[发明专利]一种基于改进密度聚类的入侵检测方法及装置

说明书

技术领域

本发明属于信息安全技术领域，尤其涉及一种基于改进密度聚类的入侵检测方法及装置。

背景技术

现有应用到入侵检测中的聚类算法大致分为两种：一种是基于划分的的聚类算法，一种是基于密度的的聚类算法。

基于划分的聚类算法，如K-means,由于簇的个数K与初始聚类中心点是事先人为选定的，一旦选择不好，可能无法获得有效的聚类结果；其次，基于划分的聚类算法不能处理非球形簇、不同尺寸和不同密度的簇。

基于密度的聚类算法，如经典的DBSCAN(Density-Based Spatial Clustering of Applications with Noise)，对于高维度且数据量较大的入侵数据，运算开销会比较大，而且预先定义的密度阈值会对后面的聚类结果有明显的影响。

发明内容

鉴于此，本发明实施例提供一种基于改进密度聚类的入侵检测方法及装置，以解决现有技术存在的运算开销大，初始值的设定影响聚类结果的问题。

一方面，本发明实施例提供一种基于改进密度聚类的入侵检测方法，所述方法包括：

对原始数据集进行预处理，所述原始数据集包含多个数据记录，每个数据记录包含连续型数据和/或非数值型数据；

对预处理后的数据进行距离度量；

基于所述距离度量，计算局部点的密度指标；

基于所述距离度量和局部点的密度指标，计算局部点的距离指标；

根据计算得到的所述局部点的密度指标和所述局部点的距离指标，获得决策图；

对所述决策图进行分析，获得簇的中心点以及簇的类数，并将剩余的点分配到离其距离最近且密度指标比其高的点所属的簇中，其中所述中心点为密度指标大于第一阈值，距离指标大于第二阈值的点；

将分配后的簇按照其包含的数据的个数进行排序，将簇中数据的个数最大的簇判定为正常簇，其余的簇判定为异常簇。

另一方面，本发明实施例提供一种基于改进密度聚类的入侵检测装置，所述装置包括：

预处理单元，用于对原始数据集进行预处理，所述原始数据集包含多个数据记录，每个数据记录包含连续型数据和/或非数值型数据；

距离度量单元，用于对预处理后的数据进行距离度量；

密度指标计算单元，用于基于所述距离度量，计算局部点的密度指标；

距离指标计算单元，用于基于所述距离度量和局部点的密度指标，计算局部点的距离指标；

获取决策图单元，用于根据计算得到的所述局部点的密度指标和所述局部点的距离指标，获得决策图；

簇中心确定单元，用于对所述决策图进行分析，获得簇的中心点以及簇的类数，并将剩余的点分配到离其距离最近且密度指标比其高的点所属的簇中，其中所述中心点为密度指标大于第一阈值，距离指标大于第二阈值的点；

结果确定单元，用于将分配后的簇按照其包含的数据的个数进行排序，将簇中数据的个数最大的簇判定为正常簇，其余的簇判定为异常簇。

本发明实施例与现有技术相比存在的有益效果是：本发明实施例预先定义两个指标，即密度指标和距离指标，在聚类过程中计算出每个点的密度指标和距离指标，根据计算得到的密度指标和距离指标自动获得簇的中心以及簇的类数，解决了现有技术人为设定初始值(如簇的中心、簇的类数、密度阈值等)影响聚类结果的问题。而且，对于高维度且数据量较大的入侵数据，相比于现有的聚类方法，无需迭代最优目标函数，明显减少了计算开销。另外，由于是基于密度的聚类算法，对于非球形簇，也有很好的聚类效果，并能自动检测出异常簇，具有较强的易用性和实用性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的基于改进密度聚类的入侵检测方法的实现流程图；

图2是本发明实施例二提供的基于改进密度聚类的入侵检测装置的组成结构图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

实施例一：