改進的聚類與決策樹算法在入侵檢測中的應用.pdf

1、網(wǎng)絡技術的快速發(fā)展帶動了網(wǎng)絡應用范圍的擴大，隨之出現(xiàn)了網(wǎng)絡安全問題。目前網(wǎng)絡攻擊手段多達數(shù)千種，應對網(wǎng)絡安全問題，除了防火墻，比較有效的措施是入侵檢測系統(tǒng)。作為主動防御網(wǎng)絡攻擊的手段，入侵檢測需要解決網(wǎng)路數(shù)據(jù)量大、噪聲數(shù)據(jù)多、在線學習難等巨大挑戰(zhàn)，在海量網(wǎng)絡數(shù)據(jù)中正確識別攻擊數(shù)據(jù)也是亟待解決的問題。入侵檢測的本質是從大數(shù)據(jù)集中提取網(wǎng)絡數(shù)據(jù)特征，依據(jù)特征判斷網(wǎng)絡行為是正常行為或者入侵行為，從而把入侵檢測問題轉化為數(shù)據(jù)分類問題。
　　

2、 本文主要研究了將K均值聚類算法與C4.5決策樹分類算法應用于網(wǎng)絡入侵檢測的相關問題。K均值聚類算法是利用無監(jiān)督學習過程獲取知識的方法，在聚類過程中不需要任何的先驗知識，可以發(fā)現(xiàn)未知攻擊類型，具有過程簡單、收斂速度快等優(yōu)點，但對數(shù)據(jù)類型的誤判率略高。決策樹屬于有監(jiān)督的學習分類方法，需要利用網(wǎng)絡行為的先驗知識預先標記訓練數(shù)據(jù)。它對已知類型攻擊有較高的識別率，但對未知攻擊類型的檢測則差強人意。本文針對兩種算法的不足分別對K均值聚類算法和C

3、4.5決策樹分類算法進行改進，并將改進后的算法相結合，構建綜合入侵檢測算法。
　　 本文主要工作包括三個部分：
　　 第一部分針對傳統(tǒng)K均值聚類算法只適用于球形結構數(shù)據(jù)集的聚類這一不足，提出一種改進聚類準則函數(shù)的方法，采用可以反映屬性間相關性的馬氏距離替代歐氏距離判斷樣本間的相似度，為了體現(xiàn)不同屬性對聚類結果的不同重要程度，在距離度量中加入屬性權重因子和矩陣協(xié)調因子，提高K均值聚類算法對非球形簇數(shù)據(jù)集的聚類能力。

4、　　 第二部分針對C4.5決策樹分類算法在某些情況下易產生多值偏向這個問題，提出對屬性的分裂信息值進行修正，引入與屬性值個數(shù)相關的協(xié)調因子，從而降低多值屬性的信息增益率，使算法傾向于選擇其他更有分類意義的屬性作為分裂節(jié)點，避免多值偏倚。
　　 第三部分是將改進的K均值聚類算法和C4.5決策樹算法相結合構造綜合入侵檢測算法。給出了用綜合入侵檢測算法判斷入侵的方法，說明了綜合入侵檢測系統(tǒng)模型的結構并闡述了具體模塊各自的功能及實現(xiàn)細