TCM-KNN网络异常检测算法优化研究

TCM-KNN网络异常检测算法优化研究 第30卷第7期 通 信 学 报 Vol.30 No.7 2009年7月 Journal on Communications July 2009 TCM-KNN网络异常检测算法优化研究 1,2131李洋～郭莉～陆天波～田志宏 (1. 中国科学院 计算技术研究所，北京 100190;2. 中国科学院 研究生院，北京 100039; 3(国家计算机网络应急技术处理协调中心，北京 100029) 摘 要:基于TCM-KNN(transductive confidence machine for K-nearest neighbors)网络异常检测方法，采用过滤 器模式的特征选择方法和基于聚类的样本选择方法分别从精简异常检测的特征空间以及选择使用少量高质量的 训练样本进行训练，从而高效地对网络异常进行检测。基于著名的KDD Cup 1999数据集的实验表明:这2种优 化方法在保证TCM-KNN异常检测算法高检测率和低误报率的前提下，极大地减少了该算法的训练开销和检测开 销，因而该轻量级检测方法适用于现实的网络应用环境。 关键词:网络安全;异常检测;TCM-KNN算法;特征选择;样本选择 中图分类号:TP309 文献标识码:A 文章编号:1000-436X(2009)07-0013-07 Research on performance optimizations for TCM-KNN network anomaly detection algorithm 1,2131LI Yang, GUO Li, LU Tian-bo, TIAN Zhi-hong (1. Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China; 2. Graduate School of Chinese Academy of Sciences, Beijing 100039, China; 3. National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029, China) Abstract: Based on TCM-KNN (transductive confidence machine for K-nearest neighbors) algorithm, the filter-based feature selection and cluster-based instance selection methods were used towards optimizing it as a lightweight network anomaly detection scheme, which not only reduced its complex feature space, but also acquired high quality instances for training. A series of experimental results demonstrate the two methods for optimizations are actually effective in greatly reducing the computational costs while ensuring high detection performances for TCM-KNN algorithm. Therefore, the two methods make TCM-KNN be a good scheme for a lightweight network anomaly detection in practice. Key words: network security; anomaly detection; TCM-KNN algorithm; feature selection; instance selection 的热点和难点。该方法的基本思想是事先建立一个1 引言 对应“正常活动”的系统或用户的正常轮廓，检测 入侵检测系统是网络安全防御体系的一个重入侵活动时，异常检测程序产生当前的活动轮廓并 要组成部分，而异常检测方法是入侵检测中非常重同正常轮廓比较，当活动轮廓与正常轮廓发生显著 [1]要的一个分支，也是当前网络信息安全领域研究偏离时即认为是入侵，从而触发相应机制。相对于 收稿日期:2008-06-21;修回日期:2009-05-11 基金项目:国家重点基础研究发展(“973”计划)基金资助项目(2007CB311100);国家自然科学基金资助项目(6070302) Foundation Items: The National Basic Research Program of China(973 Program)(2007CB311100); The National Natural Science Foundation of China (6070302) ?14? 通 信 学 报 第30卷 误用检测技术来说，异常检测技术最大的优点是能算为 够检测出以前从未出现过的攻击方法，不像误用?#{:}j,,ji (2) ,p(),i检测那样受已知脆弱性的限制，然而其误报率过高。 ，n1 网络异常检测技术在20世纪90年代末至今备#其中，表示集合的“势”，通常计算为有限集合的[2~4]。其中，受网络安全领域专家和研究者的关注元素个数;为待检测样本的奇异值;为集合的n,i[2]哥伦比亚大学的Eskin等提出了基于聚类的估计个数;表示集合中任意样本的奇异值。因此，P,j算法、KNN score方法以及One-class SVM 3种聚类j值可以计算为(为类别y中奇异值大于待检j算法来进行异常检测;Lee Wenke等人提出了基于n，1[4]数据挖掘的网络异常检测框架等。虽然人们对其i测样本奇异值的样本个数)。 进行了多年的研究，然而依然存在着误报率过高和以上述2个关键概念为基础，提出了如下的 [5]检测开销大的问题，因而难以满足实际应用需求。 TCM-KNN网络异常检测算法。 在前期工作中，文献[5]提出了一种基于算法1 TCM-KNN网络异常检测算法 TCM-KNN(transductive confidence machine for m算法参数说明:(最短距离参数)、(训练k k-nearest neighbors)数据挖掘算法的网络异常检测,集样本数目)，设定的置信度阈值 新方法，并通过大量实验证明了其相对于经典检测r输入:(待检测样本) 算法的优越性。然而，由于该算法基于距离计算以输出: normal或者abnormal 及训练样本的群体性判定准则，因此在特征空间和imfor = 1 to { y根据定义1为训练集中的每个样本计算D并样本空间较大的情况下，其训练和检测开销仍然较i大。基于这个背景，本文在文献[5]的基础上，基于存储; TCM-KNN网络异常检测算法，从与网络异常检测,根据式(1)计算训练集中每个样本的奇异值密切相关的训练集样本选取以及特征空间处理等并存储; 多个层面，进行系统化、整体化的方法性研究，从 } 而将其优化成一种高效的具有较高检测性能和检r 根据式(1)计算待检测样本的奇异值; 测速度的网络异常检测方法，它不仅具有较高的检Pr 根据式(2)计算待检测样本的值; if (p?,) 测性能，而且具有优良的实时检测速度，因而能够 胜任大流量网络环境下的异常检测任务。 r以置信度(1?τ)判定样本为异常， return ab- normal; 2 TCM-KNN网络异常检测算法原理 else TCM-KNN将经典的分类算法K近邻结合在r以置信度(1?τ)判定样本为正常， return TCM中，采用距离计算的方法根据已分类的数据集normal; [5~7]对观测点进行分类。 3 面向TCM-KNN网络异常检测算法的优在TCM-KNN中，首先定义了一种称为奇异值化策略研究 [5](strangeness)的关键概念，其定义如下。 iy定义1 待检测样本相对于正常类别的奇3.1 TCM-KNN算法时间复杂度分析 ,异值定义为 iy下面简单分析一下TCM-KNN算法的时间复杂 度。首先，为了确定正常训练集(含m个训练样本)ky,,D (1) ,,1iyjij2中各样本的奇异值，需要耗费O(m)的时间开销。yiyD其中，表示样本与类别中所有样本的距离的i其次，为了计算s个待检测样本的奇异值，则需要yD序列，则表示该序列中第个最短的距离，参数jijO(sm)的时间开销，而计算其相应的P值则只需则表示所要考虑的最近邻的数目。 k要时间开销O(m)。不难看出，第一个时间开销大 P结合定义1，定义了另一个关键概念——值，的运算结果都可以在实际的异常检测中通过一次[5]其计算方法如下所示。 离线计算方式得到并多次使用，不需要在异常检测 iy定义2 待检测样本相对于类别的P值计的判定中临时计算，而只有后2个时间开销(O(sm) 第7期 李洋等:TCM-KNN网络异常检测算法优化研究 ?15? +O(m))所完成的计算需要在判定时计算而得。结论:? 3种特征选择方法在入侵检测领域是可行由于本文的检测模式是每次一个样本的判定方法，的，且他们在KDD Cup 1999入侵检测数据集上的并且，该算法是基于多维特征向量的距离计算，因特征选择效果不相上下;? 3种特征选择方法中，此，影响本算法的时间开销的主要因素集中在数据基于过滤器模式的特征选择方法运行速度更快，使集的规模以及样本所对应的特征向量的维数上。 用其能够节省大量的特征选择时间。 3.2 优化策略 因而，将在本文中采用过滤器模式中最为常用 正是由于TCM-KNN算法基于距离计算，因而和有效的信息增益方法以及CFS方法完成针对数据集的规模以及样本所对应特征向量的维数也TCM-KNN算法的特征选择任务，从高维特征空间直接影响到算法的空间开销。可以对他们分别加以中针对正常/异常这个二类判定问题约简特征空间。控制来降低时间开销以及相应的空间存储开销。具这样做的主要目的一是基于过滤器模式的特征选体的优化策略包括如下2方面的。 择方法具有较好的选择效果和最快的选择速度，二 1) 在保证较高检测率和较低误报率的前提下，是为了减少单一基于过滤器模式的特征选择方法将采用特征选择方法来精简用于TCM-KNN异常检带来的负面效果，取2个方法的共同选择结果最为测算法的特征空间，从而降低其计算开销; 合理，避免了单一方法的“偏向性”。 3.3.3 基于信息增益,IG,的特征选择方法 2) 在保证较高检测率和较低误报率的前提下， 将采用基于聚类的样本选择方法来从正常训练样1948年Shannon提出并发展了信息论，研究以本集中选取典型的对TCM-KNN算法进行异常检测数学的方法来度量信息，提出了信息增益(IG，贡献大的样本，并清除贡献度小的冗余样本，以精information gain)等基本概念，并得到了广泛的应简训练样本集，从而降低计算开销。 用。信息增益又称为互信息。样本中属性的信息增 本文将在下面小节详细介绍采用特征选择和益越大，其包含的信息量也越大。也就是说，在特样本选择的办法来解决这些制约问题，从而从整体征选择时应计算各个属性的信息增益。具有最高信上提高该异常检测算法的可用性以及在实际网络息增益值的属性是给定集合中具有最高区分度的 [10]定义为 环境下的实时检测性能。 属性。属性A的信息增益 3.3 基于过滤器模式的特征选择策略 GainAIsssEA()(,,,)(),, (3) 12m3.3.1 特征选择方法概述 Isss(,,,)其中，由样本的熵确定，定义为 12m如何在保证检测正确性的前提下，开发出检测m IsssPCPC(,,,)()lb(),, (4) 速度快的轻量级入侵检测系统成为当前研究的热,12mii,1i点。通过研究发现，提取和处理的特征数目过多致 其中,是任意样本属于的概率，P(C)Cii使算法执行依赖的特征空间过大是导致其速度下 [8]P(C),s/s;m表示样本类别数;是属于类的sCiiii。 降的主要原因之一 [8]样本数;s是总的样本数。式(3)中E(A)定义特征选择有3种模式:过滤器模式、封装器 为 模式和混合器模式。过滤器模式利用数据本身的特 vsss，，，12jjmj性作为特征子集的度量指标;而封装器模式利用机()()EAsss,，，， (5) ,12jjmjs,1j器学习算法的准确率作为特征子集的度量指标。一 般来说过滤器模式的效率比较高，结果与采用的学aaa,,,设属性A具有v个不同的值，可,,12v习算法没有关系，但效果稍差;封装器模式效率比sss,,,以用属性A将s划分为v个子集，其中,,12v较低，需要交叉认证和大量的计算资源，结果依赖sa包含s中A值为的那些记录。其中项jj 于采用的分类算法，效果一般较好。为了解决2种()/ssss，，，是第j个子集的权值，等于子12jjmj特征选择模式存在的问题，发挥它们的优势，产生as集A=中的样本个数除以s中样本总数。是子jij了混合器模式。 s集中类C的样本数，且式(5)中有 ji3.3.2 本文采用的方法 m在文献[9]中，通过大量基于KDD Cup 1999经IsssPP()lb，，，,, (6) ,2ijjmjijij,1i典入侵检测测试集的实验，得出了如下2个重要的 ?16? 通 信 学 报 第30卷 是中样本属于类的概率。式其中，P,s/ssC隶属矩阵U允许有取值在[0，1]间的元素。不过，加ijijjji 上归一化规定，一个数据集的隶属度的和总等于1。 (3)中的Gain(A)是从特征A上获得该划分的 c信息增益，它表示具有最高信息增益的特征是给定 (8) ujn,,,1,1,,,ij记录集中具有区分度的特征。 ,1i 3.3.4 基于CFS的特征选择方法 那么，FCM的目标函数就是式(9)的一般化 CFS(correlation-based feature selection)方法形式 [11]是一种经典的过滤器模式的特征选择方法。它启ccn2m JUccJud(,,,),, (9) 发式地对单一特征对应于每个分类的作用来进行,,,1ciijij,,11iij评价，从而得出最终的特征子集，其形式化的评估 其中，u介于[0，1]间;c为模糊组I的聚类中心，iji方法如下 d=||c?x||为第I个聚类中心与第j个数据点间的欧ijijkrcf (7) Merit,几里德距离;且是一个加权指数。 ,，m,1,,s(1)kkkr，,ff构造如下新的目标函数，可求得使式(9)达其中，表示一个包含k个特征的特征子集SMerit到最小值的必要条件 s 的一个评价，r则表示对应于该子集的特征-子集cfJUcc(,,,,,,),,11cn平均相关度，其中，r则表示特征-特征的平f,Scffn,, ,，,JUccu(,,,)1,,,1cjij,,均相关度。事实上，式(7)给出的是一个Pearsonj,1,i1,,相关，所有的变量都是经过化的。该评价指标cnnc,,m2(10),，,udu1,,,,ijijjij能够有效地给出特征对于分类的贡献度，并从而清,,,ijji,,,111,,除不相关的或者是贡献度非常小的特征，而这些特 其中，,，j=1，„，n是式(10)的n个约束式的j征往往与其它特征相关度极高。 拉格朗日乘子。对所有输入参量求导，则可得到使在式(7)中，需要通过熵计算方式来对特征 式(10)达到最小的必要条件为 间的相关性进行评价。并且，这些特征都必须是离nm散的随机变量，如果是数值型变量，需要首先使用ux,ijj[11]j,1,指导的离散性方法对其进行离散化。 (11) cinmu,ij3.4 基于聚类算法的样本选择策略 j,1 对于针对TCM-KNN算法的样本选择工作来和 说，可以将待进行样本选择的正常训练样本集包含1的类型分为2大类:关键样本和冗余样本。关键样 (12) u,ijm2/(,1)c,,dij本是代表了典型的正常网络行为流量模式的一批,,,,,kd,1kj,,样本，TCM-KNN算法可以根据其进行高效建模并 用于异常检测;除此以外的另一类样本为冗余样由上述2个必要条件，可以看出模糊C均值聚本，他们对于TCM-KNN训练以及检测效果来说贡类算法是一个简单的迭代过程。 献度非常小，因为所有的典型行为和模式都已经由3.4.2 基于FCM的样本选择方法 关键样本体现，冗余样本对于TCM-KNN来说反倒本节将采用FCM算法来进行样本选取。不同会增加训练和检测时间。 于以往的应用场景，FCM传统上被用来对样本进3.4.1 FCM算法原理 行聚类。而针对本文的TCM-KNN算法来说，考 1973年，Bezdek提出了模糊C均值聚类(FCM，虑到这些用于异常检测的样本中包含典型的对检fuzzy C-means)，它是采用隶属度确定每个数据点测有益的正常样本以及对检测无益的冗余样本，[12]属于某个聚类的程度的一种聚类算法。 需要通过FCM算法首先对样本进行初始聚类，然 FCM把n个向量x(i=1，2，„，n)分为ci后通过选择聚类结果中每类的核心样本作为最终个模糊组，并求每组的聚类中心，使得非相似性指的精简训练子集，其算法的简单描述如算法标的目标函数达到最小。与引入模糊划分相适应，2所示。 第7期 李洋等:TCM-KNN网络异常检测算法优化研究 ?17? 算法2 面向TCM-KNN的样本选择算法 他几种方法的有效性我们在文献[7]中已经作了详 步骤1 使用值为[0，1]区间内的随机数初始化细的定性和定量分析，限于篇幅，具体过程和结论隶属矩阵U，使其满足式(7)中的约束条件; 在本文不再赘述。本文主要关注采用特征选择和样 ，步骤2 根据式(11)计算c个聚类中心c本选择策略对于其对检测性能的影响程度以及检i i=1,„,c; 测速度的提升程度。 步骤3 根据式(9)计算目标函数。如果达到4.2 实验结果 规定的迭代次数，或该目标函数相对上次目标函数表1给出了采用IG+CFS特征选择方法保留值的改变量小于某个阈值，则算法停止，聚类结束; 下来的7个特征示意;表2给出了特征选择前后 步骤4 根据式(12)计算新的U矩阵，返回TCM-KNN算法在检测性能和检测速度方面的详步骤2; 细变化情况;在样本选择中，首先采用扩展的算 步骤5 根据聚类结果，选取c个有效聚类中 278条正常训练样本进行了选法对实验所用的97 [14]的前k个隶属度最大的样本形成最终的训练集T。 择。其中，FCM算法的参数m=2，通过Xie-Beni [15]值得注意的是:上述算法中的k为经验取值，指标计算得到代表关键样本的有效聚类个数我们将在实验分析中通过具体实验来对其进行c=25，通过反复实验选取k=300(即选取每类中隶 ?5确定。 属度最大的前300个样本)，算法停止阈值为10， 最大迭代次数为500。 4 实验验证 表1 特征选择后保留下来的特征 4.1 实验环境及数据集处理 贡献度排序 特征 在本节，将对本文提出的轻量级异常检测方法1 src_bytes 的有效性进行验证。采用研究领域广泛使用的基准2 dst_host_srv_rerror_rate [13]评测数据集KDD Cup 1999数据集进行测试。该3 dst_bytes 数据集包括大约4 900 000条数据记录，每条都是从4 dst_host_same_src_port_rate 军方网络环境中模拟攻击所得的原始网络数据中5 dst_host_srv_count 根据设定的41个特征提取出来的。它们包含五类6 dst_host_rerror_rate 数据:DoS，Probe，R2L，U2R 4类攻击数据(共7 logged_in 包含24种攻击类型)以及正常数据。本文所述实 验的实验平台的环境为:Pentium 4 3GHz CPU，1GB 值得注意的是:将聚类结果中的许多“小类”DDR内存，80GB，7200r/min硬盘;操作系统为(包含数量非常少的样本)进行了剔除，所形成的Windows XP+SP2。TCM-KNN异常检测算法的参数有效聚类是包含有大量样本的“大类”。这样，就 ,设定为:k=50，=0.05。 得到了规模为25×300=7 500的新训练集。使用该 从该数据集中提取了494 021条数据作为训练训练集对TCM-KNN进行训练(重新计算奇异值和集，其中正常类别(normal)的数据占97 278条;P值)和检测，并对其与未进行样本选择前的检测其余的为攻击数据。另外，也使用了该数据集提供性能和检测性能进行比较，得到表3所示的实验结的标准测试集(共计数据311 029条)来对本文的所果。在分别验证了特征选择和样本选择方法对于提有算法进行实验测试，它们的数据构成情况为:正升TCM-KNN算法检测速度及性能有效性的前提常类别数据60 593条，其余为攻击数据。在实验前，下，又对综合运用这两种方法的效果进行了验证，首先将数据集中的正常数据标记为“0”，攻击数据实验结果如表4所示。 标记为“1”;然后，为了减少数值型特征取值的差4.3 实验结果讨论 异造成的对检测效果的负面影响，本文对他们进行从表2至表4的结果可以得出如下结论。 了归一化处理;并且，对名词型特征根据它们各自1) 特征选择和样本选择方法都能在保证高检出现的概率进行了数值化处理，以便于使用IG方测率和低误报率的前提下，极大地减少TCM-KNN法进行特征选择。 算法的训练时间和检测时间。在本文中，提出的 [7]此处需要说明的是:TCM-KNN方法相对于其TCM-KNN算法的训练时间为使用正常训练数据 ?18? 通 信 学 报 第30卷 集为每个样本计算奇异值和P值的时间总和;而检5 结束语 测时间为使用训练集采用一个接一个样本的在线 本文针对TCM-KNN算法提出采用特征选择异常判定模式进行异常检测的时间。可以看到，前 和样本选择策略从特征空间约简和训练集中的高者在训练时间中为每个样本计算奇异值和P值的时 6s减少到0.104 5s;在检测时间中检测每质量样本选择2个大的层面对其进行优化。实验间由0.428 个样本的时间由0.416 4s减少到0.101 6s;而后者对结果表明:本文所述方法不仅保证了TCM-KNNTCM-KNN算法建模所使用的数据集进行了较大幅算法较高的检测性能，并且有效地降低了它的计度地选择和精简(1?7 500/97 278=92.29%的精简算开销，极大地提升了其在真实网络环境中的可率)，而对样本的单位检测时间可以有效地缩减到用性，适合大流量网络环境下的实时网络异常检0.123 8s(检测时间缩减率为70.26%)。 测任务。 2) 并且，在综合使用2种优化策略的情况下，未来的工作主要致力于如下3个方面: TCM-KNN算法检测性能的变化幅度都比较小，充首先，虽然上述结果充分体现了本文所述性分说明了这些优化方法的有效性。而其检测速度的能优化方法的有效性，然而也在实验中发现经过变化却比较大，平均计算开销(训练时间和检测时优化后TCM-KNN算法的检测率和误报率都有不间)要减少70%至80%，这些表明了优化方法对于同程度的影响，虽然这种影响是非常小的。因此，网络异常检测算法的实用性能提升是相当大的，从需要再继续通过研究来开发效果更优的面向而也有效地证明了本文从检测算法所依赖的训练TCM-KNN算法的特征选择和样本选择方法。其样本选择以及检测算法基于的特征选择空间的约中，进一步深入分析和衡量特征空间中的多维特简2个方面整体和系统化地对网络异常检测算法进征对于异常检测贡献度的特征加权方法，以及进行研究和优化的合理性和可行性。 一步根据异常检测的需求优化和细化本文提出 3) 通过特征选择和样本选择的优化后，基于的基于聚类的样本选择方法是下一步的重点研TCM-KNN算法的网络异常检测技术成为一种适合究方向。 实时在线处理模式的检测算法，它能够在秒级内得其次，本文所述的方法目前仍然处于离线优化出检测结果，从而能为网络信息系统的入侵检测响状态，还不能进行在线的特征选择和样本选择工应和处理工作赢得宝贵的时间。 作，所以，将在下一步工作中着重研究将这些优化 方法实现为在线工作方式的问题。 表2 特征选择前后TCM-KNN检测效果比较 最后，本文也将考虑将本文所述方法应用于当检测 对比项 训练时间/s 检测率 误报率 前备受关注的Web服务器异常检测以及统一威胁时间/s 管理(UTM，unified threat management)系统中高TCM-KNN 0.428 6(41 693/97 278) 0.416 4 99.44% 1.74% 效网络异常检测组件的研发工作。 TCM-KNN 0.104 5(15 856/97 278) 0.101 6 99.42% 1.78% (特征选择后) 参考文献: 表3 样本选择前后TCM-KNN检测效果比较 [1] BYKOVA M, OSTERMANN S, TJADEN B. Detecting network 检测 对比项 训练时间/s 检测率 误报率 时间/s intrusions via a statistical analysis of network packet characteristics[A]. TCM-KNN 0.428 6(41 693/97 278) 0.416 4 99.44% 1.74% Proceedings of the 33rd Southeastern Symposium on System TCM-KNN Theory[C]. 2001. 309-314. 0.166 3(1 247/7 500) 0.123 8 99.38% 1.76% (样本选择后) [2] ESKIN E, ARNOLD A, PRERAU M, et al. A geometric framework for unsupervised anomaly detection: detecting intrusions in unlabeled 表4 采用特征选择+样本选择后的TCM-KNN data[A]. Applications of Data Mining in Computer Security[C]. Bos-算法性能实验结果 ton: Kluwer Academic Publishers, 2002. 78-99. 检测 对比项 训练时间 检测率 误报率 [3] AICKELIN U, GREENSMITH J, TWYCROSS J. Immune system 时间/s TCM-KNN 0.428 6(4 1693/97 278) 0.416 4 99.44% 1.74% approaches to intrusion detection—a review[A]. Proceedings of the TCM-KNN 3rd Int’l Conf. on Artificial Immune Systems[C]. LNCS 3239, Hei-(特征选择+样0.089 3(670/7 500) 0.062 3 99.38% 1.78% delberg: Springer-Verlag, 2004. 316-329. 本选择后) 第7期 李洋等:TCM-KNN网络异常检测算法优化研究 ?19? [4] LEE W, STOLFO S J. A data mining framework for building intrusion [15] PAL N R, BEZDEK J C. On cluster validity for the fuzzy c-means detection models[A]. Proceedings of the 1999 IEEE Symposium on model[J]. IEEE Trans Fuzzy System, 1995, 3(3): 370-379. Security and Privacy[C]. Oakland, CA: IEEE Computer Society Press, 1999. 120-132. 作者简介: [5] 李洋,方滨兴,郭莉等. 基于直推式方法的网络异常检测方法[J]. 软李洋(1978-)，男，湖南湘潭人，博件学报. 2007, 18(10):2595-2604. 士，中国科学院计算技术研究所工程师，主LI Y, FANG B X, GUO L, et al. A network anomaly detection method 要研究方向为网络与信息安全、网络异常检based on transduction scheme[J]. Journal of Software. 2007, 测等。 18(10):2595-2604. [6] PROEDRU K, NOURETDINOV I, VOVK V, et al. Transductive confidence machine for pattern recognition[A]. Proceedings of the 13th European conference on Machine Learning[C]. LNAI 2430, Hei- delberg: Springer-Verlag, 2002. 381-390. 郭莉(1969-)，女，湖南株洲人，中[7] BARBARA D, DOMENICONI C, ROGERS J P. Detecting outliers 国科学院计算技术研究所研究员，主要研究 using transduction and statistical testing[A]. Proceedings of the 12th 方向为网络与信息安全。 ACM SIGKDD International Conference on Knowledge Discovery and Data Mining[C]. ACM Press, New York, 2006. 55-64. [8] LIU H, MOTODA H. Feature Selection for Knowledge Discovery and Data Mining[M]. Boston: Kluwer Academic, 1998. [9] CHEN Y, LI Y, Chen X Q, et al. Survey and taxonomy of feature 陆天波(1977-)，男，贵州毕节人，selection algorithms in intrusion detection System[A]. Proceedings of 博士，国家计算机网络应急技术处理协调中Inscrypt 2006[C]. 2006. 153-167. 心工程师，主要研究方向为网络与信息安[10] YU L, LIU H. Efficient feature selection via analysis of relevance and 全、P2P计算等。 redundancy[J]. Journal of Machine Learning Research, 2004, (5) 1205-1224. [11] MARK A H. Correlation-based feature selection for discrete and nu- meric class machine learning[A]. Proceedings of 17th International Conference on Machine Learning[C]. 2000. 359-366. 田志宏(1978-)，男，黑龙江哈尔滨[12] YANG M S. A survey of fuzzy clustering[J]. Mathl Comput Modelling 人，中国科学院计算技术研究所博士后、讲1993, 18(11): 1-16. 师，主要研究方向为网络信息安全。 [13] KDD Cup 1999 data[EB/OL]. kddcup99/kddcup99.html. 2008. [14] WU K L, YANG M S. Alternative c-means clustering algorithms[J]. Patern Recognition, 2002, 35(10): 2267-227.