基于信息熵聚類的異常檢測方法研究.pdf

1、異常檢測是入侵檢測的一種檢測模型，是一種積極主動的安全防護技術。它作為對傳統(tǒng)安全保護措施的補充，有效的彌補了傳統(tǒng)安全保護措施的缺陷，其重要性越來越得到人們的肯定。但由于網(wǎng)絡流量數(shù)據(jù)十分龐大，很難及時發(fā)現(xiàn)入侵行為，異常檢測性能面臨巨大挑戰(zhàn)。而數(shù)據(jù)挖掘技術能從大量數(shù)據(jù)中挖掘潛在有用的信息，能很好的解決這一問題。經(jīng)典聚類算法K-means原理簡單且容易實現(xiàn)，在異常檢測的應用中具有重要的研究價值。
　　本文以提高檢測率和降低誤報率為目的。

2、對經(jīng)典聚類算法K-means無法確定聚類個數(shù)K值和隨機選取初始聚類中心的不足進行改進。提出一種基于信息熵和改進K-means聚類的異常檢測方法。在本文研究中，用信息熵表示特征屬性的變化情況，改進K-means算法做異常檢測分析，采集連續(xù)三天的網(wǎng)絡數(shù)據(jù)，并模擬攻擊行為對改進方法的性能進行驗證?？偨Y(jié)主要研究重點為:
　　(1)研究網(wǎng)絡安全現(xiàn)狀和傳統(tǒng)安全保護措施。從理論上對比分析部分常用異常檢測方法，把信息熵和數(shù)據(jù)挖掘聚類算法結(jié)合應用到

3、異常檢測研究中。分析網(wǎng)絡入侵行為的一般規(guī)律，把源IP地址、目的IP地址、源端口、目的端口、連接時間作為異常檢測特征屬性。以一秒為時間段，計算網(wǎng)絡流量在特征屬性上的信息熵。
　　(2) K-means聚類算法的聚類結(jié)果易受聚類個數(shù)K值的影響，而聚類個數(shù)K值一般根據(jù)經(jīng)驗設定。提出在聚類過程中設置分類閡值，根據(jù)聚類結(jié)果動態(tài)調(diào)整聚類個數(shù)K的值，克服聚類個數(shù)K值憑經(jīng)驗設定而影響聚類效果的不足。針對K-means聚類算法隨機選取初始聚類中心易

4、導致聚類結(jié)果陷入局部最優(yōu)的不足，在選取初始聚類中心時，把相距最遠的數(shù)據(jù)對象作為聚類中心，使初始簇之間的相似性盡可能最大，改善聚類效果和質(zhì)量，從而提高異常檢測的檢測性能。
　　(3)利用改進K-means聚類算法構建異常檢測系統(tǒng)。并用訓練數(shù)據(jù)集和模擬DDOS攻擊、網(wǎng)絡掃描數(shù)據(jù)集進行實驗，檢驗異常檢測系統(tǒng)的效果。實驗結(jié)果顯示，本文異常檢測方法的平均檢測率和平均誤報率分別為98.1667％和2.0000％。與原始K-means聚類算法進