基于關(guān)聯(lián)修正的無監(jiān)督入侵檢測(cè)算法研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的進(jìn)步，網(wǎng)絡(luò)數(shù)據(jù)、對(duì)象和流程相互融合并且不斷發(fā)展，信息技術(shù)在人類的現(xiàn)實(shí)生活中發(fā)揮著越來越大的作用。伴隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高，網(wǎng)絡(luò)的安全性受到前所未有的威脅，單純依靠防火墻等防護(hù)措施已不能保證互聯(lián)網(wǎng)的安全，提高入侵檢測(cè)技術(shù)來應(yīng)對(duì)日益發(fā)展的網(wǎng)絡(luò)攻擊手段勢(shì)在必行。
　　當(dāng)前背景下，網(wǎng)絡(luò)IDS使用的算法通常是采取帶標(biāo)記或絕對(duì)正常的數(shù)據(jù)來訓(xùn)練，本文將無監(jiān)督的模糊c均值聚類(FCM)算法引入進(jìn)入侵檢測(cè)中，使入侵檢測(cè)系統(tǒng)可以直

2、接處理無標(biāo)記的、原始的在網(wǎng)絡(luò)上獲得的數(shù)據(jù)。提出一種全新的基于粒子群改進(jìn)的FCM算法并給出一種可自適應(yīng)性的給出聚類個(gè)數(shù)K的方法;并對(duì)無監(jiān)督聚類得到的結(jié)果進(jìn)行關(guān)聯(lián)修正，使得IDS的準(zhǔn)確率和自適應(yīng)能力得到很大的增強(qiáng)。本文的主要工作:
　　首先，介紹了入侵檢測(cè)和無監(jiān)督聚類分析的相關(guān)技術(shù)，研究了無監(jiān)督聚類在入侵檢測(cè)中的應(yīng)用，給予了將聚類分析應(yīng)用于入侵檢測(cè)系統(tǒng)的理論支持。
　　其次，在對(duì)入侵檢測(cè)和無監(jiān)督模糊c均值聚類算法深入研究的基礎(chǔ)上

3、，利用粒子群算法容易實(shí)現(xiàn)全局最優(yōu)的特點(diǎn)，基于粒子群對(duì)FCM算法進(jìn)行改進(jìn)，以解決FCM應(yīng)用于入侵檢測(cè)系統(tǒng)時(shí)容易陷入局部最優(yōu)的缺陷。實(shí)驗(yàn)結(jié)果表明，將改進(jìn)的FCM算法應(yīng)用于入侵檢測(cè)，檢測(cè)的準(zhǔn)確率得到有效的提高。作者針對(duì)人為給定的聚類個(gè)數(shù)可能與實(shí)際情況不符而造成聚類結(jié)果不準(zhǔn)確的情況，研究了一種自適應(yīng)決定聚類數(shù)量的辦法，該方法根據(jù)具體的數(shù)據(jù)來確定不同的閾值，使正常和異常數(shù)據(jù)得到更加準(zhǔn)確的劃分，增強(qiáng)了聚類分析的自適應(yīng)能力。
　　然后，提出一種

4、可以提高效率、減少運(yùn)算量的改進(jìn)關(guān)聯(lián)Apriori算法，并用其對(duì)單一使用無監(jiān)督聚類算法得到的結(jié)果進(jìn)行關(guān)聯(lián)修正，降低了在入侵檢測(cè)系統(tǒng)中僅僅采取聚類分析所導(dǎo)致的準(zhǔn)確率不高、誤報(bào)較多的現(xiàn)象。
　　最后，設(shè)計(jì)了一種基于關(guān)聯(lián)修正的無監(jiān)督入侵檢測(cè)模型，使用經(jīng)過預(yù)處理之后的KDDCup1999數(shù)據(jù)集對(duì)模型進(jìn)行驗(yàn)證。用混合攻擊類型數(shù)據(jù)對(duì)改進(jìn)前后的算法進(jìn)行實(shí)驗(yàn)，并用經(jīng)過關(guān)聯(lián)修正的無監(jiān)督入侵檢測(cè)與單一使用聚類的入侵檢測(cè)進(jìn)行實(shí)驗(yàn)對(duì)比，結(jié)果表明，本文所提出