基于改进CURE聚类算法的无监督异常检测方法

提出了一种基于改进的CURE聚类算法的无监督异常检测方法.在保证原有CURE聚类算法性能不变的条件下,通过对其进行合理的改进获得更加理想的簇,也为建立正常行为模型提供了更加纯净的正常行为数据.在建模过程中,提出了一种新的基于超矩形的正常行为建模算法,该算法有助于迅速、准确地检测出入侵行为.实验采用KDDcup99数据,实验结果表明该方法能够有效地检测网络数据中的已知和未知入侵行为.     

基于聚类粒子群算法网络异常检测模型研究

提出了一种新的基于聚类算法和遗传算法相结合的入侵检测方法模型.算法对聚类的中心采用二进制编码,将网络的正常行为和非正常行为分为不同的类,把每个点到它们之间的各自的聚类中心的欧几里得距离的综合作为相似度量,然后采用粒子群优化算法,有效的降低网络拓扑路径长度,通过优化算法来寻找聚类的中心.Matlab仿真实验结果表明,提出的改进的网络异常检测方法,与较传统网络入侵检测系统模型相比,具有更好的入侵识别率和检测率,同时提高了算法的执行效率.     

主动学习半监督聚类入侵检测算法

针对聚类的入侵检测算法误报率高的问题,提出一种主动学习半监督聚类入侵检测算法.在半监督聚类过程中应用主动学习策略,主动查询网络中未标记数据与标记数据的约束关系,利用少量的标记数据生成正确的样本模型来指导大量的未标记数据聚类,对聚类后仍未能标记的数据采用改进的K-近邻法进一步确定未标记数据的类型,实现对新攻击类型的检测.实验结果表明了算法的可行性及有效性.     

动态聚类算法在网络入侵检测中的应用

为了进一步提高网络入侵检测技术的检测率,降低误报率和漏报率.针对普通聚类算法存在的聚类结果对随机选取初始聚类中心敏感、分类结果不稳定,从而造成的检测率低、漏报和误报率高的特点.提出一种基于动态聚类算法的网络入侵检测模型,实验结果表明通过在K-均值聚类算法的基础上增加动态迭代调整聚类中心,使聚类结果更稳定更准确.与K-均值聚类等算法相比提高了网络入侵检测的性能,从而表明该算法的可行性,有效性.     

基于模糊核聚类和主动学习的异常检测方法

针对日志数据的异常检测获取标记数据代价过高的问题,提出一种基于模糊核聚类与主动学习的算法,即KFCM-AL算法。首先将日志解析,之后利用模糊核聚类算法将待选样本在高维空间进行划分聚类,滤去样本冗余点,同时选取聚类中心进行标记构建初始分类器,最后结合主动学习利用较小的标记代价对异常检测模型进行优化。实验结果表明,所提方法能够利用较少的标记样本获取异常检测模型的性能提升。     

一种K-MEANS算法在网络异常检测中的应用

在研究K-MEANS算法和网络入侵的基础上将一种已知聚类中心的K-MEANS聚类算法用于网络的异常检测中.该算法避免了由于传统聚类算法随机选取初始聚类中心而带来的网络异常检测中检测率低的问题.在实例中验证了该算法的可行性和优越性.结果表明该算法相对传统聚类算法在检测率方面有了很大提高,并且能通过无监督学习的方法来获得对新型攻击的检测.     

对K-means算法初始聚类中心选取的优化

针对传统K-means算法对初始聚类中心选取的问题,提出了基于数据样本密度和距离来选取初始聚类中心的改进K-means算法,该算法保证了初始中心点集的第一点为确定的(最大密度点),在基于距离最远的其他中心点搜索过程中,得到的中心点也基本上是确定的,消除了初始中心点选择的随机性,同时保证了获得较高质量的初始中心点。理论分析和实验结果表明:改进的k-means算法是一种有效的入侵检测方法,根据此方法设计的入侵检测系统是有效可行的。     

一种基于孤立点挖掘的网络入侵系统

本文设计了一种利用基于误用检测和异常检测相结合的入侵检测模型,文中介绍了系统的工作过程,用来自主机的审计数据和来自网络的数据包来训练数据,建立正常特征和入侵特征的规则库.在异常检测中,提出了一种基于模糊聚类的孤立点检测方法,利用此种方法建立孤立点发现引擎,文中设计了算法步骤,检测系统具有实时性和适应性,并且有效提高了检测的准确率,降低了漏报率.     

改进的K-means网络入侵检测算法

针对K-means算法对于初始聚类中心选择敏感问题,提出了一种改进的K-means算法,该算法优化了聚类中心选择问题,能够获得全局最优的聚类划分,同时减少了算法的时间复杂度。实验结果表明,采用本文的算法进行网络入侵检测,相对于经典的聚类算法,能获得理想的网络入侵检测率和网络误报率。     

有指导的入侵检测方法研究

基于一种用于混合属性数据的距离定义和改进的最近邻分类方法,提出了一种基于聚类的有指导的入侵检测方法。该方法首先利用一趟聚类算法对训练集进行聚类,再利用数据的标识和少数服从多数的原则将聚类标识为“正常”或“攻击”,以标识的聚类作为分类模型对数据进行分类。理论分析表明提出的检测方法关于数据集大小和属性个数具有近似线性时间复杂度。不同于一般的有指导的入侵检测方法,改进的最近邻方法从理论上保证了该方法对未知入侵有一定的检测能力。在KDDCUP99数据集上的测试结果表明,该方法有高的检测率和低的误报率。