基于谱聚类的网络入侵检测算法研究摘要：针对传统聚类分析算法在入侵检测中存在的问题，提出基于谱聚类的入侵检测算法。阐述入侵检测与聚类分析相结合的优势，并分析几种入侵检测系统中常用的聚类方法。谱聚类算法可以在任意形状的样本空间上聚类，并能获得全局最优解。将谱聚类用在经典的入侵检测数据集KDDCUP99中，实验结果表明，与基于K-means的入侵检测方法相比，该方法有较高的检测率和较低的误检率。关键词：谱聚类；入侵检测；K-means算法；KDDCUP99中图分类号：TP393文献标志码：A文章编号：1006-8228（2016）06-40-03Abstract：Aimingattheproblemoftraditionalclusteringanalysisalgorithminintrusiondetection，anintrusiondetectionalgorithmbasedonspectralclusteringisproposed.Theadvantagesofcombiningintrusiondetectionandclusteranalysisaredescribed，andthecommonlyusedclusteringmethodsinseveralintrusiondetectionsystemsareanalyzed.Spectralclusteringalgorithmcanclusteronanyshapeofthesamplespace，andcanobtainaglobaloptimizationsolution.UsingspectralclusteringalgorithmtotheclassicintrusiondetectiondatasetKDDCUP99，andcomparingtotheintrusiondetectionmethodbasedonK-means，theexperimentresultsshowthatthisalgorithmhashigherdetectionrateandlowerfalsedetectionrate.Keywords：spectralclustering；intrusiondetection；K-meansalgorithm；KDDCUP990引言随着计算机网络的普及和黑客技术的发展，网络攻击和安全问题越来越严峻。为了实时有效地发现攻击行为以保证网络正常运行，继防火墙、信息加密等传统安全保护措施后，入侵检测（IntrusionDetectionSystem，IDS）作为一种新的安全防护手段应运而生[1]。入侵检测是对入侵行为的发觉，它通过收集计算机网络或计算机系统中若干关键点的信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，对网络或系统中非授权的，或威胁到系统安全，又或存在攻击的行为作出响应。网络入侵检测方法一般分为误用检测和异常检测两类。误用检测根据已知系统的安全漏洞和应用软件的弱点及其攻击行为特征，与审计数据进行匹配来判断入侵行为，它可以准确地检测已知的入侵行为，具有检测率高、检测效果稳定、误检率低的特点，但不能发现新的入侵行为，漏报率较高。而异常检测是基于行为的检测，其特点是通过对系统异常行为的检测来发现未知的攻击模式，不但能检测已知入侵，也能检测未知入侵。异常检测对系统的依赖性相对较小，可移植性强，其难点在于正常行为模型库的建立，且误检率较高。为了解决传统入侵检测系统的缺陷，研究者将异常检测与数据挖掘的聚类分析方法相结合来提高检测精确度和检测性能。本文提出基于谱聚类（SpectralClustering，SC）的异常检测算法，实验采用部分KDDCUP99的数据集，并与K-Means算法相比较，其结果表明，所提出的算法比传统的聚类检测算法有更高的检测率和更低的误检率。1入侵检测系统中常用的聚类算法数据挖掘也称数据库中知识发现（knowledgediscoveryindatabase，KDD），通过对海量的安全审计数据进行智能化的处理，从中提取系统安全相关的行为特征，从而识别出入侵行为。聚类，就是按照事物的某些特征，把事物分成若干类或簇，使得在同一个类内的对象之间最大程度相似，而不同类之间的对象最大程度不同。聚类是数据挖掘和机器学习领域中的一个研究热点，它可以对大量数据进行分析并将这些数据对象自动归类，适合用于异常检测。基于聚类分析的入侵检测技术是采用无参数的方法用向量表示事件流，再利用聚类算法将它们分为行为类。每一类都代表相似的活动或用户的行为，以辨别出正常和异常的行为[1]。本文主要介绍K-means、模糊C均值（FuzzyC-Means，FCM）聚类和谱聚类算法。K-means算法最早被用到入侵检测系