一种改进的基于密度聚类的入侵检测算法

密度聚类算法DBSCAN是一种有效的聚类分析方法。本文构建了网络入侵检测系统模型，并将一种改进的基于密度聚类的入侵检测算法IDBC应用于检测引擎设计。IDBC算法改进了网络连接记录的距离计算方式，并在DBSCAN聚类结果的基础上，进行聚类合并。实验结果表明，与DBSCAN算法相比，IDBC显著降低了入侵检测的误报率，提高了入侵检测系统的性能。关键词：入侵检测  密度聚类  数据挖掘随着互联网的迅速发展，网络入侵事件频繁发生，入侵检测显示出越来越重要的作用。相对于正常行为，入侵行为往往数目相对很少，而且行为特征差异很大，因此适合于用聚类方法来识别入侵行为，已经有多种聚类算法被应用于这一领域。其中，基于密度聚类的DBSCAN(Density-Based  Spatial  Clustering  of  Applications  with  Noise)算法由于具有对数据输入顺序不敏感、能够在带有噪声的空间数据库中发现任意形状的聚类等优点，在入侵检测领域更受关注。基于聚类的无监督异常入侵检测方法建立在两个假设上：一是正常行为的数目远远大于入侵行为的数目，二是入侵行为和正常行为存在明显的差异。基于这两个基本假设，Columbia大学的Leonid  Portnoy  等人采用聚类思想，能够在没有任何先验知识的情况下，解决入侵检测系统中知识获取的问题[1]，但它假设数据集服从一种随机分布。事实上，实际的网络数据往往不符合任何一种理想状态的数学分布。本文提出一种改进的基于密度聚类的入侵检测算法(IDBC)。该算法改进了网络连接记录的距离计算方式，在传统的DBSCAN  算法基础上，将密度足够高的区域划分为簇，并对得到的聚类结果进行类合并，由此得到更高的检测率和更低的误报率。