文献类型：期刊文章

作　　者：李艳红[1,2] 李德玉[1,2] 崔梦天[3] 李华[1,4]

机构地区：[1]山西大学计算机与信息技术学院,太原030006 [2]计算智能与中文信息处理教育部重点实验室(山西大学),太原030006 [3]西南民族大学计算机科学与技术学院,成都610041 [4]石家庄铁道大学数理系,石家庄050043

出　　处：《计算机应用》

基　　金：国家自然科学基金资助项目(61272095;61175067;61303091;61379019;61403238);山西省自然科学基金资助项目(2012061015);山西省科技攻关项目(20110321027-02);山西省回国留学人员科研项目(2013-014)

年　　份：2015

卷　　号：35

期　　号：2

起止页码：416-419

语　　种：中文

收录情况：AJ、BDHX、BDHX2014、CSA、CSA-PROQEUST、CSCD、CSCD_E2015_2016、IC、INSPEC、JST、RCCSE、ZGKJHX、ZMATH、核心刊

摘　　要：针对计算机网络访问请求具有实时到达以及动态变化的特点,为了实时检测网络入侵,并且适应网络访问数据的动态变化,提出一个基于数据流的网络入侵实时检测框架。首先,将误用检测模式与异常检测模式相结合,通过初始聚类建立由正常模式和异常模式构成的知识库;其次,采用数据点与数据簇之间的不相似性来度量网络访问数据与正常模式和异常模式的相似性,从而判定网络访问数据的合法性;最后,当网络访问数据流发生演化时,通过重新聚类来更新知识库以反映网络访问的最近状态。在入侵检测数据集KDDCup99上进行实验,当初始聚类的样本数为10 000,缓冲区聚类的样本数为10 000,调节系数为0.9时,召回率达到91.92%,误报率达到0.58%,接近传统非实时检测模式的结果,但整个学习和检测过程只需扫描网络访问数据一次,并引入了知识库的更新机制,在入侵检测的实时性和适应性方面更具有优势。

关 键 词：数据流 入侵检测 聚类  知识库 信息熵

分 类 号：TP301.6]