1.算法描述
首先计算整个数据集合的平均值点,作为第一个初始聚类中心C1;
然后分别计算所有对象到C1的欧式距离d,并且计算每个对象在半径R的范围内包含的对象个数W。
此时计算P=u*d+(1-u)*W,所得到的最大的P值所对应的的对象作为第二个初始聚类中心C2。
同样的方法,分别计算所有对象到C2的欧式距离d,并且计算每个对象在半径R的范围内包含的对象个数W,所得到的最大的P值所对应的的对象作为第二个初始聚类中心C3。
从这三个初始聚类中心开始聚类划分。对于一个待分类的对象,计算它到现有聚类中心的距离,若(这个距离)<(现有各个聚类中心距离的最小值),则将这个待分类对象分到与它相距最近的那一类;如果(这个距离)>(现有各个聚类中心距离的最小值),则这个待分类对象就自成一类,成为一个新的聚类中心,然后对所有对象重新归类。
如果找到新的聚类中心,在重新计算聚类的中心后。对目前形成的K+1 个聚类计算 DBInew 的值,和未重新分配对象到这 k+1 个类之前计算的 DBIold进行比较,如果 DBInew <DBIold,则这个新找到的聚类中心可以作为新的聚类中心,否则将终止本次查找 k 的工作,并恢复到 DBIold 的状态。当所有这样符合新类产生条件的数据对象的 DBI 值都大于 DBIold 时,则确定再没有新的类产生,则确定了最终聚类个数为 k,可以进行最终的分配对象工作。
聚类仿真图:
1.和K-means算法比较的检测率
2.和K-means算法比较的误判率
特征提取:提取对检测最有用、最利于检测出攻击的那些参数。所用到的特征提取方案是利用“信息增益”,选出各特征参数中信息增益(Information Gain)最大的那些特征在检测时使用,这个做之前应该需要对数据先标准化和归一化一下。具体操作:
究竟选多少个特征可以让检测的精度最高呢?我论文里是先将各个特征的信息增益从高到低排序,然后依次往下取K个,用K-means算法对节点进行分类达到检测的作用,计算当检测率最高的时候所对应 K值,即意为选多少个特征。
经过特征提取后,之后所说的样本,他们的属性都只由特征提取后的那些特征来代表了。
SVM训练样本筛选:假定有正常和攻击两类样本,将两类样本分别用K-means聚类,将这些聚类中心点作为新的样本点。然后在正常类中,计算每个新样本点在异常类中距离自己最近的M(假定M=3)个样本点,从而在异常类中假设找到P个样本点。异常类中的这P个样本点找到在正常类中距离自己最近的M个样本点,假定找到了Q个样本点。此时,这P+Q个样本点就是新选出的SVM训练样本。
2.仿真效果预览
matlab2013b仿真结果如下:
3.MATLAB核心程序
C = [C1;C2;C3];
R = [R1;R2;R3];
Leg = ones(length(Attack_Dat),1);
K = 3;
CNT = 0;
while(is_continue == 1)
CNT = 0;
for i = 1:length(Attack_Dat)
for j = 1:size(C,1)
d(i,j) = func_dis(Attack_Dat(i,:),C(j,:));
end
[VV,II] = min(d(i,:));
if VV <= min(R)
Leg(i) = II;
CNT = CNT + 1;
else
K = K + 1;
Leg(i) = K;
C = [C;Attack_Dat(i,:)];
R = [R;alpha*mean(func_dis(Attack_Dat,Attack_Dat(i,:)))];
end
end
if CNT == length(Attack_Dat)
is_continue = 0;
else
is_continue = 1;
end
end