一种基于动态聚类的异常入侵检测方法

运用数据挖掘方法进行入侵检测已经成为网络安全领域的一个重要研究方向。提出一种动态聚类的数据挖掘方法进行异常入侵检测,该方法将不同用户行为的特征动态聚集,根据各个子的类支持度与预设的检测阈值比较来区分正常与异常。由于动态聚类算法在每次聚类过程中都检验归类的合理性,因此获得很好的聚类效果。实时检测试验得到了较高的检测率和较低的误报率。     

K-中心点聚类算法优化模型的仿真研究

聚类分析是数据挖掘的一项关键技术,对于大数据集,确定聚类中心点集所需的计算时间相当的长,针对K-中心算法是一种经典的聚类算法,K-中心在处理小数据集聚类的的问题时,具有良好准确性和伸缩性.但由于K-中心初始中心点是随机选取,聚类过程缓慢,易陷入局部极值,聚类的准确性大大降低.为了提高聚类速度和准确性,提出一种改进的快速K-中心聚类算法.方法首先将训练数据集转换为标准的单位特征度量空间,然后将数据先粗划分为m组,再对m组的k个中心进行聚类找到最优聚类中心,找到聚类中心进行聚类并得到最终聚类结果.以网络入侵数据为例对算法进行了验证性分析,实验结果表明,相对于基本K-中心聚类算法,在保持相同聚类效果的情况下,快速K-中心聚类新算法能够加快聚类速度,节省约聚类时间.     

基于模糊动态聚类的入侵检测

为了提高入侵检测系统对入侵特征知识的归纳和概括能力,提出了将一种基于模糊等价关系的动态聚类方法应用于对入侵特征集进行层次聚类。实验证明该方法提高了系统识别未知入侵行为的能力,并且通过动态调整参数能使检测在误警率和检测率中达到较好的 平衡。     

聚类在网络入侵的异常检测中的应用

介绍了网络入侵检测技术;分析了数据挖掘中的聚类算法在网络入侵异常检测中的应用,给出了系统的总体模型设计,并分析了各个模块的功能;通过实验结果中验证了该方法的有效性.     

一种基于自我聚类的异常检测学习方法

提出一种新的基于正选择的异常检测方法,该方法通过聚类学习正常空间特征,在每个类中选择有代表性的自我样本构造检测器集,之后利用正选择算法进行异常检测。这种方法既能适用于自我样本集较多的情形,克服了T. Stibor提出的正选择的局限,又具备了一定的学习能力。同时,该方法还避免了负选择中随机选择样本带来的弊端。通过实验分析,该方法比VDetector具备更好的检测性能,是一种有效的异常检测方法。     

一种基于聚类的异常流量检测算法

通过分析常见异常流量的内在特征,在Chameleon算法的基础上,设计了一种基于聚类的异常流量检测算法。通过对DARPA1998数据集的实验结果表明,该算法能够在没有先验知识的前提下,对影响正常网络性能的异常流量有较高的检测准确率。     

一种基于聚类和主成分分析的异常检测方法

提出了一种基于聚类和主成分分析的异常检测方法,该方法利用聚类分析将训练数据划分为不同的子集,从而得到正常模式在特征空间中的分布,然后利用主成分分析来提取各行为子集的特征轮廓,最后利用各子集的PCA变换矩阵进行检测。实验结果证明了基于主成分分析的异常检测方法的有效性。     

基于多维聚类挖掘的异常检测方法研究

网络异常检测是网络管理中非常重要的课题,因此已在近年来得到广泛研究.人们在该领域提出了许多先进的网络流量异常检测方法,但是自动准确地对网络流量进行分类和识别来发现网络中的异常流量仍然是一个非常具有挑战性的问题.文中提出了一种基于多维聚类挖掘的异常检测方法,通过两个阶段来实现异常检测.第一阶段先通过多维聚类挖掘算法,自动对网络中的流量进行多维聚类,第二阶段通过计算多维聚类的异常度来实现异常检测.通过文中的方法,网络中的异常流量被自动归类到不同的有意义的聚类中,通过对这些聚类进行分析可以发现网络中的异常行为.最后通过实验对算法进行了验证,结果表明该方法能够有效检测网络中的异常流量.     

一种基于聚类的异常入侵检测方法

传统的K均值聚类算法采用欧式距离计算样本间的相似度,由于未考虑不同样本属性对于衡量样本间距离区分度的重要性,导致相似度计算不准确,聚类性能较差。提出了一种改进的K均值聚类算法,通过计算每个属性相对于聚类类别的信息增益率,将信息增益率作为属性权重计算加权欧式距离,使对类别区分度贡献较大的属性拥有较大的权重,以提高样本间的相似性度量的准确性。在经典的入侵检测数据集UCI KDD CUP上的实验结果证明,与传统的基于K均值的入侵检测方法相比,此方法能够有效地提高检测准确率。     

基于各向异性质心Voronoi图的网络异常检测技术

网络异常检测技术是入侵检测研究领域中的重要内容,但在检测率和误报率上存在相互制约的问题,导致实际应用中性能不高。基于各向异性质心Voronoi图,提出一种新的网络异常检测算法。在新算法中,首先对数据集用各向异性质心Voronoi图进行聚类,然后计算每个数据点的点密度,判断数据点是否正常。通过KDD Cup1999数据集的实验测试表明,新算法具有较高的检测率和较低的误报率。     

一种半聚类的异常入侵检测算法

针对基于监督学习的入侵检测算法所面临的训练样本不足的问题,提出了一种结合改进k 近邻法的基于半监督聚类的异常入侵检测算法,利用少量的标记数据改善算法的学习能力,并实现了对新攻击类型的检测。实验结果表明,在标记数据极少的情况下,算法的检测结果明显好于非监督学习的算法,接近于监督学习的检测算法。     

基于W-Kmeans算法的DNS流量异常检测

为了对DNS查询进行有效检测,及时发现DNS流量异常,提出了适合于检测DNS流量异常的权重Kmeans (WKmeans)算法.对CN顶级域2009年5月19日的原始查询日志抽取有用信息,提取相关的向量特征,对不同的向量特征赋予不同的权重值.利用W-Kmeans算法对查询日志进行聚类检测,并分析了算法各种参数选择的影响.5.19事件的DNS查询检测结果表明,W-Kmeans算法可以有效检测DNS流量异常的发生.     

基于遗传聚类算法的离群点检测

离群点检测是数据挖掘一个重要内容,它为分析各种海量的、复杂的、含有噪声的数据提供了新的方法。对离群数据挖掘几类主要的方法进行了分析和评价,并在此基础上了提出了一种基于遗传聚类的离群点检测算法。该算法结合了遗传算法全局搜索的优点和K-均值方法局部收敛速度快的特点,取得较好效果。实验验证该算法很好地检测到数据集中的离群点,同时还完成了数据集的聚类。具有较好的实用性。     

基于有效载荷的异常入侵检测技术研究

分析了目前入侵检测存在的问题,提出了一种基于有效载荷的异常入侵检测技术.该技术选取网络数据包有效载荷的位分布作为系统特征值,采用统计学中的马哈拉诺比斯距离作为区分合法访问与非法入侵的算法,降低了误报率,提高了检测精度.实验结果表明,该检测技术是有效的,具备一定的识别未知入侵的能力,可以实现实时高效的异常入侵检测.     

模糊聚类和QPSO算法在Ad Hoc异常检测中的应用

根据模糊聚类算法和量子粒子群算法,提出一种基于以上两种算法的网络异常检测模型,并将该模型应用到Ad Hoc无线网络异常检测中。在聚类分析中,K-Means聚类算法是应用最广泛的方法之一。该模型先利用K-Means聚类算法的结果重新初始化粒子群,聚类过程都是根据数据向量间的欧几里德距离;再通过量子粒子群优化算法寻找聚类中心;最后进行仿真模拟,实验结果表明该模型对Ad Hoc无线网络异常检测是有效的。     

集成学习分布式异常检测方法

研究了基于模型共享的集成学习分布式异常检测模型,采用多数投票、边界扩展、平均叠加和距离加权4种不同的集成学习方法得到全部的局部模型;采用交换本地数据挖掘模型的方式来实现数据共享,从而构造出一个总体的集成学习模型。从全局的观点检测异常,减少了集中式检测所需数据的传输量,有效保护了数据提供者的隐私性。仿真实验结果表明,该方法的检测性能与集中式检测的性能相当,甚至更好。     

网格和密度聚类算法在入侵检测中的应用

针对现有入侵检测算法中普遍存在的对输入顺序敏感的问题,提出了将网格和密度相结合的聚类算法应用到入侵检测中。该算法在CLIQUE基础上进行了改进,将非密集单元向密集单元移动,克服了CLIQUE算法聚类结果精确性不高的缺点。该算法结合了网格聚类的低时空复杂度和密度聚类的良好抗噪性的特点。仿真实验中采用了KDD-CUP99的测试数据集,实验结果证实了该算法的有效性和可行性。     

基于层次聚类的孤立点检测方法

孤立点检测是数据挖掘过程的重要环节,提出了基于层次聚类的孤立点检测（ODHC）方法。ODHC方法基于层次聚类结果进行分析,对距离矩阵按簇间距离从大到小检测孤立点,可检测出指定离群程度的孤立点,直到达到用户对数据的集中性要求。该方法适用于多维数据集,且算法原理直观,用户友好,对孤立点的检测准确率较高。在iris、balloon等数据集上的仿真实验结果表明,ODHC方法能有效地识别孤立点,是一种简单实用的孤立点检测方法。