一種改進(jìn)的基于密度聚類(lèi)的入侵檢測(cè)算法

密度聚類(lèi)算法DBSCAN是一種有效的聚類(lèi)分析方法。本文構(gòu)建了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型，并將一種改進(jìn)的基于密度聚類(lèi)的入侵檢測(cè)算法IDBC應(yīng)用于檢測(cè)引擎設(shè)計(jì)。IDBC算法改進(jìn)了網(wǎng)絡(luò)連接記錄的距離計(jì)算方式，并在DBSCAN聚類(lèi)結(jié)果的基礎(chǔ)上，進(jìn)行聚類(lèi)合并。實(shí)驗(yàn)結(jié)果表明，與DBSCAN算法相比，IDBC顯著降低了入侵檢測(cè)的誤報(bào)率，提高了入侵檢測(cè)系統(tǒng)的性能。
關(guān)鍵詞：入侵檢測(cè) 密度聚類(lèi) 數(shù)據(jù)挖掘
隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)入侵事件頻繁發(fā)生，入侵檢測(cè)顯示出越來(lái)越重要的作用。
相對(duì)于正常行為，入侵行為往往數(shù)目相對(duì)很少，而且行為特征差異很大，因此適合于用聚類(lèi)方法來(lái)識(shí)別入侵行為，已經(jīng)有多種聚類(lèi)算法被應(yīng)用于這一領(lǐng)域。其中，基于密度聚類(lèi)的DBSCAN(Density-Based Spatial Clustering of Applications with Noise)算法由于具有對(duì)數(shù)據(jù)輸入順序不敏感、能夠在帶有噪聲的空間數(shù)據(jù)庫(kù)中發(fā)現(xiàn)任意形狀的聚類(lèi)等優(yōu)點(diǎn)，在入侵檢測(cè)領(lǐng)域更受關(guān)注。
基于聚類(lèi)的無(wú)監(jiān)督異常入侵檢測(cè)方法建立在兩個(gè)假設(shè)上：一是正常行為的數(shù)目遠(yuǎn)遠(yuǎn)大于
入侵行為的數(shù)目，二是入侵行為和正常行為存在明顯的差異?；谶@兩個(gè)基本假設(shè)，Columbia大學(xué)的Leonid Portnoy 等人采用聚類(lèi)思想，能夠在沒(méi)有任何先驗(yàn)知識(shí)的情況下，解決入侵檢測(cè)系統(tǒng)中知識(shí)獲取的問(wèn)題[1]，但它假設(shè)數(shù)據(jù)集服從一種隨機(jī)分布。事實(shí)上，實(shí)際的網(wǎng)絡(luò)數(shù)據(jù)往往不符合任何一種理想狀態(tài)的數(shù)學(xué)分布。本文提出一種改進(jìn)的基于密度聚類(lèi)的入侵檢測(cè)算法(IDBC)。該算法改進(jìn)了網(wǎng)絡(luò)連接記錄的距離計(jì)算方式，在傳統(tǒng)的DBSCAN 算法基礎(chǔ)上，將密度足夠高的區(qū)域劃分為簇，并對(duì)得到的聚類(lèi)結(jié)果進(jìn)行類(lèi)合并，由此得到更高的檢測(cè)率和更低的誤報(bào)率。