WSN中基于Mini Batch K-Means與SVM的入侵檢測方案

歐陽瀟琴　王秋華

摘 要：無線傳感器網(wǎng)絡(luò)通常部署在復(fù)雜的戶外環(huán)境，易遭受各種攻擊。多數(shù)入侵檢測系統(tǒng)均采用數(shù)據(jù)挖掘算法對網(wǎng)絡(luò)數(shù)據(jù)包進行分析，但在處理大樣本集時，其效率明顯降低。針對這一缺點，提出一種基于Mini Batch K-Means和SVM的入侵檢測方案。該方案首先分別對正常行為特征庫和異常行為特征庫進行Mini Batch K-Means聚類，取得類中心作為各類的代表樣本并賦予權(quán)值，將其傳入SVM分類器作為訓(xùn)練數(shù)據(jù)，得到分類超平面，通過該超平面對待測樣本作出判斷。解決了如K-Means、KNN、SVM等傳統(tǒng)數(shù)據(jù)挖掘算法在大數(shù)據(jù)樣本集數(shù)據(jù)分析中面臨的低效問題。仿真結(jié)果表明，該方案能快速準確地判斷樣本類別，其檢測率達到98.7%。與K-Means、KNN和SVM相比，不僅達到了同樣高的檢測率，而且明顯提高了入侵檢測的時間效率。

關(guān)鍵詞：無線傳感器網(wǎng)絡(luò);入侵檢測;Mini Batch K-Means聚類算法;SVM算法

DOI：10. 11907/rjdk. 191638

中圖分類號：TP309 ? 文獻標識碼：A ??????????????? 文章編號：1672-7800（2020）003-0204-06

An Intrusion Detection Scheme Based on Mini Batch K-Means and

SVM in Wireless Sensor Networks

OU YANG Xiao-qin1，WANG Qiu-hua2

（1. School of Communication Engineering，Hangzhou Dianzi University;

2. School of Network Space Security，Hangzhou Dianzi University， Hangzhou 310018， China）

Abstract： Wireless sensor networks （WSN） are usually deployed in complex outdoor environments and vulnerable to various attacks. Most intrusion detection systems use data mining algorithms to analyze network packets， but their efficiency is significantly reduced when dealing with large sample sets. In view of this shortcoming， a intrusion detection scheme based on Mini Batch K-Means and SVM is proposed. The scheme firstly conducts Mini Batch K-Means clustering on the database of normal behavior and abnormal behavior. The obtained centers of clusters are then used as representative samples of their clusters， each of which is assigned a weight and is input into SVM classifier as training data， so as to get a Classifying hyper-plane which can be used to classify samples. The proposed scheme solves the inefficiencies that traditional data mining algorithms such as K-means， KNN and SVM face in data analysis of big data sample sets. Simulation results show that our proposed scheme can determine the sample types quickly and accurately， whose accuracy is 98.7%. Compared with K-Means， KNN and SVM， our proposed scheme not only achieved the same accuracy， but also improved the time efficiency of intrusion detection significantly.

Key Words： wireless sensor networks; intrusion detection; mini batch K-Means clustering algorithm; support vector machine algorithm

0 引言

近年來，隨著無線傳感器網(wǎng)絡(luò)（WSN：Wireless Sensor Networks）應(yīng)用的日益普及，與之相關(guān)的安全問題也隨之而來。WSN通常部署在相對復(fù)雜、無人維護的環(huán)境中，其所面臨的安全威脅更加復(fù)雜多樣，除一般無線網(wǎng)絡(luò)所面臨的信息泄露與篡改、拒絕服務(wù)、重放等多種攻擊外，WSN還面臨著傳感器節(jié)點被攻擊者物理捕獲，并獲取節(jié)點中存儲的重要信息從而控制網(wǎng)絡(luò)的威脅。WSN中的入侵行為能夠造成網(wǎng)絡(luò)癱瘓、數(shù)據(jù)欺騙等安全問題，并給網(wǎng)絡(luò)帶來巨大破壞[1]。因此，WSN安全是一個亟待解決的問題，WSN的入侵檢測具有重大研究意義，得到了廣泛研究，已提出多種入侵檢測算法[2-7]。

文獻[2]采用基于改進粒子群優(yōu)化的K-Means算法，根據(jù)物理層的接收信號強度 （RSS：Received Signal Strength）檢測欺騙攻擊;文獻[3]利用從不同接收節(jié)點獲取的RSS比率值檢測欺騙攻擊。但上述兩種方案均無法檢測出節(jié)點是否遭受到物理捕獲攻擊。文獻[4-5]使用基于歐氏距離的KNN算法，通過投票檢測入侵行為;文獻[6]通過帶有聚類半徑的K-Means算法對特征向量進行入侵檢測;文獻[7]采用改進核函數(shù)的支持向量機（SVM：Support Vector Machine）算法將線性不可分的向量映射到高維空間，從而得到分類超平面，對待測樣本進行預(yù)測。但是文獻[4-7]所提方案在處理大樣本集時計算量大，耗時長、效率低，而隨著網(wǎng)絡(luò)的發(fā)展，必然會有更多數(shù)據(jù)加入訓(xùn)練集，算法訓(xùn)練時間也會隨之增加[8]。

本文針對上述入侵檢測方案中存在的缺陷，提出一種分別對正常行為特征庫和異常行為特征庫進行聚類處理，再使用SVM算法對樣本進行分類預(yù)測的入侵檢測方案。在本文所提方案中，首先使用適合大數(shù)據(jù)的聚類算法Mini Batch K-Means對大樣本集進行數(shù)據(jù)簡約，即對不同行為特征庫進行聚類，得到每類的聚類中心作為該類的代表樣本，該類的樣本數(shù)量作為代表樣本的權(quán)值;然后，將代表樣本和其對應(yīng)的權(quán)值作為SVM分類算法的訓(xùn)練數(shù)據(jù)，經(jīng)過訓(xùn)練得到一個超平面，最后利用該超平面對正常樣本和異常樣本進行分割，從而對待測數(shù)據(jù)進行預(yù)測，判斷其是否屬于正常行為。本方案的主要優(yōu)點為：①對樣本進行Mini Batch K-Means聚類并取類中心作為訓(xùn)練數(shù)據(jù)，有效解決了大樣本集所引起的耗時影響，顯著提高了檢測速度;②分別對兩種行為特征庫進行聚類處理保證了聚類得到的類中心代表的都是同一類行為，同時對類中心賦予權(quán)值，保證了較高的檢測準確率。本文對方案進行了算法實現(xiàn)，實驗結(jié)果表明，使用Mini Batch K-Means顯著提高了樣本聚類時的收斂速度，成倍提高了SVM分類速度，同時保證了較高的檢測準確率，得到了良好的檢測結(jié)果。

1 數(shù)據(jù)挖掘在入侵檢測中的應(yīng)用

數(shù)據(jù)挖掘[9]是指使用機器學(xué)習(xí)、統(tǒng)計學(xué)等領(lǐng)域的技術(shù)從海量數(shù)據(jù)中挖掘隱藏信息，將其轉(zhuǎn)化成有用知識。數(shù)據(jù)挖掘過程大致分為5個階段：問題定義、數(shù)據(jù)收集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)挖掘?qū)嵤┮约巴诰蚪Y(jié)果解釋與評估[9]。在明確數(shù)據(jù)挖掘任務(wù)以及目標數(shù)據(jù)對象后，使用分類、回歸等方法對已得數(shù)據(jù)進行分析，從數(shù)據(jù)源中抽取與數(shù)據(jù)挖掘目標相關(guān)的信息。

由于數(shù)據(jù)挖掘能夠從大量數(shù)據(jù)中提取特征，挖掘出特定的行為模式，因此，該技術(shù)也常被用于入侵檢測中[10-14]。通過對網(wǎng)絡(luò)通信時采集而來的數(shù)據(jù)包進行分析，提取出其中隱含的規(guī)律，從而得出正常類型和攻擊類型的數(shù)據(jù)包特征。

WSN由大量的小型傳感器組成，通過部署在監(jiān)測區(qū)域的傳感器采集數(shù)據(jù)并發(fā)送給監(jiān)察者，可從數(shù)據(jù)包中提取節(jié)點RSS值、感知數(shù)據(jù)值、數(shù)據(jù)包接收比例和發(fā)送比例、丟包率、延遲時間、節(jié)點剩余能量等特征組成的特征向量，作為數(shù)據(jù)挖掘樣本，使用數(shù)據(jù)挖掘算法對上述特征向量進行分析，對于每一個收到的數(shù)據(jù)包，判斷其是否異常?；跀?shù)據(jù)挖掘的入侵檢測模型如圖1所示。

2 算法基礎(chǔ)

2.1 Mini Batch K-Means

Mini Batch K-Means算法[15-16]是K-Means算法的變種，采用隨機產(chǎn)生的小批量數(shù)據(jù)子集進行聚類，大大減少了計算時間，Mini Batch K-Means算法產(chǎn)生的聚類效果只略差于K-Means算法。

Mini Batch K-Means算法流程如下：

（1）首先隨機初始化K個樣本作為K個簇初始質(zhì)心。

（2）在第t次迭代中，從數(shù)據(jù)集中隨機抽取一些數(shù)據(jù)形成小批量樣本集，求其到各中心的距離，將該樣本集歸到距離最短的中心所在的類。

（3）利用均值方法更新該類的中心值。

（4）對于所有的K個聚類中心，如果利用步驟（2）和步驟（3）的迭代方法更新后，目標函數(shù)值保持不變，則迭代結(jié)束，否則繼續(xù)迭代。

樣本間的距離采用歐式距離，歐氏距離是指兩點之間的歐氏空間直線距離。兩點[u=（u1，u2，？，un）]和[v=][（v1，v2，？，vn）]之間歐氏距離計算如式（1）。

第i個類中心計算公式如式（2）。

其中，[ciq]表示第i個類的類中心，[Ni]表示第i個類中的元素個數(shù)，[Ci]表示第i個類。

加入批量大小為batch_size的小批量樣本集[X=][X1，X2，？Xbatch_size]后的類中心為[c′iq]，計算方式如式（3）。

另外，使用誤差的平方和（Sum of the Squared Error，? SSE）作為度量聚類質(zhì)量的目標函數(shù)，SSE定義如式（4）：

2.2 支持向量機

支持向量機[17-18]是一種監(jiān)督式學(xué)習(xí)方法，廣泛應(yīng)用于統(tǒng)計分類及回歸分析，其特點是能夠同時最小化經(jīng)驗誤差與最大化幾何邊緣。SVM可以很好地用于高維數(shù)據(jù)，避免維數(shù)災(zāi)難。其基本思想是將輸入向量映射到高維特征空間，然后在特征空間構(gòu)造最優(yōu)分類超平面，向量集合被該最優(yōu)超平面分開。最優(yōu)分類超平面如圖2所示，[x=][（xi，yi）i=1，2，？，n]為訓(xùn)練樣本，n為樣本數(shù)量，[xi]為輸入向量，類別[yi∈（0，1）]。

所有分類超平面可表達為式（5）。

其中，“[w]”代表超平面的法向量，參數(shù)[bw]決定超平面從原點沿法向量的位移。

決策函數(shù)為式（6）。

由于要阻止數(shù)據(jù)點落入邊緣內(nèi)，因此添加如下約束：

（1）對于屬于第一類別的[xi]，有[wT？xi-b1]。

（2）對于屬于第一類別的[xi]，有[wT？xi-b-1]。

支持向量到分類間隔距離的函數(shù)間隔定義為[γ=y（wT？x-b）=yfx]。[wT？x-b=1]與[wT？x-b=-1]兩個平面之間的距離為[margin=2w=2γ]，則有[γ=1w]，且[yi（wT？xi-b）1]。SVM分類的關(guān)鍵為最大化margin，等價于最小化[w22]，目標函數(shù)可轉(zhuǎn)化為式（7）。

引入拉格朗日乘子[αi>0，（i=1，2，？，n）]，構(gòu)造拉格朗日函數(shù)如式（8）。

根據(jù)拉格朗日對偶性，原始約束最優(yōu)化問題可等價于極大極小對偶問題：[maxLw，b，α]。等價于式（9）中最優(yōu)化問題。

由此得到算法決策函數(shù)如式（10）。

3 基于Mini Batch K-Means和SVM的融合算法設(shè)計

3.1 算法思想

Mini Batch K-Means算法和K-Means算法都屬于聚類算法，但由于K-Means算法在對大樣本集進行聚類時的收斂速度較慢，因此本方案采用適用于大樣本集的Mini Batch K-Means算法進行聚類，在基本不影響聚類效果的前提下，可以顯著提高收斂速度。SVM算法的中心思想是將線性不可分的數(shù)據(jù)映射到高維空間，再在空間中構(gòu)造一個最優(yōu)分類超平面將兩類數(shù)據(jù)分隔開，減少異類之間的相互影響。

鑒于入侵檢測的樣本集十分龐大，采用傳統(tǒng)聚類算法或SVM等機器學(xué)習(xí)算法進行檢測非常耗時，本文所提方案著重解決入侵檢測中大樣本集所帶來的耗時問題。本方案先采用Mini Batch K-Means對訓(xùn)練樣本進行快速聚類，獲取類中心，將其作為SVM分類器的訓(xùn)練數(shù)據(jù)，然后構(gòu)造分類超平面，再根據(jù)該超平面對待測樣本進行分類預(yù)測。

3.2 檢測流程

本文方案的檢測流程包括去重處理與樣本劃分、Mini Batch K-Means聚類、簇中心提取和SVM分類4個步驟。

（1）去重處理與樣本劃分。當網(wǎng)絡(luò)狀況和被監(jiān)測區(qū)域環(huán)境處于一個相對穩(wěn)定的狀態(tài)時，會出現(xiàn)一部分數(shù)據(jù)包提取到相同樣本，大量重復(fù)的樣本會在一定程度上影響算法運行速度。通過去重處理并給每一個樣本賦予一個權(quán)重，可以減輕樣本重復(fù)所帶來的不利影響。首先，給每個樣本賦予一個權(quán)重weight，初始值為1，將每一列屬性值都相等的樣本合并到一個樣本，相應(yīng)weight賦值為該樣本代表的重復(fù)樣本數(shù)量;然后，根據(jù)樣本標簽將訓(xùn)練樣本劃分到正常行為特征庫或異常行為特征庫，如圖3所示。

（2）Mini Batch K-Means聚類。分別對正常行為特征庫和異常行為特征庫中的數(shù)據(jù)進行Mini Batch K-Means聚類。Mini Batch K-Means算法中有兩個參數(shù)至關(guān)重要，分別是聚類簇數(shù)K和批量大小batch_size。K表示聚類目標簇的數(shù)量，即根據(jù)算法規(guī)則將樣本分配到K個簇中;batch_size表示每次迭代時從數(shù)據(jù)集中隨機抽取的樣本批量大小。每次迭代時，隨機抓取batch_size個數(shù)據(jù)元素[S=s1，s2，？，sbatch_size]，計算其加權(quán)平均值[Avg=][i=1batch_sizewi？sii=1batch_sizewi]，再計算平均值[Avg]與K個簇中心的歐氏距離[D=d1，d2，？，dk]，得到最小距離[mind1，d2，？，dk]，將抓取的數(shù)據(jù)分配到距離最近的簇中。按照上述迭代方法，分別將正常特征庫和異常特征庫中的樣本劃分為大小均衡的K個簇，如圖4所示。

（3）簇中心提取和權(quán)重分配。由步驟（2）得到K個簇，從每個簇中提取其簇中心作為該簇的代表樣本。假設(shè)第i個簇中含有m個數(shù)據(jù)元素[s1，s2，？，sm]，每個元素對應(yīng)的權(quán)重分別為[w1，w2，？，wm]，其簇中心[Ci=j=1mwj？sjj=1mwj]，權(quán)重[Wi=j=1mwj]。按照上述方法計算得到K個簇中心[C1，C2，？，Ck]及其對應(yīng)權(quán)重[W1，W2，？，Wk]，如圖5所示。

（4）SVM分類。由步驟（3）得到K個簇中心及相應(yīng)權(quán)重，將其作為SVM分類器的訓(xùn)練數(shù)據(jù)和樣本權(quán)重，采用高斯徑向基函數(shù)作為SVM的核函數(shù)，將線性不可分的樣本映射到高維特征空間，從而得到一個分類超平面[w？x-b=0]，以及決策函數(shù)[fx=sgnw？x-b]。使用上述分類超平面，對待測樣本進行分類，如圖6所示。設(shè)待測樣本為[x=x1，x2，？，xn]，計算[fx]。若[w？x-b>0]，則該樣本屬于正常類別;若[w？x-b<0]，則該樣本屬于異常本方案整個執(zhí)行流程如圖7所示。

4 性能仿真

4.1 仿真說明

本方案的仿真數(shù)據(jù)采用UCI數(shù)據(jù)集中的KDD99[19-21]，該數(shù)據(jù)是由美國國防部高級規(guī)劃署在MIT林肯實驗室模擬的美國空軍局域網(wǎng)的一個網(wǎng)絡(luò)環(huán)境中經(jīng)過9周時間，仿真各種用戶類型、各種不同的網(wǎng)絡(luò)流量和攻擊手段收集而來的數(shù)據(jù)集，是目前公認的入侵檢測數(shù)據(jù)集。本文使用10%的數(shù)據(jù)集作為測試數(shù)據(jù)，共有近50萬條，包含正常數(shù)據(jù)和異常數(shù)據(jù)兩大類數(shù)據(jù)集，其中異常數(shù)據(jù)集分為DoS（Denial of Service）、U2R（User to Root）、R2L（Remote to User）和Probe 4類攻擊數(shù)據(jù)。本方案所使用的實驗環(huán)境為Windows 10系統(tǒng)、i5處理器，4核CPU，8G內(nèi)存。

首先需對數(shù)據(jù)進行預(yù)處理，使用出現(xiàn)頻率最高的數(shù)值填補缺失值，對于標稱型數(shù)據(jù)，根據(jù)其取值在取值空間中的頻率，將其量化到[0，1]區(qū)間。對數(shù)據(jù)進行PCA降維處理，去除部分沒有價值的屬性，再對所有屬性進行Z-score中心化處理。處理方式如式（11）。

其中，mean表示每個屬性的均值，varience表示屬性的標準差。中心化處理是為了避免計算歐式距離時大數(shù)吃小數(shù)的問題。

4.2 結(jié)果分析

4.2.1 聚類效果分析

在給定相同數(shù)量數(shù)據(jù)樣本情況下，分別使用K-Means和Mini Batch K-Means方案對樣本進行聚類。圖8為兩種算法的收斂時間對比，圖9為聚類適應(yīng)度inertia對比。收斂時間表示聚類時長，inertia為各樣本到其所屬類中心的距離平方和，是代表聚類適應(yīng)度的指標，計算如式（4）所示，inertia越小，聚類效果越好。

由圖8可以看出，Mini Batch K-Means方案的收斂時間遠小于K-Means，因為前者在每次迭代過程中都是抓取一個批量的樣本集進行劃分，而K-Means每次只針對一個樣本進行聚類，樣本集越大，兩者對比越明顯。

由圖9可以看出，Mini Batch K-Means的聚類適應(yīng)度inertia只稍大于K-Means，結(jié)合圖8可知，Mini Batch K-Means在基本不影響聚類效果的情況下顯著提高了收斂速度。

4.2.2 入侵檢測結(jié)果分析

表1給出了本方案的仿真結(jié)果，表中4列分別表示測試樣本的攻擊類型、用于測試的樣本總數(shù)、從總樣本中檢測出的正確樣本數(shù)量以及各種攻擊類型的檢測百分比。由表1可知，本方案對各種攻擊樣本都有比較良好的檢測效果。

本方案使用聚類中心作為一個類的代表樣本，即將相似度較高的樣本融合成一個樣本，再賦予權(quán)重，從而降低大樣本集所帶來的耗時影響。因此，聚類簇數(shù)的大小對檢測精度會有一定影響。圖10為不同聚類簇數(shù)下本方案的檢測率。結(jié)果表明，聚類簇數(shù)越大，準確率越高。但是，聚類簇數(shù)的增加，也會直接影響聚類時長，圖11為不同聚類簇數(shù)的大小對檢測時間的影響。結(jié)果表明，聚類簇數(shù)越大，入侵檢測的時間開銷也越大。

結(jié)合圖10和圖11可知，增加聚類簇數(shù)，可以增加檢測精度，但同時也會加長數(shù)據(jù)訓(xùn)練時間。因此，需要經(jīng)過不同參數(shù)驗證，得到一個最合適的聚類簇數(shù)，使得本方案既有一個良好的檢測率，又不會明顯增加時間開銷。此處通過實驗選擇1 000作為較為合適的聚類簇數(shù)。

表2給出了本方案與K-Means、KNN、加權(quán)KNN、SVM 4種方案在相同測試樣本下的檢測率對比，由表2可知，相對于其它幾種方案，本方案具有更高的檢測率和更低的誤檢率。

圖12顯示了本方案與SVM算法在相同訓(xùn)練樣本數(shù)量下的檢測率比較。由圖12可知，本方案的檢測率稍低于SVM的檢測率。

圖13為本方案與SVM算法在相同訓(xùn)練樣本數(shù)量下檢測所耗費時長對比。由圖13可知，本方案的時間開銷明顯低于SVM算法。

綜合圖12和圖13可知，本方案在保證理想檢測率的前提下，顯著提高了大樣本集下的檢測速度。

5 結(jié)語

本文針對傳統(tǒng)數(shù)據(jù)挖掘算法在分析大樣本集時耗時較大、效率較低的問題，提出了一種基于Mini Batch K-Means和SVM的入侵檢測算法。利用Mini Batch K-Means算法分別對正常行為特征庫和異常行為特征庫快速聚類，取得類中心作為SVM分類器的訓(xùn)練樣本，得到分類超平面對待測樣本作出判斷。仿真結(jié)果表明，本方案在時間開銷上具有明顯優(yōu)勢，并且具有理想的檢測效果。但該算法仍存在無法識別出具體攻擊類型的缺陷，有待今后進一步研究。

參考文獻：

[1]鐘敦昊， 張冬梅， 張玉. 一種基于相似度計算的無線傳感器網(wǎng)絡(luò)入侵檢測方法[J]. 信息網(wǎng)絡(luò)安全， 2016（2）：22-27.

[2]陶莉，孫子文. 無線傳感器網(wǎng)絡(luò)KIPSO欺騙攻擊檢測模型[J].? 傳感技術(shù)學(xué)報， 2016， 29（7）：1049-1055.

[3]WANG W， WANG Z. Anti-Sybil attack MPRR-RSSI localization algorithm in wireless sensor networks[J]. Journal of Electronic Measurement & Instrumentation， 2016.

[4]MA Z，KABAN A. K-Nearest-Neighbours with a novel similarity measure for intrusion detection[C]. 2013 13th UK Workshop on Computational Intelligence， 2013：266-271.

[5]JAMSHIDI Y，NEZAMABADI-POUR H. A Lattice based nearest neighbor classifier for anomaly intrusion detection[J]. International Journal Of Applied Mathematics And Computer Science，2013（4）：51-60.

[6]劉華春，候向?qū)?，楊? 基于改進K均值算法的入侵檢測系統(tǒng)設(shè)計[J]. 計算機技術(shù)與發(fā)展，2016（1）：101-105.

[7]ZHANG S， ZHANG S， JIN Z， et al. A novel SVM by combining kernel principal component analysis and improved chaotic particle swarm optimization for intrusion detection[J].? Soft Computing，2015，19（5）：1187-1199.

[8]華輝有，陳啟買，劉海，等. 一種融合Kmeans和KNN的網(wǎng)絡(luò)入侵檢測算法[J]. 計算機科學(xué)， 2016， 43（3）：158-162.

[9]王倩. 基于數(shù)據(jù)挖掘的入侵檢測技術(shù)的研究與實現(xiàn)[D]. 北京：北京郵電大學(xué)，2017.

[10]郭春. 基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測關(guān)鍵技術(shù)研究[D]. 北京：北京郵電大學(xué)， 2014.

[11]JOKAR P，LEUNG V. Intrusion detection and prevention for ZigBee-based home area networks in smart grids[J]. IEEE Transactions on Smart Grid，2016， （99）：1-1.

[12]趙石真. 基于SVM的k-means聚類算法在WSN入侵檢測中的應(yīng)用[D]. 成都：西華大學(xué)，2016.

[13]BUCZAK A， GUVEN E. A survey of data mining and machine learning methods for cyber security intrusion detection[J]. IEEE Communication Survey and Tutorials， 2017（18）： 1153-1176.

[14]ARIAFAR E，KIANI R. Intrusion detection system using an optimized framework based on data mining techniques[C]. Proceedings IEEE International Conference on Knowledge-Based Engineering and Innovation，2017：785-791.

[15]PENG K， LEUNG V C M， HUANG Q. Clustering approach based on mini batch kmeans for intrusion detection system over big data[J].? IEEE Access， 2018（6）：11897-11906.

[16]SCULLEY D.Web-scale K-means clustering[C]. Proceedings 19th International Conference on World Wide Web，2010： 1177-1178.

[17]MOHAMMED J ZAKI， WAGNER MEIRA JR. 數(shù)據(jù)挖掘與分析：概念與算法[M]. 北京：人民郵電出版社，2017：445-474.

[18]張曉峰. 基于聚類和支持向量機的入侵檢測方法研究[D].? 蘭州：蘭州理工大學(xué)，2018.

[19]TAVALLAEE M， BAGHERI E， LU W， et al. A detailed analysis of the KDD CUP 99 data set[C]. IEEE International Conference on Computational Intelligence for Security and Defense Applications， 2009：53-58.

[20]張新有，曾華燊，賈磊. 入侵檢測數(shù)據(jù)集KDD CUP99研究[J].? 計算機工程與設(shè)計，2010，31（22）：4809-4812.

[21]ENGEN V，VINCENT J，PHALP K. Exploring discrepancies in findings obtained with the KDD Cup '99 data set[J]. Intelligent Data Analysis， 2011，15（2）：251-276.

（責(zé)任編輯：孫 娟）

收稿日期：2019-05-30

基金項目：浙江省自然科學(xué)基金項目（LY19F020039）;之江實驗室重大科研項目（2019DH0ZX01）

作者簡介：歐陽瀟琴（1993-），女，杭州電子科技大學(xué)通信工程學(xué)院碩士研究生，研究方向為傳感器網(wǎng)絡(luò)安全、計算機網(wǎng)絡(luò)安全;王秋華（1978-），女，杭州電子科技大學(xué)網(wǎng)絡(luò)空間安全學(xué)院副教授，研究方向為傳感器網(wǎng)絡(luò)安全、計算機網(wǎng)絡(luò)安全、安全密鑰管理。