基于多維聚類(lèi)挖掘的異常檢測(cè)方法研究.pdf

1、網(wǎng)絡(luò)異常檢測(cè)是網(wǎng)絡(luò)管理中的非常重要的課題，因此已在近年來(lái)得到廣泛研究，人們?cè)谠擃I(lǐng)域提出了許多先進(jìn)的網(wǎng)絡(luò)流量異常檢測(cè)方法，但是自動(dòng)準(zhǔn)確的對(duì)網(wǎng)絡(luò)流量進(jìn)行分類(lèi)識(shí)別從而發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量仍然是一個(gè)非常具有挑戰(zhàn)性的問(wèn)題。異常檢測(cè)有三種基本方法，監(jiān)督異常檢測(cè)，半監(jiān)督異常檢測(cè)，無(wú)監(jiān)督異常檢測(cè)。基于監(jiān)督學(xué)習(xí)的異常檢測(cè)方法雖然能夠通過(guò)建立正常模型來(lái)進(jìn)行異常檢測(cè)，但是需要對(duì)數(shù)據(jù)進(jìn)行手工標(biāo)記來(lái)獲取足夠的訓(xùn)練樣本，會(huì)造成大量人力資源的浪費(fèi)，開(kāi)銷(xiāo)太大。因此人們

2、提出了基于無(wú)監(jiān)督的異常檢測(cè)方法。聚類(lèi)是入侵檢測(cè)領(lǐng)域中一種無(wú)監(jiān)督異常檢測(cè)方法，能夠從無(wú)類(lèi)別標(biāo)記的樣本中發(fā)現(xiàn)提取有用的信息，聚類(lèi)方法不需要先驗(yàn)知識(shí)，能夠發(fā)現(xiàn)未知攻擊，但是由于網(wǎng)絡(luò)攻擊的多樣性，傳統(tǒng)的聚類(lèi)算法不能很好的挖掘網(wǎng)絡(luò)中的異常流量。
　　本文提出一種基于多維聚類(lèi)分析的異常檢測(cè)方法，通過(guò)兩個(gè)階段來(lái)實(shí)現(xiàn)異常檢測(cè)。第一階段先通過(guò)多維聚類(lèi)挖掘算法，自動(dòng)對(duì)網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行多維聚類(lèi)，第二階段通過(guò)計(jì)算多維聚類(lèi)的異常度來(lái)實(shí)現(xiàn)異常檢測(cè)。本文首先介紹

3、了聚類(lèi)分析的基本思想，對(duì)幾種經(jīng)典的聚類(lèi)算法進(jìn)行了分析，其次詳細(xì)描述了數(shù)據(jù)流上的單維和多維聚類(lèi)算法，由于網(wǎng)絡(luò)流數(shù)據(jù)具有海量數(shù)據(jù)的特性，原始的多維聚類(lèi)算法在實(shí)際中不可行，因此提出了幾個(gè)優(yōu)化措施來(lái)提高聚類(lèi)的效率。然后提出了一個(gè)聚類(lèi)異常度計(jì)算方法，可以更好的識(shí)別由網(wǎng)絡(luò)攻擊產(chǎn)生的異常流量。在理論研究的基礎(chǔ)上，設(shè)計(jì)和實(shí)現(xiàn)一個(gè)基于多維聚類(lèi)分析的網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)，詳細(xì)描述系統(tǒng)的體系結(jié)構(gòu)和主要功能模塊。最后使用不同的網(wǎng)絡(luò)攻擊數(shù)據(jù)集對(duì)系統(tǒng)進(jìn)行了測(cè)試，實(shí)驗(yàn)結(jié)