基于改进K-均值算法的入侵检测方法研究

摘要

信息技术已经渗透到各个领域，信息安全问题受到了严重的考验。网络病毒的种类增长速度很快，防火墙、数据加密等静态防御方式对网络安全的作用受到了极大的挑战。入侵检测技术具有主动的防御性，很好地弥补了传统安全技术的缺陷。
　　 聚类是一个将数据划分为若干个组或类的过程，并使得同一个组内数据对象具有较高的相似度，而不同组中的数据对象则是不相似的。聚类算法应用于入侵检测能够发现未知入侵，已经成为了当今入侵检测的研究热点。本文开展了以K-均值聚类分析为基础的入侵检测研究，改进了K-均值聚类算法，建立了基于改进K-均值聚类算法的入侵检测模型，并用实验对模型的性能进行了测评。
　　 首先，本文介绍了入侵检测的概念与作用、基本模型以及分类;阐述了聚类的概念、聚类中相似性度量方法、类间的测度函数、聚类分析的主要研究方向、聚类的一般过程以及入侵检测中的聚类算法。K-均值聚类算法有收敛速度快、处理数据效率高等优点，但有些不足之处需要改进。
　　 其次，本文的主要贡献:针对K-均值算法对初始聚类中心存在严重依赖性和需要人为地给出聚类个数K值的缺陷，提出了一种确定K值的方法;针对K-均值算法对初始聚类中心的敏感性并且极易陷入局部最优的缺陷，将全局寻优能力较强的差分进化算法(DE)引入到了K-均值聚类算法中。同时在DE中，采用动态自适应的交叉概率因子CR与缩放系数F，有效地提高了差分进化算法的全局寻优能力与寻优速度;利用混沌具有随机性和遍历性等特点，使用混沌序列对种群进行初始化，提高了初始种群的多样性与差异性，有效地降低了算法陷入局部最优解的可能性;将混沌优化搜索引入到了DE算法，改进了最优个体，有效地提高了差分进化的抗早熟性、寻优能力以及收敛速度。
　　 最后，将改进的K-均值聚类算法应用到了入侵检测中，建立了一种入侵检测模型。使用KDD Cup1999数据集对模型进行了验证，实验结果表明，改进的K-均值算法具有较好的聚类效果，有效地提高了入侵检测的效率，检测率与误报率均取得了良好的效果。

目录

声明

摘要

第一章 绪论

1．1 研究背景及意义

1．2 国内外研究现状

1．3 本文的主要工作和结构安排

1．3．1 本文的主要工作

1．3．2 本文的结构安排

第二章 入侵检测

2．1 入侵检测的概念与作用

2．1．1 入侵检测的概念

2．1．2 入侵检测的作用

2．2 入侵检测系统的基本模型

2．2．1 通用入侵检测模型(Denning模型)

2．2．2 通用入侵检测模型(CIDF模型)

2．2．3 层次化的入侵检测模型(IDM模型)

2．3 入侵检测系统的分类

2．3．1 根据系统数据来源分类

2．3．2 根据入侵检测方法分类

2．4 本章小结

第三章 聚类分析

3．1 聚类

3．1．1 聚类的概念

3．1．2 主要的聚类分析方法

3．2 聚类中的相关定义

3．2．1 聚类分析中的数据结构与数据类型

3．2．2 聚类算法中常用的相似性度量方法

3．2．3 类间的测度函数

3．2．4 聚类准则函数

3．3 聚类分析主要的研究方向

3．4 聚类的一般过程

3．5 应用于入侵检测的聚类分析

3．6 本章小节

第四章 改进的K-均值聚类算法

4．1 混沌

4．1．1 混沌理论

4．1．2 混沌优化算法

4．2 差分进化算法

4．2．1 差分进化算法原理

4．2．2 差分进化算法参数的设定

4．2．3 差分进化算法的流程

4．3 改进的差分进化算法

4．3．1 基于混沌的DE进化操作

4．3．2 差分进化参数的改进

4．3．3 改进的差分进化算法

4．4 K-均值聚类算法

4．4．1 K-均值算法的基本思想

4．4．2 K-均值算法的流程

4．4．3 K-均值算法的主要问题

4．5 基于改进差分进化的K-均值聚类算法

4．5．1 聚类个数K的改进

4．5．2 对选取适当初始聚类中心的改进

4．5．3 基于改进差分进化的K-均值算法

4．6 本章小结

第五章 实验设计与结果分析

5．1 基于改进K-均值聚类算法的入侵检测模型

5．1．1 模型的整体结构

5．1．2 功能模块设计及实现方法

5．2 数据预处理

5．2．1 KDDCUP99数据集简介

5．2．2 数据的标准化与归一化

5．2．3 主成分分析进行特征选择

5．3 实验结果与分析

5．3．1 对混合攻击类型进行聚类实验

5．3．2 对指定特定攻击类型单独进行实验

5．4 本章小节

第六章 总结与展望

6．1 总结

6．2 展望

参考文献

发表论文和科研情况说明

致谢