基于蚁群聚类的入侵检测技术研究*

针对现有的入侵检测对未知攻击检测率和误检率方面的不足,提出了基于蚁群聚类的入侵检测系统。首先研究了基本蚁群优化算法,在此基础上提出基于蚁群聚类的入侵检测算法,进而设计了基于蚁群聚类的入侵检测系统体系结构。结果表明,蚁群聚类算法的检测率和误报率较K-means聚类算法有明显改善,因此,采用蚁群聚类算法的入侵检测系统具有较好地自动检测入侵并防止未知攻击的特点。     

基于扩展和网格的多密度聚类算法

提出了网格密度可达的聚类概念和边界处理技术，并在此基础上提出一种基于扩展的多密度网格聚类算法。该算法使用网格技术提高聚类的速度，使用边界处理技术提高聚类的精度，每次聚类均从最高的密度单元开始逐步向周围扩展形成聚类．实验结果表明，该算法能有效地对多密度数据集和均匀密度数据集进行聚类，具有聚类精度高等优点．     

粒子群模糊聚类算法在入侵检测中的研究

目前模糊C均值聚类算法广泛应用于入侵检测算法中,但是存在聚类数目难以确定,目标函数的局部极小点使得算法容易陷入局部最优的现象,影响入侵检测的准确率。鉴于此,文中提出一种基于粒子群算法的模糊聚类算法,引入PSO全局搜索能力和粒子翻转变异操作,避免传统C均值聚类算法对孤立点敏感,容易陷入局部最优,过早收敛的问题。最后通过实验结果表明,新算法检测率明显优于C均值聚类算法,能很好地应用于目前入侵检测系统之中。     

基于改进模拟退火的优化K-means算法

针对K-means算法全局搜索能力的不足,提出了一种基于改进模拟退火的优化K-means(SA-KM)的聚类算法,该算法克服了K-means聚类算法对初始聚类中心选择敏感问题。为了提高SA-KM算法的聚类划分质量,提出了一种用于评价聚类结果的评价函数,该函数更为准确地反映类内距离和类间距离。仿真结果表明使用该算法在进行入侵检测时,能够检测出多种类型的入侵行为,能够保持较高的网络入侵检测率和较低网络入侵的误报率。     

基于密度聚类分析的入侵检测方法研究

针对密度聚类DBSCAN算法存在的聚类效果对输入参数敏感的问题,提出了一种基于k-means改进算法确定DBSCAN算法参数的方案来提高聚类质量。将改进k-means算法与DBSCAN算法相结合应用于入侵检测系统,实验结果表明,新方法较好地解决了传统DBSCAN聚类算法中参数选择的敏感问题,相比于李娜等人提出的算法,结合算法使检测率提高了3.32%,误报率降低了1.83%。     

网格和密度聚类算法在入侵检测中的应用

针对现有入侵检测算法中普遍存在的对输入顺序敏感的问题,提出了将网格和密度相结合的聚类算法应用到入侵检测中。该算法在CLIQUE基础上进行了改进,将非密集单元向密集单元移动,克服了CLIQUE算法聚类结果精确性不高的缺点。该算法结合了网格聚类的低时空复杂度和密度聚类的良好抗噪性的特点。仿真实验中采用了KDD-CUP99的测试数据集,实验结果证实了该算法的有效性和可行性。     

基于模糊聚类的网络入侵检测

聚类分析是一种有效的异常入侵检测方法,本文提出基于模糊C-均值聚类的网络入侵检测算法。用KDD Cup1999数据集的仿真试验结果表明算法的可行性、有效性和扩展性,并有效提高了聚类检测的检测率,降低了误报率。     

基于网格密度的聚类算法的性能比较分析

该文讨论了基于网格和密度的聚类算法,该算法是在基于密度的聚类算法和基于网格的聚类算法的基础上提出的。通过与传统的几种基于聚类算法的比较,详细讨论了基于网格和密度的聚类算法的性能,并提出了该算法的不足之处。     

基于图聚类的入侵检测算法研究

针对当前聚类算法仅依赖于初始聚类中心并且无法精确区别非凹形状类的不足,现将图学习知识应用到聚类算法中,提出了一种基于图聚类的入侵检测算法P-BFS。为得到较准确的分类模型,算法中引入了一种基于逼近函数的相似性度量方法。实验结果论证了图聚类思想应用于入侵检测系统的优越性;同时表明了,与K-means聚类算法相比,P-BFS图聚类算法具有较高的性能。     

改进K-means算法在入侵检测中的应用研究

为了弥补传统K-means聚类算法在K值确定和初始中心选择难等方面的不足,基于“合并与分裂”思想,提出一种改进的K-means聚类算法。将数据独立程度概念引入实验数据子集构造理论中,利用独立程度评价属性的重要性;根据点密度将数据集合并为若干类,结合最小支撑树聚类算法与传统K-means聚类算法实现分裂;使用KDD Cup99数据集对改进算法在入侵检测中的应用进行仿真实验。结果表明,改进算法在检测率和误报率方面均优于传统K-means算法。     

基于模拟退火和半监督聚类的入侵检测方法

由于缺少监督数据,传统的基于聚类算法的入侵检测系统存在误报率高、检测率低等问题。针对这种情况,提出基于模拟退火和半监督K均值聚类的入侵检测方法。该方法首先利用少量标记入侵类型的网络数据改进聚类初始化过程,在K均值聚类算法中引入半监督学习,然后利用模拟退火算法跳出局部极值的能力与半监督K均值聚类算法结合以得到全局最优聚类,最后根据标记数据确定聚类类别,并应用于入侵行为的检测。基于KDDCUP99的对比实验表明,该方法利用监督数据和模拟退火算法改进了聚类算法,能够有效提高入侵检测的准确率。     

基于自适应蚁群聚类的入侵检测

针对蚁群聚类算法在聚类结果中出现部分数据划分不够准确的问题,提出一种基于信息熵调整的自适应混沌蚁群聚类改进算法。该算法通过优化过程中种群的信息熵来衡量演化的程度,自适应地调整信息素更新策略。每一次迭代结束时,使用混沌搜索算子在当前全局最优解附近搜索更好的解。而随着算法的进行,混沌算子搜索范围逐渐缩小,这样混沌算子在蚁群搜索的初期起到防止陷入局部最优的作用,在蚁群搜索后期起到提高搜索精度的作用,从而得到更好的聚类结果。使用KDD Cup 1999入侵检测数据集所作的仿真实验结果表明,聚类效果改进明显,并能有效提高入侵检测的检测率、降低误检率。     

基于模拟退火与K均值聚类的入侵检测算法

K均值聚类算法时初始值的选取依赖性极大,易陷入局部极值.为此,结合模拟退火算法和K均值聚类思想,提出一种新的入侵检测方案.算法利用模拟退火算法时聚类分析中的聚类准则进行优化,以获得全局最优解,并进一步开拓模拟退火算法的并行性以加快算法收敛速度.在KDD CUP 1999上进行了仿真测试,实验结果表明该方案优于基于K均值聚类的入侵检测算法,有较低的误检率与虚警率.     

基于模拟谐振子的优化K-means聚类算法

针对K-means算法全局搜索能力的不足,提出了基于模拟谐振子的优化K-means聚类算法（SHO-KM）,该算法克服了K-means聚类算法对初始聚类中心选择敏感问题,能够获得全局最优的聚类划分。为了提高聚类划分质量,在聚类过程中采用基于Fisher分值的属性加权的实体之间距离计算方法,使用属性加权距离计算方法进行聚类划分时,无论是球形数据还是椭球形数据都能够获得较好的聚类划分结果。对KDD-99数据集的仿真实验结果表明,该算法在入侵检测中获得了理想的检测率和误报率。     

一种改进的模糊C均值算法在入侵检测中的应用

为解决模糊C均值(FCM)聚类算法在入侵检测中存在的检测效率低的问题,提出一种改进方法,将改进的模糊C均值聚类算法应用于入侵检测。测试表明,该算法有效提高了聚类检测的检测率,降低了误检测率,具有可行性和有效性。     

聚类算法在入侵检测中的应用

入侵检测中对未知入侵的检测主要由异常检测完成,传统的异常检测方法需要构造一个正常行为特征轮廓的参考模型,但获取完全正常的数据比较困难。介绍的聚类技术是应用到入侵异常检测中的一种较为新颖的技术,是一种无需指导的异常检测技术,可以区分哪些是正常记录,哪些是异常记录。分析了将聚类方法应用于入侵检测中的可行性及对数据处理的标准化方法。另外,给出了基于覆盖的聚类算法与两种经典聚类算法的比较。     

基于PSO的k-means算法及其在网络入侵检测中的应用

在传统k-means算法中,初始聚类中心随机选择,聚类结果随初始聚类中心的不同而波动,从而导致聚类结果不稳定。提出的PSO-based k-means算法使用PSO算法优化生成初始聚类中心,得到的聚类结果全局最优,不会陷入局部最优解。实验结果表明,将PSO-based k-means算法用于入侵检测系统的规则挖掘处理模块,其入侵检测率明显高于传统k-means算法,而误报率则大大低于后者。显然,PSO-based k-means算法可有效提高网络入侵检测系统的性能。     

K-means聚类算法优化方法的研究

针对K-means算法全局搜索能力的不足,提出基于改进PSO的优化K-means聚类算法(IPSO-KM),该算法克服了K-means聚类算法对初始聚类中心选择敏感问题,能够获得全局最优的聚类划分.同时,提出一种基于信息增益比例的属性加权的实体之间距离计算方法,使用属性加权距离计算方法进行聚类划分时,无论是球形数据还是椭球形数据都能够获得较好的聚类划分结果.仿真实验采用KDD-cup 99的测试数据,实验结果表明本文提出的算法不但能检测到多种已知的网络入侵行为,而且能够检测到许多未知的网络入侵行为,同时保持较高的网络入侵的检测率和较低入侵的误报率.