۲-۶-۵-۲ رویکرد پژوهش:

در این تحقیق داده ها دارای ۳ خصیصه اصلی هستند که شامل موارد زیر می­باشد..
جمع کل بسته­هایی که ازیک پورت فرستاده می­ شود.
جمع کل بایت­هایی که ازیک پورت فرستاده می­ شود.
تعداد جفت منبع-مقصد متفاوت
انگیزه اصلی این کار تعداد بایت­ها و بسته­هایی است که در شبکه رد و بدل می­ شود با توجه به ماهیت k_means و مفروضات مسئله فاصله بصورت زیر تعریف می­ شود.

که s_i فاکتور است که بستگی به ویژگیi ام دارد. که بطور تجربی بدست می­­آید. ضرایب برای بسته و بایت و جفت فرستنده-گیرنده بدین بصورت است:

S_packet=S_byte=5 , S_src-dist=1
با مقدار دهیk=2 و دو نوع بسته داده داریم
در ادامه خوشه­بندی با دو جفت (پروتکل،پورت) انجام شده است.
مورد اول: خوشه­بندی در این مورد بدین صورت است که داده به مرکز هر خوشه نزدیک­تر باشد در آن خوشه قرار می­گیرد در شکل ۲-۱۷ شیp به خوشه نرمال نزدیک­تر است پس به خوشه نرمال تعلق می­گیرد.

شکل ۲-۱۷: خوشه بندی برایk=2 [11]
اما در ادامه برای شناسایی داده غیرنرمال که در ادامه آماده است برای شناسایی آن، فاصله با مرکز داده نرمال مورد اندازه گیری قرار می­گیرد اگر فاصله بین این داده و نرمال بزرگتر از d_max تعریف شده بود به عنوان داده غیرنرمال تشخیص داده می­ شود در شکل ۲- ۱۸p₂ و p₃ به عنوان داده غیرنرمال هستند.
ترکیب خوشه­بندی و داده غیرنرمال: با ترکیب همزمان خوشه­بندی و داده غیرنرمال می­توان داده غیرنرمال را تشخیص داد. اگر دو روش همزمان اجرا کنیم آن داده ای که نسبت به داده اصلی غیرنرمال است در دسته داده غیر نرمال قرار می­گیرد.
در شکل ۲-۱۹ با توجه به d_maxدو داده p₁ و p₂ غیرنرمال هستند که با توجه به روش بالا p₁ به مرکز خوشه غیر عادی و p₂به مرکز خوشه عادی نزدیک­تر است.

شکل ۲-۱۸: شناسایی داده غیر­نرمال[۱۱]

شکل ۲-۱۹: ترکیب دسته­بندی و شناسایی غیر­نرمال‎[۱۱]
قسمت ارزیابی: در مجموعه داده بدست آمده از دانشگاه Twente با الگوریتم خوشه بندی
k-means در پروتکل HTTP،SSH و FTP مرکز خوشه داده نرمال و غیر­نرمال تقریبا یکی است اما در آنالیزترافیک UDP نتیجه زیر بدست می ­آید:
جدول ۲-۱۱: ارزیابی با بهره گرفتن از خوشه­بندی