改進的聚類與決策樹算法在入侵檢測中的應(yīng)用.pdf

1、網(wǎng)絡(luò)技術(shù)的快速發(fā)展帶動了網(wǎng)絡(luò)應(yīng)用范圍的擴大，隨之出現(xiàn)了網(wǎng)絡(luò)安全問題。目前網(wǎng)絡(luò)攻擊手段多達數(shù)千種，應(yīng)對網(wǎng)絡(luò)安全問題，除了防火墻，比較有效的措施是入侵檢測系統(tǒng)。作為主動防御網(wǎng)絡(luò)攻擊的手段，入侵檢測需要解決網(wǎng)路數(shù)據(jù)量大、噪聲數(shù)據(jù)多、在線學(xué)習(xí)難等巨大挑戰(zhàn)，在海量網(wǎng)絡(luò)數(shù)據(jù)中正確識別攻擊數(shù)據(jù)也是亟待解決的問題。入侵檢測的本質(zhì)是從大數(shù)據(jù)集中提取網(wǎng)絡(luò)數(shù)據(jù)特征，依據(jù)特征判斷網(wǎng)絡(luò)行為是正常行為或者入侵行為，從而把入侵檢測問題轉(zhuǎn)化為數(shù)據(jù)分類問題。
　　

2、 本文主要研究了將K均值聚類算法與C4.5決策樹分類算法應(yīng)用于網(wǎng)絡(luò)入侵檢測的相關(guān)問題。K均值聚類算法是利用無監(jiān)督學(xué)習(xí)過程獲取知識的方法，在聚類過程中不需要任何的先驗知識，可以發(fā)現(xiàn)未知攻擊類型，具有過程簡單、收斂速度快等優(yōu)點，但對數(shù)據(jù)類型的誤判率略高。決策樹屬于有監(jiān)督的學(xué)習(xí)分類方法，需要利用網(wǎng)絡(luò)行為的先驗知識預(yù)先標(biāo)記訓(xùn)練數(shù)據(jù)。它對已知類型攻擊有較高的識別率，但對未知攻擊類型的檢測則差強人意。本文針對兩種算法的不足分別對K均值聚類算法和C

3、4.5決策樹分類算法進行改進，并將改進后的算法相結(jié)合，構(gòu)建綜合入侵檢測算法。
　　 本文主要工作包括三個部分：
　　 第一部分針對傳統(tǒng)K均值聚類算法只適用于球形結(jié)構(gòu)數(shù)據(jù)集的聚類這一不足，提出一種改進聚類準(zhǔn)則函數(shù)的方法，采用可以反映屬性間相關(guān)性的馬氏距離替代歐氏距離判斷樣本間的相似度，為了體現(xiàn)不同屬性對聚類結(jié)果的不同重要程度，在距離度量中加入屬性權(quán)重因子和矩陣協(xié)調(diào)因子，提高K均值聚類算法對非球形簇數(shù)據(jù)集的聚類能力。

4、　　 第二部分針對C4.5決策樹分類算法在某些情況下易產(chǎn)生多值偏向這個問題，提出對屬性的分裂信息值進行修正，引入與屬性值個數(shù)相關(guān)的協(xié)調(diào)因子，從而降低多值屬性的信息增益率，使算法傾向于選擇其他更有分類意義的屬性作為分裂節(jié)點，避免多值偏倚。
　　 第三部分是將改進的K均值聚類算法和C4.5決策樹算法相結(jié)合構(gòu)造綜合入侵檢測算法。給出了用綜合入侵檢測算法判斷入侵的方法，說明了綜合入侵檢測系統(tǒng)模型的結(jié)構(gòu)并闡述了具體模塊各自的功能及實現(xiàn)細