí)驗(yàn)數(shù)據(jù)集信息

3.2 預(yù)處理

預(yù)處理主要是對(duì)數(shù)據(jù)進(jìn)行規(guī)范化。規(guī)范化可以提高涉及距離度量的挖掘算法的準(zhǔn)確率和有效性[14]。在KDD CUP99數(shù)據(jù)集中，每條記錄屬性的數(shù)據(jù)類型主要分為二元變量（如 root_shell，is_host_login，is_guest_login）、序數(shù)變量（如 protocol_type，service_type，flag）和區(qū)間標(biāo)度變量（如duration，src_bytes，dst_bytes）。

對(duì)于二元變量e，如果 e=0,e′← 0；如果e=1,e′ ← c,c ＞ 0。e′為規(guī)范化之后的數(shù)據(jù)變量，c為某個(gè)常量，在實(shí)驗(yàn)中c=2。

對(duì)于序數(shù)變量 f ∈{a1,a2,…,an}，則轉(zhuǎn)換成n個(gè)變量來處理，具體過程如下：用變量 f1′,f2′ ,…,fn′ 對(duì)應(yīng) 于 數(shù) 值 a1,a2,…,an， 如 果 f=ai， 則fi′ ← c, fj′ ←0(j∈{1,2,…,i-1,i+1,…,n})。

對(duì)于區(qū)間標(biāo)度變量g主要采用如下方法對(duì)其變換。1) 計(jì)算變量g的均值絕對(duì)偏差 avedev(g)：其中，z1,…,zn是 g的n個(gè) 度 量 值 ，計(jì)算標(biāo)準(zhǔn)度量值或z-score：之所以選擇均值絕對(duì)偏差，是因?yàn)樗葮?biāo)準(zhǔn)差對(duì)于離群點(diǎn)均有更好的頑健性[14]。

3.3 實(shí)驗(yàn)結(jié)果分析

本文方法采用的評(píng)價(jià)指標(biāo)為國(guó)際上通用的檢測(cè)率（detection rate）和誤報(bào)率（false positive rate）指標(biāo)。檢測(cè)率定義為正確檢測(cè)入侵樣本的數(shù)量與測(cè)試集中入侵樣本的數(shù)量之間的比率，而誤報(bào)率則定義為錯(cuò)誤判為入侵的正常樣本數(shù)量與測(cè)試集中正常樣本的數(shù)量之間的比率。

在實(shí)驗(yàn)過程中，要用到5個(gè)參數(shù)：分組數(shù)q，最大代表點(diǎn)數(shù)λ，收縮因子α，最大合并簇距w，標(biāo)記閾值l。它們的實(shí)驗(yàn)取值范圍如表2所示。

表2 參數(shù)取值

從實(shí)驗(yàn)結(jié)果可以看出，本文提出基于改進(jìn)的CURE的無監(jiān)督異常檢測(cè)方法可以有效的檢測(cè)出各種類型的入侵方式。表3描述的是q=8，α=0.2，λ=80，l=0.97時(shí)，系統(tǒng)得出的部分實(shí)驗(yàn)數(shù)據(jù)，從中可以看出在誤警率約為 4%的情況下，檢測(cè)率基本保持在80%以上。并且針對(duì)DOS和PROBE入侵有著較高的檢測(cè)率，檢測(cè)率一般在90%以上。而且對(duì)于未知入侵行為的檢測(cè)率能夠達(dá)到70%以上，說明該方法能夠有效地檢測(cè)未知的入侵行為。

表3 部分實(shí)驗(yàn)結(jié)果

圖1是一個(gè)ROC曲線圖，它主要描述了q=8，α=0.2，λ=80，l=0.97，w為 5～600之間的若干個(gè)值時(shí)，檢測(cè)率和誤警率之間的聯(lián)系。從總體上可以看出，檢測(cè)率越高，誤警率也越高；反之，檢測(cè)率越低，則誤警率也越低。這是因?yàn)楫?dāng)提高檢測(cè)率時(shí)，試驗(yàn)中所建立的正常行為模型就要適度縮小，從而可能導(dǎo)致更多的正常行為數(shù)據(jù)不符合該檢測(cè)模型，所以在一般情況下誤警率會(huì)隨著檢測(cè)率的提高而提高。認(rèn)為比較理想的結(jié)果應(yīng)該處于誤警率在0.03～0.05之間，此時(shí)檢測(cè)率大約在0.8～0.85之間。

圖1 檢測(cè)率和誤警率的ROC曲線圖

根據(jù)圖1得出的結(jié)論，將誤警率在0.03～0.05之間時(shí)獲得的實(shí)驗(yàn)結(jié)果與其他 5種入侵檢測(cè)方法的部分實(shí)驗(yàn)結(jié)果對(duì)比情況（見表4），并且保證在任意一行中，每列數(shù)據(jù)對(duì)應(yīng)的參數(shù)取值范圍都是一致的。這6種方法所用的樣本數(shù)據(jù)和測(cè)試數(shù)據(jù)均來自KDD CPU 99數(shù)據(jù)集，雖然在總體數(shù)據(jù)量和入侵?jǐn)?shù)據(jù)類型比重上有些差異，但是仍然具有一定的比較意義。

表4 與其他方法的結(jié)果比較

從中可以看出，本文的方法對(duì)于各種類型的入侵行為有著良好的檢測(cè)效果，特別是對(duì)于 PROBE入侵行為的檢測(cè)有著明顯的優(yōu)勢(shì)，對(duì)于其他類型的檢測(cè)也沒有處于劣勢(shì)。盡管誤警率稍稍偏高，但作為一種異常檢測(cè)技術(shù)仍然屬于可接受范圍，不會(huì)對(duì)系統(tǒng)的整體性能造成嚴(yán)重影響。

4 結(jié)束語

本文對(duì)CURE算法進(jìn)行了適當(dāng)?shù)母倪M(jìn)使其便于對(duì)樣本數(shù)據(jù)進(jìn)行正確的聚類，并且提出了基于超矩形的建模方法。實(shí)驗(yàn)結(jié)果表明基于改進(jìn)的CURE聚類算法的入侵檢測(cè)能夠有效的檢測(cè)入侵行為。該方法具有不需要對(duì)樣本數(shù)據(jù)進(jìn)行分類，并且能夠比較好的檢測(cè)出未知入侵行為的優(yōu)點(diǎn)。同時(shí)，在聚類過程中還可以通過隨機(jī)取樣和分組聚類的方法能夠加快對(duì)訓(xùn)練集的處理，并且在檢測(cè)入侵時(shí)能夠迅速做出判斷。

但是由于該檢測(cè)算法在如何設(shè)置參數(shù)上并沒有合適的方法，只能根據(jù)經(jīng)驗(yàn)來設(shè)置。并且，在將原始數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化之后，導(dǎo)致數(shù)據(jù)維度過高，影響了聚類的效果。所以下一步的工作就是考慮通過演化計(jì)算的方法自動(dòng)找到合適的參數(shù)，以及通過特征變換和特征選擇技術(shù)來克服維度過高所造成的不良影響。

[1] ANDERSON J P.Computer Security Threat Monitoring and Surveillance[R].James P Anderson Co,Fort Washington,Pennsylvania,1980.

[2] 將建春,馬恒太,任黨恩等.網(wǎng)絡(luò)安全入侵檢測(cè): 研究綜述[J].軟件學(xué)報(bào),2000,11(11): 1460-1466.JIANG J C,MA H T,REN D E,et al.A survey of intrusion detection research on network security[J].Journal of Software,2000,11(11):1460-1466.

[3] PORTNOY L,ESKIN E,STOLFO S J.Intrusion detection with unlabeled data using clustering [A].Proceedings of ACM CSS Workshop on Data Mining Applied to Security(DMSA2001) [C].Philadelphia,2001.5-8.

[4] JIANG S Y,SONG X,WANG H,et al.A clustering-based method for unsupervised intrusion detections[J].Pattern Recognition Letters,2006,27(7):802-810.

[5] ESKIN E,ARNOLD A,PRERAU M,et al.A geometric framework for unsupervised anomaly detection： detecting intrusions in unlabeled data[A].Applications of Data Mining in Computer Security[C].Boston,2002.78-99.

[6] OLDMEADOW J,RAVINUTALA S,LECKIE C.Adaptive clustering for network intrusion detection[A].Advances in Knowledge Discovery and Data Mining[C].Heidelberg,2004.255-259.

[7] LEUNG K,LECKIE C.Unsupervised anomaly detection in network intrusion detection using clusters[A].Proceedings of the Twenty-Eighth Australasian Computer Science Conference[C].Sydney,2005.333-342.

[8] ZANERO S,SAVARESI S M.Unsupervised learning techniques for an intrusion detection system [A].Proceedings of the 2004 ACM Symposium on Applied Computing[C].New York,2004.412-419.

[9] LUO M,WANG L,ZHANG H,et al.A research on intrusion detection based on unsupervised clustering and support vector machine[A].Information and Communications Security[C].Heidelberg,2003.325-336.

[10] 高能,馮登國(guó),向繼.一種基于數(shù)據(jù)挖掘的拒絕服務(wù)攻擊檢測(cè)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào),2006,29(6): 944-951.GAO N,FENG D G,XIANG J.A data-mining based DoS detection technique[J].Chinese Journal of Computers,2006,29(6):944-951.

[11] 肖立中,邵志清,馬漢華等.網(wǎng)絡(luò)入侵檢測(cè)中的自動(dòng)決定聚類數(shù)算法[J].軟件學(xué)報(bào),2008,19(8):2140-2148.XIAO L Z,SHAO Z Q,MA H H,et al.An algorithm for automatic clustering number determination in networks intrusion detection[J].Journal of Software,2008,19(8):2140-2148.

[12] GUHA S,RASTOGI R,SHIM S.CURE: an efficient clustering algorithm for large databases[A].Proceedings of the 1998 ACM SIGMOD International Conference on Management of Data[C].New York,1998.73-84.

[13] 張紅云,劉向東,段曉東等.數(shù)據(jù)挖掘中聚類算法比較研究[J].計(jì)算機(jī)應(yīng)用與軟件.2002,(2): 5-6,77.ZHANG H Y,LIU X D,DUAN X D,et al.The comparison of clustering methods in data mining[J].Computer Applications and Software,2002,(2): 5-6,77.

[14] HAN J,KAMBER M.數(shù)據(jù)挖掘: 概念與技術(shù)[M].北京: 機(jī)械工業(yè)出版社,2004.HAN J, KAMBER M.Data Mining: Concepts and Techniques[M].Beijing: China Machine Press,2004.