[发明专利]一种基于CFSFDP聚类的并行自适应异常检测方法

说明书

一种基于CFSFDP聚类的并行自适应异常检测方法，涉及网络信息安全领域，解决现有基于CFSFDP聚类异常检测方法的时效性和实时性问题，本发明所述的检测方法将标记的原有中心点的聚类的核心区和边缘区分开处理，实现了轮廓的动态更新，使得基于CFSFDP的异常检测方法具有更高的时效性。本发明将原有数据点与实时输入的新数据点的距离计算平分成多份，多个进程并行计算，减少了计算时间，加快了聚类轮廓生成的速度，提高了基于CFSFDP异常检测方法的实时性。

技术领域

本发明涉及网络信息安全领域，具体涉及一种基于CFSFDP(clustering by fastsearch and find of density peaks)聚类的并行自适应异常检测方法。

背景技术

入侵检测技术是保护信息安全，确保全球信息基础设施正常运行的一种常用手段，是信息安全领域的重要安全方向。异常检测技术是入侵检测技术的一种，通过建立正常行为轮廓，将正常行为和异常行为区分开，实现对异常行为的检测，与误用检测相比具有发现未知攻击的能力。聚类方法可以作为异常检测技术的核心方法，用于异常检测的聚类方法有多种：密度聚类、层次聚类、空间聚类和划分聚类。密度聚类能够生成任意形状的聚类，因此它的行为轮廓具有很高的精度，与之对应的是较高的检测性能，但密度聚类生成的轮廓不能实时更新，难以保证轮廓时效性，而且轮廓生成和异常检测过程需要耗费大量的计算资源，难以保证异常检测的实时性。为了提高基于CFSFDP聚类异常检测算法的时效性和实时性，有必要设计一种并行自适应的异常检测方法。

发明内容

本发明为了解决现有基于CFSFDP聚类异常检测方法的时效性和实时性问题，提供一种基于CFSFDP聚类的并行自适应异常检测方法，具体包括以下步骤：

步骤一、输入网络数据点，并在所述输入的网络数据点中分别标注原有中心点C_cl，属于聚类但在原有中心点半径d外的点E_cl以及离散点D；删除原有中心点半径d内除了中心点C_cl外的所有点；C为中心点标识，cl为聚类标识，E为边缘点标识；

步骤二、实时输入新的网络数据点，并行计算新加入的数据点与步骤一中的网络数据点的距离；具体过程为：

计算新加入的数据点i到原有中心点C_cl的距离DT(i,C_cl)，其降序序列为DS_C；新加入的数据点i到属于聚类但在原有中心点半径d外的点E_cl的距离DT(i,E_cl)，其降序序列为DS_E；新加入点i到离散点D的距离DT(i,D)，离散点的降序序列为DS_D，其中DS为降序序列标识；

步骤三、判断新加入的数据点i是否在原有中心点半径d内，如果是，则原有中心点半径d内数据点的密度值加1；如果否，执行步骤四；

步骤四、检索降序序列DS_E和离散点的降序序列DS_D，生成所述新加入的数据点i的半径内数据点密度值ρ和新加入的数据点i到原有中心点距离DT(i,C_cl)，根据所述密度值ρ和新加入的数据点i到原有中心点C_cl的距离DT(i,C_cl)生成新加入的数据点i选择因子序列DS_r；

生成新加入的数据点i选择因子γ_i的计算公式为：

式中，ρ_i为i点的密度值，DT_min为到原有中心点距离DT(i,C_cl)中的最小距离，DT_max为到原有中心点距离DT(i,C_cl)中的最大距离，θ是选择系数，默认值为1；