遗传聚类算法在基于网络异常入侵检测中的应用

第２３卷第９期　２００６年９月　计算机应用与软件　Ｃｏｍｐｕｔｅｒ　Ａｐｐｌｉｃａｔｉｏｎｓ　ａｎｄ　Ｓｏｆｔｗａｒｅ　Ｖｏ１．２３，Ｎｏ．９　Ｓｅｐ．２００６　遗传聚类算法在基于网络异常入侵检测中的应用　唐　勇　郭慧玲　（燕山大学信息科学与工程学院河北秦皇岛０６６００４）　摘要　传统的入侵检测方法在面对多变的网络结构时缺乏可扩展性，而且在未知的攻击类型面前也缺乏适应性。因此，提出一　种新的检测方法——基于遗传聚类的网络异常检测（ＮＡＩＤＧＣ）算法。对聚类中心采用二进制编码，把每一个点到它们各自的聚类　中心的欧几里得距离的总和作为相似度量，通过遗传算法寻找聚类中心。计算机仿真结果显示了此算法对入侵检测是有效的。　关键词　入侵检测　异常检测　遗传算法　遗传聚类算法　ＧＥＮＥＴＩＣ　ＣＬＵＳＴＥＲＩＮＧ　ＡＬＧｏＲＩＴＨＭ　ＡＰＰＲｏＡＣＨ　Ｔｏ　ＩＮＴＲＵＳＩｏＮ　ＤＥＴＥＣＴＩｏＮ　ＢＡＳＥＤ　ｏＮ　ＮＥＴＷｏＲＫ　ＡＮｏＭＡＬＹ　Ｔａｎｇ　Ｙｏｎｇ　Ｇｕｏ　Ｈｕｉｌｉｎｇ　（Ｃｏｌｌｅｇｅ　ｏｆＩｎｆｏｒｍａｔｉｏｎ　Ｓｃｉｅｎｃｅ　ａｎｄＥｎｇｉｎｅｅｒｉｎｇ，Ｙａｎｓｈａｎ　Ｕｎｉｖｅｒｓｉｔｙ，ＱｉｎｈｕａｎｇｄａｏＨｅｂｅｉ　０６６００４，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ　Ｔｒａｄｉｔｉｏｎａｌ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｍｅｔｈｏｄｓ　ｌａｃｋ　ｅｘｔｅｎｓｉｂｉｌｉｔｙ　ｉｎ　ｆａｃｅ　ｏｆ　ｃｈａｎｇｉｎｇ　ｎｅｔｗｏｒｋ　ｃｏｎｆｉｇｕｒａｔｉｏｎｓ　ａｓ　ｗｅｌｌ　ａｓ　ａｄａｐｔａｂｉｌｉｔｙ　ｉｎ　ｆａｃｅ　ｏｆ　ｕｎｋｎｏｗｎ　ａｔｔａｃｋ　ｔｙｐｅ．Ｔｈｅｒｅｆｏｒｅ，ａ　ｎｅｗ　ｄｅｔｅｃｔｉｏｎ　ａｌｇｏｒｉｔｈｍ，ｔｈｅ　Ｎｅｔｗｏｒｋ　Ａｎｏｍａｌｙ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　ｂａｓｅｄ　ｏｎ　Ｇｅｎｅｔｉｃ　Ｃｌｕｓｔｅｒｉｎｇ　（ＮＡＩＤＧＣ）ａｌｇｏｒｉｔｈｍ　ｉｓ　ｐｒｏｐｏｓｅｄ　ｉｎ　ｔｈｉｓ　ｐａｐｅｒ．Ｔｈｅ　ｃｌｕｓｔｅｒ　ｃｅｎｔｅｒｓ　ａｒｅ　ｂｉｎａｒｙ　ｅｎｃｏｄｅｄ．Ｔｈｅ　ｓｕｍ　ｏｆ　ｔｈｅ　Ｅｕｃｌｉｄｅａｎ　ｄｉｓｔａｎｃｅｓ　ｏｆ　ｈｅｔ　ｐｏｉｎｔｓ　ｆｒｏｍ　ｈｅｉｒｔ　ｒｅｓｐｅｃｔｉｖｅ　ｃｌｕｓｔｅｒ　ｃｅｎｔｅｒｓ　ｉｓ　ａｄｏｐｔｅｄ　ａｓ　ｔｈｅ　ｓｉｍｉｌａｒｉｔｙ　ｍｅｔｒｉｃ．Ｔｈｅ　ｎｅａｒ　ｏｐｔｉｍａｌ　ｃｌｕｓｔｅｒ　ｃｅｎｔｅｒｓ　ａｒｅ　ｃｈｏｓｅｎ　ｂｙ　ｔｈｅ　ｇｅｎｅｔｉｃ　ａｌｇｏｒｉｈｍ．Ｃｏｍ－ｔ　ｐｕｔｅｒ　ｓｉｍｕｌａｔｉｏｎｓ　ｓｈｏｗ　ｔｈａｔ　ｔｈｉｓ　ａｌｇｏｒｉｔｈｍ　ｉｓ　ｅｆｆｅｃｔｉｖｅ　ｆｏｒ　ｉｎｔｕｓｉｏｎ　ｄｅｔｅｃｔｉｒｏｎ．　Ｋｅｙｗｏｒｄｓ　Ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　Ａｎｏｍａｌｙ　ｄｅｔｅｃｔｉｏｎ　Ｇｅｎｅｔｉｃ　ａｌｇｏｒｉｔｈｍｓ　Ｇｅｎｅｔｉｃ　ｃｌｕｓｔｅｒｉｎｇ　ａｌｇｏｒｉｔｈｍｓ　行为在常态的网络环境中是主流，而入侵行为是个别现象　。　１　引　言　随着计算机网络在现代社会生活中地位的Ｅｔ益提高，它的　安全性成为了研究的热点问题。入侵检测的目的是自动监视网　络活动，检测恶意的攻击，并且与其它的网络安全技术例如防火　墙相结合建立完整的计算机网络安全保障。入侵检测技术一般　分为两类：误用检测和异常检测。但由于计算机网络的Ｅｔ益复　杂，入侵方法越来越智能化，使对未知入侵的检测显得尤为重　要。而误用检测不能有效地检测未知类型的入侵，因此对未知　入侵的检测主要由异常检测来完成…。　于是入侵检测的另一个重要假设前提是网络数据集合中正常行　为的数量远远大于入侵行为的数量。这样，ＮＡＩＤＧＣ算法主要　应用于常态网络环境中的入侵检测。根据入侵行为与正常行为　是本质不同的基本思想，入侵行为和正常行为被尽量分离并且　互不交迭。　２．１数据标准化处理　在处理实例距离时要考虑这样一个问题，实例的不同特征　具有不同的数值范围，这将导致结果主要取决于大数量级特征。　为了解决这个问题，初始数据集合需进行如下标准化处理　：　１　＂＝目前，传统的异常检测方法需要构造一个关于系统正常行　为轮廓的参考模型，然后检查系统的运行情况，若与给定的参考　模型存在较大的偏差，则认为系统受到了入侵攻击　。但是设　＝　Ｉ　（１）　（２）　（３）　置恰当的特征轮廓和异常警报的门限值是相当困难的。为了解　决这个问题，本文提出了一种新的检测方法，基于遗传聚类的网　络异常检测（Ｎｅｔｗｏｒｋ　Ａｎｏｍａｌｙ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　ｂａｓｅｄ　ｏｎ　ｅｎｅｔＧ－　其中，　表示，Ｊ的平均特征数据，　表示，Ｊ的标准偏离特　征数据，』，表示标准数据。这时，所有的特征都具有相同的权　重，增强了算法的一般性。　ｉｃ　Ｃｌｕｓｔｅｒｉｎｇ，ＮＡＩＤＧＣ）算法。该算法将入侵行为和正常行为分　成不同的类。计算机的仿真结果显示了此算法对未知入侵的检　测是可行的和有效的。　无监督聚类算法把数据集合划分成若干组，并使组内相似　性远大于组间相似性。在聚类的过程中，决定所要分的组数有　２　ＮＡＩＤＧＣ算法　入侵检测首先是基于两个基本假设：用户和程序行为是可　见的；正常行为与入侵行为本质上是可区分的。一般来说，正常　收稿日期：２００５—０７—１５。国家自然科学基金项目（６０３７４０４２）。唐　勇，教授，主研领域：虚拟现实。　维普资讯 http://www.cqvip.com

第９期　一唐勇等：遗传聚类算法在基于网络异常入侵检测中的应用　３）变异算子　交叉算子的功能是实现在全局空间上的搜索，而变异算子　定的困难，而遗传算法具有全局优化搜索的特性，因此，本算　法利用遗传算法来自动选取保持全局特性的聚类中心，同时根　据数据到各自聚类中心的欧基里得距离对其它数据进行分类，　这样就产生符合全局分布特性的空间聚类分析结果。　具有局部搜索能力。因此，使用变异概率Ｐ　选择群体中染色　体的基因位进行变异，并且当选择二进制编码时，对每个被选中　的基因位进行“非”运算。　（５）终止条件的确定　２．２遗传算法的应用　遗传算法（Ｇｅｎｅｔｉｃ　Ａｌｇｏｒｉｔｈｍｓ，ＧＡｓ）是一种借鉴自然选择和　进化机制发展起来的随机搜索和最优化技术。ＧＡｓ主要包括初　始化阶段和具有三种状态转换的进化阶段，这些阶段描述如下。　（１）初始化种群的产生　随机产生风　个初始个体组成初始种群。每条染色体表　示所有的数据点，即表示每个数据点处于所要聚类空间的位置。　经验表明：Ｐｓｉｚｅ应介于３Ｏ～７５之间为宜　ｊ。如果风　太小，种　群易失去多样性；如果风　太大，将增大时间和系统的开销。　（２）编码方案　在编码方法的设计上，选择二进制编码。编码的长度等于　种群中数据点的数目，染色体上等位基因的取值反映了相应位　置点是否被选为聚类中心的情况。例如，假设Ｃ＝｛ｃ。，ｃ　，ｃ　，　…，ｃ。ｏ｝，随机产生染色体１００１０１１０１０。如果染色体第ｉ个位置　上是１，表示ｃ　被选为聚类中心，否则表示没被选中。这个个体　表示ｃｌ，ｃ４，ｃ６，ｃ７，ｃ９被选为聚类中心。　（３）适应度函数　适应度函数反映了编码后染色体的适应性强弱。根据适应　值，可以有效地控制个体生存的机会。　在本文中，数据中的每一个观测点作为一个聚类目标，找到　这些目标的划分区域，并且使它们尽量的远离其它簇的目标。　通过它的成员和中心定义每个划分的簇。每个簇的中心是簇中　每个成员到该数据点的距离的和最小的那个数据点　］。本例　中，适应度函数定义如下：　首先，对一条染色体进行解码，然后建立一组簇，按照下面　的方法分组事件：　如果，ｌｌ，　一ｃ　＜ｌｌ，。一ｃ　ｌｌ，ｍ＝１，２，…，　；　＝１，２，…，　；ｉ＝１，２，…，Ｋ；ｉ＝１，２，…，ｒｔ且　≠ｍ，那么，。被分入区域Ｇ，，　适应度函数为：　，（ｓ）：　（４）　∑∑　一ｃ；。０　６ｉ　ｉ　ＩＩ　（４）遗传算子　１）选择算子　选择操作是选择适应性强的个体并产生新的群体的过程。　根据适应度的值来决定一个个体是复制还是丢弃。适应度越高　的个体，参与后代繁殖的可能性越大。在本例中，我们让种群中　最优个体和次优个体直接进入下一代，其余部分按照赌轮机制　进行选择。这样，就能绝对保证下一代的最优个体不比上一代　的最佳个体差。　２）交叉算子　遗传算法利用交叉操作在一个更大的解空间范围内进行全　局搜索。在本例中，采用了具有固定交叉概率Ｐ。的两点交叉　方法。对于编码长度为￡的个体，随机生成在范围［１，Ｌ］中的　两个整数作为交叉点位置。交叉的具体过程如图１所示。　Ａ＝０１００１０　Ｊ　０１１１０　ＩｏｌＯ　Ｃｍｓｓｏｖｅｒ　ｏｐｅｍｔｏｒ　Ａ　＝Ｏ１Ｏ０１０　Ｊ　Ｏ１１１０　ＩＯｌＯ　Ｂ＝１１Ｏ１Ｏ０　ｌ　１０１Ｏ０　ｌ１１０　Ｂ　＝１１０１Ｏ０　ｌ　１０１Ｏ０　ｌ１１０　图１　ＧＡ的两点交叉操作　其中，交叉概率Ｐ。不能太小，可取８０％～１００％。　在本算法中，采用当前代最优个体与前一代最优个体相结　合的方法作为终止条件。终止条件定义如下：　如果ｌ　ｌ一　日＝”ｌｌ＜ｅ，那么停止。　其中　：　表示第ｎ代最优个体，ｅ是预先给定的数。即，计　算前一代聚类中心和当前代聚类中心的２一范数距离。ＮＡＩＤ．　ＧＣ算法是对每一个事件到它们的聚类中心的距离总和的最小　化的迭代算法，如果聚类中心的变化不大时，就可退出对聚类中　心修改的循环。因此，结果是一组尽可能紧凑和适当的划分　的簇。　每次选择、交叉和变异之后，记录当前代的最优个体。完成　迭代操作后，具有最佳适应度的个体则为最优解。　２．３　ＮＡＩＤＧＣ算法的基本描述　ＮＡＩＤＧＣ算法流程的伪码描述如下：　Ｆｕｎｃｔｉｏｎ　ＮＡＩＤＧＣ（ｄａｔａｓｅｔ）ｒｅｔｕｒｎｓ　ｔｈｅ　ｃｌｕｓｔｅｒ　Ｃｏｎｆｉｒｍｉｎｇ　ｔｈｅ　ｂａｓｉｃ　ｐａｒａｍｅｔｅｒｓ　ｏｆ　ｔｈｅ　ａｌｇｏｒｉｔｈｍ，ｓｕｃｈ　ａｓ　ｔｈｅ　ｓｉｚｅ　ｏｆ　ｐｏｐｕｌａｔｉｏｎｓ　Ｐｓｉｚｅ，ｃｒｏｓｓｏｖｅｒ　ｐｒｏｂａｂｉｌｉｔｙ　Ｐｃ，ｍｕｔａｔｉｏｎ　ｐｒｏｂａｂｉｌｉｔｙ　Ｐｍ　ａｎｄ　ｔｈｅ　ｔｅｒｍｉｎａｔｉｏｎ　ｃｏｎｄｉｔｉｏｎ；　Ｒａｎｄｏｍ　ｇｅｎｅｒａｔｉｏｎ　ｏｆ　ｔｈｅ　ｆｉｒｓｔ　ｐｏｐｕｌａｔｉｏｎ；　Ｒｅｐｅａｔ　Ｏｐｅｒａｔｉｏｎ　ｔｏ　ｅｖｅｒｙ　ｉｎｄｉｖｉｄｕａｌ：　Ｄｅｃｏｄｉｎｇ　ａ　ｐｉｅｃｅ　ｏｆ　ｃｈｒｏｍｏｓｏｍｅ；　Ｃｌｕｓｔｅｒ　ｄｉｖｉｓｉｏｎ；　Ｒｅｖｉｓｉｎｇ　ｃｌｕｓｔｅｒ　ｃｅｎｔｅｒｓ；　Ｃｏｍｐｕｔｉｎｇ　ｔｈｅ　ｖａｌｕｅ　ｏｆ　ｔｈｅ　ｆｉｔｎｅｓｓ　ｆｕｎｃｔｉｏｎ；　Ｉｎｄｉｖｉｄｕａｌ　ｓｅｌｅｃｔｉｏｎ；　Ｃｒｏｓｓｏｖｅｒ　ｕｎｄｅｒ　ｔｈｅ　ｐｒｏｂａｂｉｌｉｔｙ　ｏｆ　Ｐ　；　Ｍｕｔａｔｉｏｎ　ｕｎｄｅｒ　ｔｈｅ　ｐｒｏｂａｂｉｌｉｔｙ　ｏｆ　Ｐｍ；　Ｒｅｇｉｓｔｅｒ　ｔｈｅ　ｉｎｄｉｖｉｄｕａｌ　ｗｉｔｈ　ｔｈｅ　ｂｅｓｔ　ｆｉｔｎｅｓｓ　ｌｏｐｔ；　Ｕｎｔｉｌ（　一ｓ　（ｎ－　～ｌｌ（ｅ）；　Ｄｅｃｏｄｉｎｇ　ｌｏｐｔ；　Ｒｅｔｕｍ　ｔｈｅ　ｃｌｕｓｔｅｒ　３算法的性能分析和试验结果　ＮＡＩＤＧＣ算法是一种以大多数数据属于同一类型为前提的　动态遗传聚类算法。它的特点是依据最小距离原则指定每个数　据的分类，并且不断地调整以使大多数属于相同类型的数据尽　可能准确的被区分出来。这个算法简单而且时间代价小。通过　反复的试验可以得到满意的聚类结果。　试验使用的数据集是ＫＤＤ　ＣＵＰ　１９９９网络连接数据集”ｊ。　在本试验中，种群规模　＝５０，交叉概率Ｐ。＝０　８５，变异概率　Ｐ　＝０．０８。仿真结果如表１所示。　表１仿真结果　（下转第８８页）　维普资讯 http://www.cqvip.com

８８　计算机应用与软件　２００６卑　需重新开发；接口实现简单，基础组件已在底层数据结构保证　ＧＩＳ和ＳＣＡＤＡ有机结合，很容易实现系统间数据接口；用户使　同时，对推进ＧＩＳ技术国产化进程、增强ＧＩＳ技术开发水平、促　进我国ＧＩＳ体系形成有重要意义。本方案具有研制周期短、开　用方便，用户无需同时学习ＧＩＳ、ＳＣＡＤＡ系统操作，应用时亦无　需在二者间频繁切换，显著提高工作效率。　发成本低、运行效率高、系统技术新颖等显著优势，充分满足信　息系统安全性、稳定性、可靠性、先进性要求，能产生良好社会效　益、经济效益。　本方案技术优势主要表现为：底层数据结构上实现ＧＩＳ、　ＳＣＡＤＡ有机结合；同时支持Ｃ／Ｓ结构、Ｂ／Ｓ结构的ＳＣＡＤＡ实时　监控系统；融ＧＩＳ、ＳＣＡＤＡ系统功能于一体、亦可独立应用二者；　参考文献　便于用户运用方案基础组件，根据实际需要二次开发；显著提高　信息系统安全性、稳定性、可靠性；突破性解决目前该领域同类　［１］石双元等，“信息系统可重构研究［Ｊ］’’，《计算机应用与软件》，　２００３，（６）：８一ｌＯ．　产品开发中普遍存在的“多层图形叠加”关键问题，该技术为国　内首创。　２．２　系统构成　本方案硬件构架包括：服务器，安装服务器端子系统及由配　置子系统定义的配置文件；客户端，安装客户端子系统及由配置　子系统定义的配置文件；操作员站，安装配置子系统和地理信息　子系统。软件构架包括以下子系统（如图２所示），分别介绍　如下：　（１）地理信息子系统该子系统是高效灵活的地图加工工　具，并具备极其强大的空间分析、数据分析功能，其特有的专业　化图形界面使一般用户无需了解复杂制图专业知识即可进行地　理信息相关操作、分析。具体而言，包括绘制矢量地图、图形、定　义图形与监控量关联方式等。　（２）监控配置子系统　该子系统是采用ＶＣ开发的基于　ｗｉ序，ｎ具体包括远程终端设备ＲＴｕ；ｄ０Ｗｓ操作系统的参数配置程『＝ｌ　　特Ｉ｛辩　＝　蚌ｌ　（Ｒｅｍｏｔｅ　Ｔｅｒｍｉｎａｌ　Ｕｎｉｔ）参数、ＲＴＵ　Ｔ　ｌ　与服务器通道参数、服务器参数、　讯Ｉ　Ｉ　簧ｌ　置，黧　言且系统窗口中有相应操作工ｊ　嘉　Ｉ　特ｌ　ｌ网　　ｌ　具等，实际应用方便快捷。　调用　（３）服务器端子系统　该子　Ｉ　兰　竺墨壁　Ｊｉ　系统主要负责与远程终端设备　图２系统软件构架　ＲＴＵ通信、及与局域网中客户机　程序间的通信，包括监视通信状态、存储历史数据、相关资料查　询等。　（４）客户端子系统该子系统用图形、图表等多种方式表　达从服务器端请求来的ＲＴＵ实时数据，具有良好的用户界面、　完善的帮助支持、强大的地图显示、完备的数据查询、先进的多　媒体功能、强大的属性信息管理功能、体现ＳＣＡＤＡ实时监控数　据信息与ＧＩＳ地理信息系统的完美结合，使警用监控系统的应　用更直观、更方便。具体而言，该子系统是由地理信息子系统切　换而来，在通讯菜单中依次读人配置文件，连接服务器，切换到　ＳＣＡＤＡ运行模式后，地理信息子系统即切换到监控客户端子　系统。　３结束语　随着信息技术迅猛发展，数字化已成为高质量生活的具体　体现，信息引擎基础组件开发正顺应这一需求。基于基础组件　开发的融合ＧＩＳ、ＳＣＡＤＡ功能于一体的可视化实时监控系统信　息引擎平台，能实时提供多种空间的、动态的地理信息及属性数　据　。可广泛应用于资源开发、环境保护、城市规划、土地管理、　交通诱导、电力调配、智能小区、公安、军事等诸多行业、部门。　［２］周松等，“地理信息系统在地震灾害预估中应用［Ｊ］’’，《计算机应用　与软件》，２００４，（２）：ｌ４一ｌ５．　［３］董福田，大型组件式信息开发平台［ＤＢ／ＯＬ］，ｈｔｔｐ：／／￣，ｒｗ，ｓｕｐｅ・　ｒｅｎｇｉｎｅ．ｃｏｍ／，２００３／１０／．　［４］北京超图公司，ＳｕｐｅｒＭａｐ　ＩＳ一全面的Ｉｎｔｅｒｕｅｔ解决方案［ＤＢ／ＯＬ］，ｈｔ・　ｔｐ：／／ｗｗｗ，ｓｕｐｅｒｍａｐ．ｃｏｒｎ．ｃｎ，２００４／３．　（上接第２５页）　正如表１所示，Ｋ．均值聚类算法有较低的时间复杂度，但　是，它是一种局部搜索技术，容易陷入局部最优解。虽然ＮＡＩＤ・　ＧＣ算法的时间复杂度较高，但它能汇聚于全局最优解，所以它　具有更强的搜索能力。　４结论和未来的工作　在现代社会中，计算机网络的安全成为了Ｅｔ益重要的热门　问题。传统的入侵检测方法在面对多变的网络结构时缺乏可扩　展性，而且在未知的攻击类型面前也缺乏适应性。本文提出了　一种新的检测方法，基于遗传聚类的网络异常检测（ＮＡＩＤＧＣ）　算法，该算法是一种无监督学习算法。每一个数据点到它们各　自的聚类中心的欧基里得距离的总和作为相似度量，通过遗传　算法寻找聚类中心。计算机的仿真结果显示了此算法对入侵检　测是有效的。　然而，在本方法中，如果待检测数据集的数据数目巨大，染　色体的长度对于入侵检测来说就会过长，这将导致系统的处理　能力下降。未来的工作包括改进编码方式，提高进化效率，再结　合这个方法构建完整的入侵检测系统，并且应用到现实的生　活中。　参考文献　［１］Ｂ．Ｂａｌａｊｉｎａｔｈ，Ｓ．Ｖ．Ｒａｇｈａｖａｎ，Ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｔｈｒｏｕｓｈ　ｌｅａｒｎｉｎｇ　ｂｅ—　ｈａｖｉｏｒ　ｍｏｄｅ１．Ｃｏｍｐｕｔｅｒ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ，２００１，（２４）：１２０２～１２１２．　［２］Ｒ．Ｇ．Ｂａｃｅ，入侵检测，北京：人民邮电出版社．２００１：６２．　［３］０．Ｈｙｕｎ，Ｓａｎｇ，Ｓ．Ｌｅｅ，ｅｔ　ａｌ，Ａｎ　ａｎｏｍａｌｙ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｃｅｔｉｏｎ　ｍｅｔｈｏｄ　ｂｙ　ｃｌｕｓｔｅｒｉｎｇ　ｎｏｒｍａｌ　ｕｓｅｒ　ｂｅｈａｖｉｏｒ，Ｃｏｍｐｕｔｅｒｓ　ａｎｄ　Ｓｅｃｕｒｉｔｙ，Ｏｃｔｏｂｅｒ　２００３，　２２（７）：５９６～６１２．　［４］Ｙ．Ｇ．Ｌｉｕ，Ｋ．Ｆ．Ｃｈｅｎ，Ｘ．Ｔ．Ｌｉａｏ，ｅｔ　ａｌ，Ａ　ｇｅｎｅｔｉｃ　ｃｌｕｓｔｅｒｉｎｇ　ｍｅｔｈｄｏ　ｆｏｒ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ。Ｐａｔｔｅｒｎ　Ｒｅｃｏｇｎｉｔｉｏｎ，Ｍａｙ　２００４，３７（５）：９２７～９４２．　［５］Ｌ．０．Ｈａｌｌ，Ｌ　Ｂ．Ｏｚｙｕｒｔ，Ｃｌｕｓｔｅｒｉｎｇ　ｗｉｔｈ　ａ　Ｇｅｎｅｔｉｃａｌｌｙ　Ｏｐｔｉｍｉｚｅｄ　Ａｐ—　ｐｒｏａｃｈ［Ｊ］，ＩＥＥＥ　Ｔｒａｎｓ，Ｅｖｏ１．Ｃｏｍｐｕｔ．，１９９９，３（２）：１０３～１１２．　［６］Ｒ．Ｌｌｅｔｉ，Ｍ．Ｃ．Ｏｒｔｉｚ，Ｌ．Ａ．Ｓａｒａｂｉａ，ｅｔ　ａｌ，Ｓｅｌｃｅｔｉｎｇ　ｖａｒｉａｂｌｅｓ　ｆｏｒ　ｋ－ｍｅａｎｓ　ｃｌｕｓｔｅｒ　ａｎａｌｙｓｉｓ　ｂｙ　ｕｓｉｎｇ　ａ　ｇｅｎｅｔｉｃ　ａｌｇｏｒｉｔｈｍ　ｔｈａｔ　ｏｐｔｉｍｉｓｅｓ　ｔｈｅ　ｓｉｌｈｏｕ—　ｅｔｔｅｓ．Ａｎａｌｙｔｉｃａ　Ｃｈｉｍｉｃａ　Ａｃｔａ，２００４。５１５（１）：８７～１００．　［７］ＫＤＤ９９ｃｕＩｘＪａｔａｓｅｔ，ｈｔｔｐ：／／ｋｄｄ．ｉｃｓ．ｕｃｉ．ｅｄｕ／ｄａｔａｂａｓｅｓ／ｋｄｄｃｕｐ９９／ｋｄｄ—　ｃｕｐ１９９９．ｈｔｍｌ，１９９９．