技術領域

本發明屬于信息安全技術領域，尤其涉及一種基于改進密度聚類的入侵檢測方法及裝置。

背景技術

現有應用到入侵檢測中的聚類算法大致分為兩種：一種是基于劃分的的聚類算法，一種是基于密度的的聚類算法。

基于劃分的聚類算法，如K-means,由于簇的個數K與初始聚類中心點是事先人為選定的，一旦選擇不好，可能無法獲得有效的聚類結果；其次，基于劃分的聚類算法不能處理非球形簇、不同尺寸和不同密度的簇。

基于密度的聚類算法，如經典的DBSCAN(Density-Based?Spatial?Clustering?of?Applications?with?Noise)，對于高維度且數據量較大的入侵數據，運算開銷會比較大，而且預先定義的密度閾值會對后面的聚類結果有明顯的影響。

發明內容

鑒于此，本發明實施例提供一種基于改進密度聚類的入侵檢測方法及裝置，以解決現有技術存在的運算開銷大，初始值的設定影響聚類結果的問題。

一方面，本發明實施例提供一種基于改進密度聚類的入侵檢測方法，所述方法包括：

對原始數據集進行預處理，所述原始數據集包含多個數據記錄，每個數據記錄包含連續型數據和/或非數值型數據；

對預處理后的數據進行距離度量；

基于所述距離度量，計算局部點的密度指標；

基于所述距離度量和局部點的密度指標，計算局部點的距離指標；

根據計算得到的所述局部點的密度指標和所述局部點的距離指標，獲得決策圖；

對所述決策圖進行分析，獲得簇的中心點以及簇的類數，并將剩余的點分配到離其距離最近且密度指標比其高的點所屬的簇中，其中所述中心點為密度指標大于第一閾值，距離指標大于第二閾值的點；

將分配后的簇按照其包含的數據的個數進行排序，將簇中數據的個數最大的簇判定為正常簇，其余的簇判定為異常簇。

另一方面，本發明實施例提供一種基于改進密度聚類的入侵檢測裝置，所述裝置包括：

預處理單元，用于對原始數據集進行預處理，所述原始數據集包含多個數據記錄，每個數據記錄包含連續型數據和/或非數值型數據；

距離度量單元，用于對預處理后的數據進行距離度量；

密度指標計算單元，用于基于所述距離度量，計算局部點的密度指標；

距離指標計算單元，用于基于所述距離度量和局部點的密度指標，計算局部點的距離指標；

獲取決策圖單元，用于根據計算得到的所述局部點的密度指標和所述局部點的距離指標，獲得決策圖；

簇中心確定單元，用于對所述決策圖進行分析，獲得簇的中心點以及簇的類數，并將剩余的點分配到離其距離最近且密度指標比其高的點所屬的簇中，其中所述中心點為密度指標大于第一閾值，距離指標大于第二閾值的點；

結果確定單元，用于將分配后的簇按照其包含的數據的個數進行排序，將簇中數據的個數最大的簇判定為正常簇，其余的簇判定為異常簇。

本發明實施例與現有技術相比存在的有益效果是：本發明實施例預先定義兩個指標，即密度指標和距離指標，在聚類過程中計算出每個點的密度指標和距離指標，根據計算得到的密度指標和距離指標自動獲得簇的中心以及簇的類數，解決了現有技術人為設定初始值(如簇的中心、簇的類數、密度閾值等)影響聚類結果的問題。而且，對于高維度且數據量較大的入侵數據，相比于現有的聚類方法，無需迭代最優目標函數，明顯減少了計算開銷。另外，由于是基于密度的聚類算法，對于非球形簇，也有很好的聚類效果，并能自動檢測出異常簇，具有較強的易用性和實用性。

附圖說明

為了更清楚地說明本發明實施例中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本發明實施例一提供的基于改進密度聚類的入侵檢測方法的實現流程圖；

圖2是本發明實施例二提供的基于改進密度聚類的入侵檢測裝置的組成結構圖。

具體實施方式

為了使本發明的目的、技術方案及優點更加清楚明白，以下結合附圖及實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，并不用于限定本發明。

為了說明本發明所述的技術方案，下面通過具體實施例來進行說明。

實施例一：