基于k-means聚類算法的入侵檢測系統(tǒng)的研究與實現(xiàn)

湖北工業(yè)大學(xué) 謝繼韜

基于k-means聚類算法的入侵檢測系統(tǒng)的研究與實現(xiàn)

湖北工業(yè)大學(xué) 謝繼韜

本文通過將模式識別中的K近鄰算法和K-均值算法融合在一起，將其運用到入侵檢測領(lǐng)域中，使它能夠適應(yīng)入侵檢測的需要，通過實驗分析表明，在運用結(jié)合之后的算法后，系統(tǒng)不僅能夠保證實時性，并且具有了一定的未知入侵檢測能力。

聚類算法；入侵檢測；研究

伴隨著網(wǎng)絡(luò)和計算機技術(shù)的遍及和迅猛發(fā)展，無數(shù)的網(wǎng)絡(luò)用戶正面臨著日趨嚴重的安全問題，計算機安全和網(wǎng)絡(luò)安全，現(xiàn)在最大的威脅就是網(wǎng)絡(luò)攻擊和入侵，作為當(dāng)今比較多的安全防護技術(shù)中的主動防御方式的入侵檢測技術(shù)，已經(jīng)成為了當(dāng)今網(wǎng)絡(luò)安全研究的一個非常重要的研究課題。模式識別同樣也是計算機領(lǐng)域中研究的一個比較熱的課題，模式識別在樣本數(shù)據(jù)的聚類和分類方面已經(jīng)取得了比較良好的效果，聚類算法和分類算法具有很多優(yōu)點，比如成熟度高、速度快等。

隨著Internet高速發(fā)展，個人、企業(yè)以及政府部門越來越多地依靠網(wǎng)絡(luò)來傳輸信息，正由于網(wǎng)絡(luò)的開放性和共享性，使它容易被外界攻擊和破壞，信息安全的保密性受到嚴重影響。網(wǎng)絡(luò)安全問題已成為世界各國政府，企業(yè)和廣大互聯(lián)網(wǎng)用戶最關(guān)心的一個問題[1]-[4]。

IDS（入侵檢測），通俗地說，也就是對入侵行為的發(fā)現(xiàn)，它通過計算機網(wǎng)絡(luò)或計算機系統(tǒng)中有一些關(guān)鍵點收集信息和分析來自網(wǎng)絡(luò)或系統(tǒng)是否有違反安全策略和攻擊的跡象。入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（入侵檢測系統(tǒng)IDS）。從其他安全產(chǎn)品不同，需要更智能的入侵檢測系統(tǒng)，它必須是能夠獲得的數(shù)據(jù)進行分析，和有用的結(jié)果。一個合格的入侵檢測系統(tǒng)可以大大簡化管理員的工作，以確保網(wǎng)絡(luò)的安全運行。

IDS（入侵檢測系統(tǒng)）技術(shù)被定義為：識別惡意意圖和行為的計算機或網(wǎng)絡(luò)資源的過程中，作出回應(yīng)。IDS是一個獨立的系統(tǒng)來完成上述功能。IDS可以檢測系統(tǒng)的入侵企圖或行為（入侵）技術(shù)授權(quán)的對象（人或程序），同時監(jiān)控授權(quán)的系統(tǒng)資源（濫用）的非法營運的對象。

入侵分析的任務(wù)是要提取的巨大數(shù)據(jù)來發(fā)現(xiàn)入侵的痕跡。入侵分析過程將需要提取檢測規(guī)則進行了比較，發(fā)現(xiàn)入侵事件和入侵。一方面盡可能地提取數(shù)據(jù)，以便獲得足夠的證據(jù)證明入侵；另一方面，由于千變?nèi)f化的入侵，并導(dǎo)致日益復(fù)雜的規(guī)則，以確定入侵，入侵檢測技術(shù)的入侵檢測系統(tǒng)入侵分析，以確保效率，并滿足實時要求，必須權(quán)衡系統(tǒng)的性能測試設(shè)計和分析戰(zhàn)略的能力，并有可能犧牲一部分，以確?？煽康臋z測技術(shù)，運行穩(wěn)定，響應(yīng)速度快。

分析策略是入侵分析的核心，系統(tǒng)的檢測技術(shù)能力，在很大程度上取決于分析策略。通常被定義為完全獨立的檢測技術(shù)規(guī)則的實施、分析、策略。定義基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的規(guī)則，通常使用的消息模式匹配序列，檢測技術(shù)將聽消息模式匹配序列比較結(jié)果進行比較，以確定是否有非正常的網(wǎng)絡(luò)行為。因此，入侵檢測技術(shù)不能主要是看過程可以映射到基于對網(wǎng)絡(luò)數(shù)據(jù)包的序列模式匹配的入侵或它的主要特點。一些入侵地圖，如ARP欺騙是容易的，但一些入侵是困難的地圖，如病毒是從互聯(lián)網(wǎng)上下載。一些入侵，即使在理論上可以被映射，但實施是不可行的，例如，一些網(wǎng)絡(luò)行為需要通過非常復(fù)雜的步驟或更長的過程中，以證明其入侵特點，這樣的行為是由于非常大的模式匹配的序列，需要大量的數(shù)據(jù)包匹配，所以實際上是不可行的。然而，由于多層協(xié)議分析的需要，或有一些入侵行為，是在強烈的背景下，需要消耗大量的處理能力，檢測技術(shù)，因此在實現(xiàn)有很大的困難。

模式識別是一個基本的人類的智慧，在日常生活中，經(jīng)常在“模式識別”。在20世紀40年代和50年代出現(xiàn)的計算機，人工智能的興起，在20世紀60年代初的快速發(fā)展，并成為一門新的學(xué)科。

而“模式識別”則是在某些一定量度或觀測基礎(chǔ)上把待識模式劃分到各自的模式類中去。什么是模式和模式識別？從廣義上講，有事情可以觀察到的時間和空間，如果它可以區(qū)分它們是否相同或相似的，可以稱之為模式，狹隘的，模式是通過觀察特定個人的事情，與時間和空間分布的信息；格局屬于類或相同的類模型一般稱為模式類（或簡稱為類）。模式識別是被認模式被分為一定的措施或觀察的基礎(chǔ)上，總稱模式類。

[1]王艷華，馬志強.藏露入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究.信息技術(shù)，2009，6：41-44.

[2]夏煜，郎榮玲，戴冠中入侵檢測系統(tǒng)的智能檢測技術(shù)研究綜述.計算機工程與應(yīng)用，2001，24：32-34.

[3]壬強.計算機安全入侵檢測方案的實現(xiàn).計算機與信息技術(shù)，2007，14：288，320.

[4]張志剛，吳建設(shè).入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用.黃石理工學(xué)院學(xué)報，2008.24(5)：l3-15.

2017-09-10）