基于遗传模糊聚类算法的入侵检测研究.pdfVIP

第30卷 第4期 湘潭师范学院学报(自然科学版) VoI．3ONo．4 2008年 12月 JournalofXiangtanNormalUniversity(NaturalScienceEdition) Dec．20o8 基于遗传模糊聚类算法的入侵检测研究 肖满生 (湖南工业大学 理学院，湖南株洲412008) 摘 要：针对常用聚娄算法在网络入侵检测中结果不理想的问题，在研究典型模糊C均值聚类算法 (FCM)的基础上， 提 出了一种结合GA与FCM的网络入侵检测算法GFCM，以克服FCM聚类时对初始值敏感、受噪声影响大、容易陷入局部最 优等问题，通过在KI)DCUP99数据集上对比实验，证明该算法的检测度高，对网络异常攻击行为检测效果较好。 关键词：遗传算法；模糊C均值聚类；入侵检测；检测度 中图分类号：TP393．08 文献标识码：A 文章编号：1671—0231f2oo8)o4—0016—04 聚类是模式识别和数据挖掘领域中广为使用的数据分析手段，基于聚类分析的入侵检测方法研究 目前主要集中在传 统的模糊C均值聚类 (FCM)方法上，如国外PortnoyElJ等提出的基于距离的聚类方法；PaINRl2J等提出了一种可能性模糊C一 均值聚类算法(PFCM)；国内的罗军生u3j、陈健美L4J等也对FCM方法进行了探索和改进。然而，由于FCM方法客观上存在一 些问题，如 自适应性不强、对初始值敏感、容易受噪声等孤立点影响、易陷入局部优化等，上述方法检测效果不太理想 ，检测 度偏低。 本文在传统 FCM算法的基础上，借鉴GA的特点，提出了一种基于遗传的模糊 C均值聚类算法 GFcM(FuzzyC—Means ClusteringAlgontlm~BasedOilGenedc)，它将网络连接数据集中入侵行为和正常行为分为不同的类 ，从而检测其中是否存在异 常的攻击行为。算法克服了FCM及其改进算法对初始值敏感、受噪声影响以及容易陷入局部最优等问题，通过在 KDD Cl )9Data数据集中进行对比实验，表明此算法全局寻优能力强、聚类效果较好、检测度大 ，在入侵检测系统的研发中有一 定的实际意义。 1 FCM入侵检测原理及噪声点影响的消除 入侵检测首先是基于两个基本假设 ：用户和程序行为是可见的；正常行为与入侵行为是可区分的。FCM入侵检测算法 就是根据入侵行为和正常行为本质不同的基本思想，把正常行为和入侵行为尽量分离且互不交迭的方法。FCM是由 Bezdek和Dunn在 1973年提出的，其基本定义如下。 设 x：{，， ，…，‰{为模式空间一组特征向量集， =( ， ，…，x)为一个特征向量样本，对应于模式空间的一 个点， 为 的第 个属性值。对给定样本集 的聚类就是要产生 的c个模糊子类Xl，X2，…，墨划分，隶属度 u表示样 本 与样本子集 的隶属关系，满足： “∈[o，1]且vi，∑ “=l；v，0∑Udfn， = l I；l U(t)= (u)为 nXc维隶属度矩阵。 定义 FCM的目标函数为： J：(U，)：∑∑(u*m以 (1) 收稿 日期：2008—09—02 基金项 目：湖南省 自然科学基金资助项 目(06JJ50132) 作者简介：肖满生 (1968一)， ，湖南邵阳人，高级讲师，硕士，研究方向：数据库和数据挖掘。 16 其中 ： 一 Il指≈与第 个聚类中心 之问的欧几里德距离，m∈(1， )是一个模糊加权指数，用来控制隶 属矩阵的模糊程度，其值大都根据实践经验选取，一般取 1m≤5，V：( ， ，…， )为所有子集 的聚类中心集合 ， 用拉格朗日乘数法结合∑ “=1，其中 u ∈[0，1]，i=1，2，…，n， =1，2，…，。 可得 ： “*=[ (2) J=1 (考一 ∑(*) = 上