論文的研究內容包括兩個方面:一是研究新的高效的聚類算法;一是把已有的聚類算法或論文提出的新算法和入侵檢測技術相結合,從而提出一個好的入侵檢測模型。具體的研究內容包括以下幾個點:
第一、針對聚類算法的研究問題:
1、如何提高算法的可擴展性
許多聚類算法在小於200個數據對象的小數據集上是高效率的,但是無法處理一個大規模數據庫裏的海量對象。現有的聚類算法只有極少數適合處理大數據集,而且只能處理數值型數據對象,無法分析具有類屬性的數據對象。
2、如何處理離羣點
在實際應用中,估計數據集中的離羣點可能是非常困難的,很多算法通常丟棄增長緩慢的簇,這樣的簇趨向於代表離羣點。然而在某些應用中,用户可能對相對較小的簇比較感興趣,比如入侵檢測中,這些小的簇可能代表異常行為,那麼我們需要考慮在對算法影響更小的前提下,如何更好的處理這些離羣點。
3、研究適合具有類屬性數據的聚類算法的有效性
對聚類分析而言,有效性問題通常可以轉換為最佳類別數k的決策。而目前有關聚類算法的有效性分析,大都集中在對數值數據的聚類方式分析上。對於具有類屬性的數據聚類,還沒有行之有效的分析方法。
第二、針對聚類算法在ids應用中的研究問題:
1、如何結合聚類技術和入侵檢測技術取得更好的效果
很多的聚類算法都已經和ids應用環境結合起來了,很多研究者對前人提出的算法作出改進後,應用到ids系統中去,或者提出一個全新的算法來適應ids的要求。隨着聚類技術的不斷髮展,聚類技術在入侵檢測中的應用將是一個很有前景的工作。我們需要把更好的聚類技術成果應用到入侵檢測中。
2、利用聚類技術處理入侵檢測中的頻繁誤警
雖然入侵檢測是重要的安全措施,然而它常常觸發大量的誤警,使得安全管理員不堪重負,事實上,大量的誤警是重複發生並且頻繁發生的,可以利用聚類技術來尋找導致ids產生大量誤警的本質原因。