Résumé | Avec l'expansion d'Internet dans chaque coin du monde, les ordinateurs sont exposés à diverses intrusions du World Wide Web. Nous devons ainsi recourir à des systèmes efficaces de détection des intrusions, afin de protéger nos ordinateurs contre les intrusions. Les méthodes classiques d'apprentissage par exemples ne peuvent servir qu'à déceler les intrusions connues, car ces méthodes classent les exemples d'après l'apprentissage. Elles détectent rarement les nouvelles intrusions, du fait qu'elles n'en ont pas encore tiré des leçons conduisant à l'apprentissage. Nous nous attendons à ce qu'un algorithme non surveillé soit en mesure de déceler des intrusions tant nouvelles que connues.<br /><br />Dans le présent article, nous proposons un algorithme de groupement pour la détection des intrusions, appelé moyen Y. Cet algorithme est fondé sur l'algorithme moyen H+ [2] (une version améliorée de l'algorithme moyen K [1]) et sur d'autres algorithmes de groupement connexes de moyens K. Moyen Y peut segmenter automatiquement un ensemble de données en un nombre raisonnable de groupes, de manière à classer les exemples en groupes « normaux » et « anormaux ». Il permet d'éliminer deux lacunes du moyen K : dégénérescence et dépendance du nombre de groupes. <br /><br />Les résultats des simulations menées avec l'ensemble de données KDD-99 [3] indiquent que le moyen Y permet de segmenter efficacement un grand ensemble de données. L'algorithme de moyen Y a permis d'obtenir un taux de détection de 89,89 % et un taux de fausse alarme de 1,00 %. |
---|