基于改进FCM的网络异常流量检测

龙颖 袁明兰 胡雪

摘要：针对正常上网所产生的网络流量远远大于攻击、入侵等非正常手段产生的异常流量的特点，通过对传统FCM算法进行改进，引入新的聚类中心矩阵计算方法来计算落入平均半径范围内的流量数据的对象数量，根据该数量更新聚类中心矩阵，对流量数据进行聚类，并识别出网络异常流量。对改进FCM算法、传统FCM、HCM的效果进行比较分析发现，改进FCM虽然处理时间较HCM长，但对噪声抑制较好，错分率较低。

关键词：FCM;流量检测;聚类

随着网络带宽逐渐增加、存储介质的容量逐渐增大、服务器计算能力逐渐增强，促使了数据产生的成本越来越低，从而造成网络数据急剧膨胀。如何快速、准确对网络流量进行识别和分类是网络入侵检测中亟待解决的问题。基于模糊集的FCM算法作为一种无监督的分类方法，表现了样本与样本之间的联系，建立了数据样本对类别的不确定性描述，已广泛应用于机器学习、数据挖掘、图像分割、海量数据分析等领域。在网络流量检测中，往往基于以下假设，即网络正常流量的数量远远大于异常流量，异常流量在数据中将会呈现出比较特殊的性质，FCM能通过识别正常类别比例来确定异常的类别。

因传统FCM对初始数据敏感，对于含噪数据的识别效果不佳，迭代次数增加后算法处理时间迅速增加，错分率有所上升。HCM算法运行速度快，但错分率较高。本文算法聚类中心矩陣是通过多次迭代生成的，在对噪声的抑制上比传统FCM和HCM表现好。

通过理论分析和实验发现，在模拟实验环境下，基于改进FCM算法的网络异常流量检测具有聚类速度较快，分类好的特点，算法鲁棒性较好，能正确、及时发现网络异常流量，为网络异常流量实时检测提供技术支持。

参考文献：

[1]刘丽珍，宋瀚涛，陆玉昌.无标记训练样本的Web文本分类方法[J].计算机科学，2006（03）：200-201+211.

[2]宋国权，李金锋.基于聚类算法的脑部MR图像分割[J].中国医疗设备，2017，32（01）：26-29.

（作者单位：1.重庆应用技术职业学院，2.重庆商务职业学院，3.山东省医学科学院附属医院）