密度聚類算法DBSCAN是一種有效的聚類分析方法。本文構(gòu)建了網(wǎng)絡(luò)入侵檢測系統(tǒng)模型，并將一種改進的基于密度聚類的入侵檢測算法IDBC應(yīng)用于檢測引擎設(shè)計。IDBC算法改進了網(wǎng)絡(luò)連接記錄的距離計算方式，并在DBSCAN聚類結(jié)果的基礎(chǔ)上，進行聚類合并。實驗結(jié)果表明，與DBSCAN算法相比，IDBC顯著降低了入侵檢測的誤報率，提高了入侵檢測系統(tǒng)的性能。
關(guān)鍵詞：入侵檢測 密度聚類 數(shù)據(jù)挖掘
隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)入侵事件頻繁發(fā)生，入侵檢測顯示出越來越重要的作用。
相對于正常行為，入侵行為往往數(shù)目相對很少，而且行為特征差異很大，因此適合于用聚類方法來識別入侵行為，已經(jīng)有多種聚類算法被應(yīng)用于這一領(lǐng)域。其中，基于密度聚類的DBSCAN(Density-Based Spatial Clustering of Applications with Noise)算法由于具有對數(shù)據(jù)輸入順序不敏感、能夠在帶有噪聲的空間數(shù)據(jù)庫中發(fā)現(xiàn)任意形狀的聚類等優(yōu)點，在入侵檢測領(lǐng)域更受關(guān)注。
基于聚類的無監(jiān)督異常入侵檢測方法建立在兩個假設(shè)上：一是正常行為的數(shù)目遠(yuǎn)遠(yuǎn)大于
入侵行為的數(shù)目，二是入侵行為和正常行為存在明顯的差異?；谶@兩個基本假設(shè)，Columbia大學(xué)的Leonid Portnoy 等人采用聚類思想，能夠在沒有任何先驗知識的情況下，解決入侵檢測系統(tǒng)中知識獲取的問題[1]，但它假設(shè)數(shù)據(jù)集服從一種隨機分布。事實上，實際的網(wǎng)絡(luò)數(shù)據(jù)往往不符合任何一種理想狀態(tài)的數(shù)學(xué)分布。本文提出一種改進的基于密度聚類的入侵檢測算法(IDBC)。該算法改進了網(wǎng)絡(luò)連接記錄的距離計算方式，在傳統(tǒng)的DBSCAN 算法基礎(chǔ)上，將密度足夠高的區(qū)域劃分為簇，并對得到的聚類結(jié)果進行類合并，由此得到更高的檢測率和更低的誤報率。