一種基于聚類分析的入侵檢測模型

付明柏

摘 要：針對傳統的入侵檢測技術在大容量網絡數據時存在檢測性能不足的缺點，研究了一種基于聚類分析算法的新型入侵檢測模型，通過聚類分析算法對多維數據進行分析，當不滿足聚類要求時，歸并鄰近數據再次聚類。最后，設計了與K-means算法的對比仿真實驗，實驗結果表明，基于聚類分析的模型能夠有效檢測出異常序列，能夠抵抗異常攻擊。

關鍵詞：入侵檢測；聚類分析；網絡安全

中圖分類號：TP393.08 文獻標識碼：A

Abstract：Since conventional intrusion detection systems can't meet high demands of the network security，a new intrusion detection method based on clustering algorithm for intrusion detection system is designed in order to cluster analysis high dimensional data，and merge data nearly if cluster condition is not qualified.After stimulate experiment compared with K-means algorithm，the result shows this detection model can detect abnormal attack effectively.

Keywords：intrusion detection；cluster analysis；network security

1 引言（Introduction）

隨著計算機與現代通信技術的高速發展，互聯網已經成為人們生活中不可或缺的部分，以及隨著3G、4G通信技術的發展，移動互聯網在近幾年呈現爆炸式增長。由于互聯網的快速性、便利性和及時性，各大企業以及政府單位也紛紛成立其官方網站，從事相關的電子政務、電子商務以及網上辦事系統等工作[1]。

然而，也正是由于互聯網的開放性導致了其非常容易受到攻擊，并造成重大損失。由于互聯網的開發性和及時性，一些敏感文件，尤其那些具有商業價值或和數據安全緊密相關的數據，非常容易被誤操作泄露在網絡上，進而造成大規模數據外泄。即便是沒有外泄，有價值的敏感數據也經常被黑客團體進行入侵攻擊。近年來，網絡黑客的入侵攻擊事件，呈現出急劇增加的趨勢。不僅企業和政府網站被攻擊次數增多，針對中小企業和個人的網絡攻擊也呈現出增加勢頭。根據世界著名計算機安全廠商邁克菲《安全悖論》報告分析，超過83%的企業表示擔心或非常擔心自己的企業成為惡意攻擊的目標。實際上，51%的企業已經遭受過各種攻擊，他們當中的16%要耗費超過一周的時間，相應網絡系統才可以恢復正常運營。其中，數據的丟失是安全攻擊所造成的最嚴重后果[2]。目前，網絡安全已經成為研究的熱點也是各界矚目的焦點。

一般情況下，企業采用防火墻作為其網絡安全的第一道防線，但是隨著網絡攻擊手段的逐漸成熟與多樣化，尤其近幾年發展尤為迅速，傳統的防火墻機制已經無法保障大多數企業網絡環境的安全。因為防火墻系統是被動的、靜態的網絡攻擊和防御體系，而移動通信和互聯網技術發展日新月異，相應的新的服務和協議也不斷地出現，傳統防火墻已經不能很好對其進行很好的動態擴展，而且防火墻技術也無法檢查傳輸層以上的數據內容，所以許多網絡攻擊程序可以輕易地越過企業或者單位設置的防火墻，實施攻擊行為。

2 入侵檢測模型（Intrusion detection system）

2.1 入侵檢測原理

入侵檢測技術是指從計算機網絡的不同環節中收集數據并對其分析和處理，找出其中是否存在惡意入侵的企圖或者違背安全策略的行為，這個安全策略可以是事先根據特定網絡環境設定好的。它可以針對計算機網絡系統的運行情況依照安全策略進行監控，確保網絡系統中的資源不被惡意攻擊。

入侵檢測系統的工作流程一般包括三大步驟[3]：（1）信息收集，從系統的不同網絡環節中收集數據、用戶連接的行為以及連接狀態等信息，為下一步做準備。（2）信息分析，利用第一步收集到的信息，由設計好的算法進行分析和提取出存在的入侵特征。（3）根據第二步的分析結果，判斷是否存在相應的入侵行為，記錄日志并發出警告，網絡系統管理人員可以做出相應的處理。

2.2 典型的檢測模型

入侵檢測系統有多種檢測模型，目前常用主要有以下幾種：統計方法、模式匹配、神經網絡、數據挖掘、協議分析和免疫系統等[4，5]。

模式匹配的檢測方法是通過將入侵的行為轉化為計算機可以解析和識別的模式和特征向量，然后根據模式匹配搜索入侵特征數據庫，如果遇到新的入侵特征，就將其加入特征數據庫中。

基于概率統計的入侵檢測系統通過對網絡系統日常行為不斷進行自主學習，構建一個正常活動集的集合，如出現偏離正常活動比較大的行為，就將其作為異常活動的內容。

基于數據挖掘的入侵檢測方法，就是從存放大量數據信息的數據庫等信息庫中挖掘用戶的歷史行為特征，并根據歷史行為特征判定是否為異常活動的過程。

2.3 現有模型的缺點

入侵檢測系統是網絡安全防護的重要手段，能夠有效地保護網絡安全。但是目前入侵檢測系統在以下方面也存在著很多問題，尤其當網絡數據流量較大時更加明顯，主要包括：誤報/漏報率較高，產品適應能力差，檢測性能不足，同時檢測實時性較差，缺少主動防御功能等等[6]。

3 聚類分析檢測模型研究（Research on detection model of cluster analysis）

3.1 聚類分析算法

由于現有的入侵檢測技術在大容量數據流量時存在著數據的檢測效率低以及檢測性能差等缺點。如何從大量的網絡數據中提取出有用的信息是如今研究的難點和熱點。

聚類算法是一種由若干模式組成的分類算法，通常，模式是指一個度量的向量。聚類分析是以相似性為基礎的，它在一個聚類中的模式之間的相似性比在不同聚類中的模式相似度之間要高，根據原始數據的分布特征進行分析，將初始的子空間特征向量通過模糊函數映射到高維矩陣中，然后再對該高維數據矩陣處理進行類別劃分工作。聚類算法通常情況下適用于大數據量的處理，而且由于采用了指數迭代的思想，該算法有效性很高。本文采用矩陣空間加權的聚類算法就可以很好地處理高維數據，經過多次聚類分析，數據的精度也會大幅提高，因而其在處理大數據量的時候優勢尤為明顯，聚類算法的主要工作流程如圖1所示。

3.3 聚類分析檢測過程

本文設計的聚類算法的核心思想是：根據適當的閾值判斷數據是否屬于頻繁數據來進行聚類分析，如果滿足聚類條件則把頻繁數據加入到新的項集中，并對非頻繁的數據進行聚類為新的數據集重新進行判定。當矩陣加權集為空時迭代結束。該算法的主要步驟如下：

a.掃描初始矩陣，檢索具有頻繁數據項目的記錄數、項目分類數以及矩陣樣本關聯總數。

b.根據關聯算法計算相應詞項的相似度，并記錄下候選數據的記錄次數。

c.根據記錄的候選數據記錄的權值、次數和閾值計算進行聚類分析。

d.若候選數據記錄不為空時，回到第一步繼續執行。否則，判定該候選數據為頻繁數據，將其記錄到新矩陣空間中。

e.根據上述算法來計算詞項的關聯關系并將其輸出到新矩陣空間中。

對計算得到的空間矩陣進行分析，并可以通過再次數據聚類的方式來提高聚類算法的精度。

4 仿真與驗證（Simulation and verification）

為了衡量該設計的模型準確性，本文設計了對比試驗，針對同樣的數據，使用本文設計模型和經典的K-means算法分別進行對比試驗。試驗所用到的數據環境詳見表1。

對上表中的數據分別進行本文設計的聚類算法模型分析以及傳統的K-means算法分析，其檢測成功率如圖2所示。

5 結論（Conclusion）

隨著互聯網的發展和數據量的快速增長，傳統的入侵檢測技術已經不能滿足如今高速發展的網絡安全的需求，本文設計了一直基于聚類分析的入侵檢測模型，給出了模型的工作流程，設計思想，和實現過程，最后，設計了對比仿真實驗，結果表明本文設計的檢測模型能夠有效抵抗異常攻擊，具備一定的實用價值。

參考文獻（References）

[1] 張鵬，趙輝.關于入侵檢測模型的研究與分析[J].網絡安全技術與應用，2009（03）：6-8.

[2] 喻莉，羅寧.基于機器學習的入侵檢測模型[J].信息安全與通信保密，2005（03）：112-114.

[3] Richard Lippmann，et al.Robert Cunningham.Evaluating and Strengthening Enterprise Network Security Using AttackGraphs[R].MIT Lincoln Laboratory Report，2005.

[4] 高宜楠.基于機器學習與人工免疫的入侵檢測系統研究[D].西安電子科技大學，2010.

[5] 陳海，丁邦旭，王煒立.基于神經網絡LMBP算法的入侵檢測方法[J].計算機應用與軟件，2007（08）：183-185；188.

[6] Wenke Lee，et al.A data mining framework for building intrusiondetection models[C].Proceedings of the 2007IEEE.