1、隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，新類型的入侵行為也層出不窮，人們迫切需要能檢測出新類型入侵行為的技術(shù)。異常檢測技術(shù)從理論上能解決這個(gè)問題，因此出現(xiàn)了多種異常檢測方法。數(shù)據(jù)挖掘是幫助人們在海量數(shù)據(jù)中發(fā)現(xiàn)信息和知識的工具，廣泛應(yīng)用到各個(gè)領(lǐng)域，包括異常檢測。數(shù)據(jù)挖掘中的大多數(shù)算法是針對數(shù)據(jù)集一般模式的研究，但是現(xiàn)實(shí)生活中的各種領(lǐng)域，經(jīng)常出現(xiàn)一些與數(shù)據(jù)集的一般行為或模型不一致的數(shù)據(jù)對象，這些對象稱為孤立點(diǎn)。對孤立點(diǎn)的識別就是對數(shù)據(jù)集小模式的研究。在網(wǎng)絡(luò)

2、活動(dòng)中，正常行為遠(yuǎn)遠(yuǎn)多于入侵行為，入侵行為本身在本質(zhì)上有別于正常行為，即入侵行為與正常行為是不一致的。因此，采用孤立點(diǎn)挖掘技術(shù)來識別入侵行為包括識別出新類型的入侵行為，具有一定的理論基礎(chǔ)和實(shí)踐意義?；诰嚯x的孤立點(diǎn)挖掘技術(shù)D<'k><,n>，以其接近孤立點(diǎn)本質(zhì)和算法簡單的優(yōu)勢，是孤立點(diǎn)挖掘應(yīng)用廣泛的算法。針對D<'k><,n>原始算法具有較高的時(shí)間復(fù)雜度，出現(xiàn)了多種優(yōu)化算法:循環(huán)嵌套、基于索引和基于劃分的方法等。當(dāng)數(shù)據(jù)量太大、屬性較多時(shí)

3、，基于劃分的方法較之其它方法具有更好的性能。因此，對數(shù)據(jù)量大、屬性多的入侵檢測來說，基于劃分的方法是最好的選擇。借鑒基于劃分的思想，本文提出了一種改進(jìn)的基于距離的孤立點(diǎn)算法:首先采用一種基于距離的聚類方法將數(shù)據(jù)集分割成多個(gè)數(shù)據(jù)子集;然后分析子集的固有特性，計(jì)算每個(gè)數(shù)據(jù)對象的第k最近鄰距離;最后將數(shù)據(jù)對象的第k最近鄰距離由大到小進(jìn)行排序，取前n個(gè)數(shù)據(jù)對象為孤立點(diǎn)。此算法實(shí)現(xiàn)簡單、有效，并且從理論上，能很好地應(yīng)用于異常入侵檢測。 本