基于聚类的异常入侵检测技术

【摘要】：信息技术已经渗入到社会的各个领域,社会、政治、经济等领域越来越依赖于以互联网技术为代表的信息技术。但网络在为社会提供便捷之余,同时对人类提出新的挑战,信息安全问题愈发突出。对于层出不穷的网络病毒和黑客技术,现有的安全技术譬如身份验证系统、防火墙技术、操作系统安全内核技术、数据加密技术等传统的保护措施都有其本身的缺陷。入侵检测系统集主动防护、动态监控、实时响应等优点于一身,因而成为了目前信息安全技术的热点之一。 本文分析研究了国内外基于监督学习和无监督学习等多种数据挖掘技术的入侵检测技术,在此基础上提出了一种提高入侵检测系统时效性、准确性和对未知攻击的检测性的算法。 本文首先采用信息增益,计算了对应于每一类具体攻击类型的全部特征的信息增益,对用于实验的KDDCUP99数据集进行了特征选择,大大提高了系统的时效性,而且去掉了对聚类结果不相关的、冗余的特征,保留了对结果起着关键作用的特征。 其次为了避免单纯的模糊C均值算法的缺陷,如局部最优、对初始值的选择比较敏感等问题,引入群评价的概念对粒子群算法进行了改进,增加了其全局寻优的能力,然后用改进的粒子群算法对模糊C均值优化。用改进的模糊C均值算法对数据进行聚类,利用领域知识,将K值设定为5,得到5个聚类中心。然后,数据集里的每一个数据对象会和5个聚类中心中的任意两个构成一个三角形,计算三角形的面积,将得到的10个面积添加为该数据对象新的特征。 最后,采用支持向量机方法,利用10倍交叉验证对数据模型进行训练和测试,得到最终结果。经验证,该算法的准确率可达到95.88%,误报率降低到2.99%。并且对于未知的攻击也有较高的预测率,其指标均优于比较试验的结果。