聚类算法在网络入侵检测中的应用

来源:用户上传      作者:

　　摘要：进入信息时代后，互联网技术普及率越来越高，其应用的领域比较广，而且可以实现资源的共享，还可以提高工作的效率，有着较多的应用优势，但是互联网也存在一定弊端，其存在网络安全问题，很多不法分子及黑客会利用互联网技术入侵网络系统窃取重要的信息，也可能对系统进行恶意的攻击，为了降低损失与影响，很多单位都应用了入侵检测系统，起到了安全防护的作用。本文对聚类算法在网络入侵检测中的应用进行了探讨，希望对安全防护系统的完善起到一定帮助。
　　关键词：聚类算法 网络入侵 应用 检测
　　中图分类号： TP393 文献标识码：A 文章编号：1007-9416（2015）10-0000-00
　　本文对聚类算法进行了介绍，其可以对海量的审计数据进行异常检测，降低了人工分析的工作量，也提高了准确性。
　　1 基于异常的入侵检测
　　网络入侵检测是降低系统出现异常现象的有效措施，常用的检测方法包括需指导和不需指导的异常检测，前者主要是通过类比的方式，对以往系统运行数据进行观察，从而对异常数据进行检测，这种检测方法有着良好的应用效果，可以发现新的攻击类型，但是其需要建立由完全正常的数据指导下的模型，如果这些数据中本身存在攻击数据，则无法检测出异常，这种检测方法在获取正常数据时也有着一定难度。第二种无需指导的检测方法，是用一组未标记的数据作为输入，然后检查其是否存在攻击数据，这种检测方法不需要类比，主要是对原始的网络数据进行检测。两种检测方法在效率以及异常数据定性方面有着较大的差异，只有了解二者的特性，才能对两种检测方法进行有效的区分。
　　聚类算法在网络入侵检测中的应用属于无需指导的检测技术，其是对未标记的数据进行检测，其特点是：可以将相似的数据划分到到一个聚类下，然后对聚类进行标记，区分正常与异常数据，将新的网络数据划分到不同的聚类下。通过实践证明，聚类算法在网络入侵检测的应用中，发挥着重要的作用，可以提高异常数据检测的效率及准确性。下面笔者对这种方法进行简单的介绍。
　　2 聚类算法简介
　　聚类算法是一种新型的网络入侵检测指导方法，其主张将数据划分为不同的聚类，相同的聚类下数据有着较多的相似点，而不同的聚类下，数据不具共同性。在分类时，需要找到度量指标，检测人员多是以距离为划分的标准，将数据分为密集型与稀疏型，这种分类的方式，可以了解到数据之间属性的关联性，也可以了解数据的分布情况。聚类算法涉及的领域比较广，相关人员主要研究的是基于距离的聚类算法，其属于无需指导的检测方法，不会受到训练数据准确性的影响，其具有较高的工作效率，不需要像传统的分类法进行标记，数据是由属性向量（x1，x2…，xp）表示的，其中xi表示连续的或离散的变量，是数据属性的取值。总之，聚类算法是通过划分数据的方式，根据数据之间的属性对其进行归类，将具有较多相似点的数据归在同一类。
　　聚类算法在网络入侵检测中应用时，首先需要分析数据之间的区别，计算数据的差异，度量的标准为距离，常用的方法是欧几里德距离法，欧几里德距离的计算公式是：
　　其中i ，j 分别代表数据集中的两个数据，它们都有p个属性。
　　聚类算法可以分为划分法、层次法、基于模型的方法等，聚类法在异常值检测中有着良好的应用效果，比如K-means算法，有着良好的扩展性，在多个领域都有发挥着入侵检测的作用。
　　3 聚类算法在网络入侵检测中的应用
　　网络入侵检测可以及时发现网络系统中存在的安全隐患，在网络数据传输的过程中，可以发现异常的数据或者流量，从而采取有效的防御措施，避免受到较大的损失。常规的检测方法是特征检测法，其应用的效果不如聚类算法，而且存在较多的缺陷，其需要保证训练数据的准确性，而且适用的范围不广。聚类算法在实际应用的过程中，可以降低检测拒绝服务及端口扫描受到攻击的概率，在应用聚类算法时，需要分三个阶段进行，下面笔者对聚类算法在网络入侵检测中的具体应用进行简单的介绍，以供参考。
　　3.1收集分析数据
　　在信息时代，各个企业公司都引入了互联网技术，互联网与人们的生活也息息相关，在计算机网络系统中，局域网一般采用了的是以太网协议，主要是对数据传输进行管理与约束，保证主机接收全部的数据，在这一过程中，极容易发生网络入侵现象，所以，相关技术人员应重视网络入侵检测技术的应用，对收集的数据进行快速的分析，检查是否存在异常。基于聚类算法的网络入侵检测需要利用专业的工具，实现对数据包的快速收集，Tcpdump是一种常用的收集工具，其还具有监听、接收与记录网络数据包等功能。
　　3.2数据标准化
　　为了保证聚类算法达到良好的应用效果，工作人员还要对数据的属性值进行标准化，由于属性值存在较大的差异性，而且有着不同的衡量单位，一般时间是用s或者ms度量，工作人员采用的度量方法不同，则计算的距离也有较大的差异。为了保证计算数值的准确性，要进行数据标准化，采用的方法主要是求属性值的平均值以及平均绝对偏移。
　　3.3运用聚类算法
　　聚类算法在应用时，需要采用有效的技术与工具对数据进行收集与记录，使其达到标准化，然后按照其特点与属性，对其进行分类，这种方法具有入侵检测的作用，在企业网络系统中，可以分析出哪些连接属于正常登陆，而哪些属于异常连接，可以及时对恶意入侵进行拦截，从而保证网络系统的安全性。这项技术具有实时性的特点，有着良好的应用前景。
　　4结语
　　综上所述，聚类算法在网络入侵检测中有着良好的应用，其可以有效的区分正常数据与攻击数据，还可以检测出异常流量，可以实现网络系统的安全防护作用。在实际应用的过程中，聚类算法有着较高的准确性，在拒绝服务攻击以及端口扫描攻击中发挥出了良好的效果，降低了误警率，提高了检测率，所以，在网络入侵检测中应用聚类算法有着较大的意义，可以大力推广。
　　参考文献
　　[1] 郝娟.基于模糊关联规则的入侵检测系统研究[D].河北工程大学，2011.
　　[2] 梁腾.基于聚类分析的入侵检测技术研究[D].重庆大学，2010.
　　收稿日期：2015-09-14
　　作者简介：陈倬（1981―），男，四川遂宁人，专业计算机科学与技术，研究方向：软件网络。
转载注明来源:https://www.xzbu.com/8/view-11531282.htm