摘要: 随着互联网应用的不断深入,我们的工作、学习越来越离不开计算机网络,但同时人们的网络安全意识还相对较弱,致使黑客攻击活动日趋频繁,网络泄密、网络监听、网络攻击等丑闻频传。近年来,网络攻击工具及方法有不断多样化、隐蔽化、复杂化的趋势,并且随... 展开 随着互联网应用的不断深入,我们的工作、学习越来越离不开计算机网络,但同时人们的网络安全意识还相对较弱,致使黑客攻击活动日趋频繁,网络泄密、网络监听、网络攻击等丑闻频传。近年来,网络攻击工具及方法有不断多样化、隐蔽化、复杂化的趋势,并且随着攻击者技术的日渐成熟,仅靠传统的防火墙、操作系统加固、数据加密等静态防御技术已无法提供足够的安全保障。在此背景下通过主动防御的入侵检测系统构建安全的网络体系就成为了日益紧迫的课题。 目前成熟的入侵检测系统大多使用模式匹配的方法来检测入侵行为。虽然该方式具有检测效率高、准确率高的特点,但也存在不易检测未知入侵、系统误报率和漏报率高的情况。随着数据挖掘技术的不断成熟,将挖掘技术应用于入侵检测领域的研究也取得了丰硕的成果,如:K—均值、K—中心等算法。由于K-means算法通过聚类分析,具有能发现未知入侵且运行效率高等优点,而日渐受到人们的重视。但该算法存在参数确定繁琐、不能保证最优和动态改变等缺点。 本文首先在分析了聚类方法应用于入侵检测系统的优势后,指出聚类方法存在的弱点。提出通过在对已有数据集进行预处理的基础上,计算出正常数据和已知入侵的均值,并以此作为聚类中心,克服K-means算法中半径阈值不易确定、初始K值设置指定不好易出现局部最优的弱点。同时,利用离群点检测技术原理将聚类分为大类与小类从而能自动发现一些未知入侵,以使系统能够保持自更新的工作状态。最后,通过实验进行验证该检测模式是有效的。 收起