4.4　自我空间的界定方法

模型中界定自我空间S边界的目的是产生有效的M集合，因此采用何种聚类算法对有效检测器的产生十分重要，通常需要满足如下要求。

（1）算法效率。针对复杂多变的网络行为，网络入侵检测系统通常采用高维的特征属性来表征网络行为，因此聚类算法对高维数据的处理效率影响着入侵检测系统的性能。

（2）聚类精度。影响候选检测器集产生的有效性和可靠性。

（3）模糊划分。如定义4.6所述自我空间和非我空间之间没有明确的界线，而只是个异常程度的问题，因此聚类结果中能反映出自我空间的不确定性，有利于免疫模型能根据当前的网络环境的安全状况来产生高效的检测器集。

（4）批量更新。用来界定自我空间S的正常模式集是在一个特定的网络环境条件下的某一时间段内收集的审计数据，随着网络环境的变化或时间的迁移，正常模式集会有较大的变动。由于数据集的尺寸巨大，如果依靠聚类的方法来更新所有的特征模式类，其时间开销很大，不很现实，因此聚类算法必须拥有增量式更新的特点。

当前已经提出的聚类算法有很多，本文重点研究和参考了下面几个具有代表性的聚类算法。