改進(jìn)網(wǎng)絡(luò)入侵信號(hào)監(jiān)控系統(tǒng)的設(shè)計(jì)與應(yīng)用

睢丹 黃永燦

摘 要：隨著電子技術(shù)的越來(lái)越普及，惡意軟件在網(wǎng)上傳播態(tài)勢(shì)，互聯(lián)網(wǎng)數(shù)據(jù)入侵事件頻發(fā)，種類(lèi)和手段多樣化，為最大限度對(duì)用戶電腦及互聯(lián)運(yùn)行環(huán)境保護(hù)，提出一種改進(jìn)網(wǎng)絡(luò)入侵信號(hào)監(jiān)控系統(tǒng)，該系統(tǒng)基于遺傳聚類(lèi)的網(wǎng)絡(luò)入侵檢測(cè)檢測(cè)算法即NIDBGC算法。由Leader聚類(lèi)和遺傳優(yōu)化兩個(gè)部分組成。通過(guò)Leader聚類(lèi)階段對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行初步分類(lèi)，以降低網(wǎng)絡(luò)入侵信號(hào)檢測(cè)難度，通過(guò)遺傳優(yōu)化算法利用編碼與解碼來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)空間與解之間的映射，用交叉變異和選擇對(duì)檢測(cè)數(shù)據(jù)種群進(jìn)行優(yōu)化。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵的檢測(cè)。仿真實(shí)驗(yàn)表明，改進(jìn)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)比傳統(tǒng)方法平均檢測(cè)大于50%，誤檢率約為1.5%，充分表明算法的有效性。

關(guān)鍵詞：改進(jìn) 網(wǎng)絡(luò)入侵 檢測(cè)

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2016）01（b）-0066-02

隨著科學(xué)技術(shù)的發(fā)展，人們對(duì)網(wǎng)絡(luò)的依賴(lài)性越來(lái)越強(qiáng)，隨之而來(lái)的網(wǎng)絡(luò)入侵手段也越來(lái)越多，并且入侵信號(hào)的偽裝很難被檢測(cè)系統(tǒng)發(fā)現(xiàn)。網(wǎng)絡(luò)入侵一般是通過(guò)寫(xiě)好惡意代碼對(duì)互聯(lián)網(wǎng)內(nèi)計(jì)算機(jī)交互數(shù)據(jù)進(jìn)行入侵，得到計(jì)算機(jī)內(nèi)的個(gè)人隱私或商業(yè)機(jī)密。

提出一種改進(jìn)網(wǎng)絡(luò)入侵信號(hào)監(jiān)控系統(tǒng)，該系統(tǒng)基于遺傳聚類(lèi)的網(wǎng)絡(luò)入侵檢測(cè)檢測(cè)算法即NIDBGC算法。它由Leader聚類(lèi)和遺傳優(yōu)化兩個(gè)部分組成，通過(guò)Leader聚類(lèi)階段對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行初步分類(lèi)，以降低網(wǎng)絡(luò)入侵信號(hào)檢測(cè)難度，通過(guò)遺傳優(yōu)化算法利用編碼與解碼來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)空間與解之間的映射，用交叉變異和選擇對(duì)檢測(cè)數(shù)據(jù)種群進(jìn)行優(yōu)化。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵的檢測(cè)。仿真實(shí)驗(yàn)表明，改進(jìn)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)比傳統(tǒng)方法平均檢測(cè)大于50%，誤檢率約為1.5%，充分表明算法的有效性。

1 網(wǎng)絡(luò)入侵聚類(lèi)分析檢測(cè)方法

在網(wǎng)絡(luò)數(shù)據(jù)交互時(shí)行聚類(lèi)分析，主要是根據(jù)入侵的相似度對(duì)所要檢測(cè)的入侵?jǐn)?shù)據(jù)進(jìn)行劃分，將同類(lèi)別的入侵?jǐn)?shù)據(jù)盡量歸集到一聚類(lèi)中，主要分為層次型和劃分型兩種入侵?jǐn)?shù)據(jù)劃分方法。

1.1 層次型入侵?jǐn)?shù)據(jù)劃分方法

在互聯(lián)網(wǎng)絡(luò)中對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行層次分解，根據(jù)入侵?jǐn)?shù)據(jù)的層次又可將數(shù)據(jù)分為凝聚類(lèi)和分裂類(lèi)。

凝聚類(lèi)是將每一個(gè)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)都作為一個(gè)單獨(dú)的類(lèi)型，然后通過(guò)查找相似對(duì)象進(jìn)行逐一合并，直到將所有相似數(shù)據(jù)聚類(lèi)完成，形成一個(gè)有效簇時(shí)停止條件。

分裂類(lèi)是將所有網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)都看作一個(gè)數(shù)據(jù)集合，通過(guò)迭代對(duì)入侵?jǐn)?shù)據(jù)在高速超高帶寬網(wǎng)絡(luò)中進(jìn)行篩選，入侵?jǐn)?shù)據(jù)集合分裂成多個(gè)次小集合，直到相似度較高的數(shù)據(jù)被分到一個(gè)集合中，滿足條件后停止迭代。

1.2 劃分型入侵?jǐn)?shù)據(jù)劃分方法

劃分型入侵?jǐn)?shù)據(jù)劃分方法是指在高速超高帶寬網(wǎng)絡(luò)中將入侵?jǐn)?shù)據(jù)數(shù)量設(shè)定為，通過(guò)將入侵?jǐn)?shù)據(jù)構(gòu)建個(gè)集合進(jìn)行劃分，每一類(lèi)的入侵?jǐn)?shù)據(jù)劃分到一個(gè)集合聚類(lèi)中，并且滿足條件。數(shù)學(xué)描述為：數(shù)據(jù)在高速超高帶寬網(wǎng)絡(luò)中，以聚類(lèi)算法相似原則對(duì)個(gè)入侵?jǐn)?shù)據(jù)進(jìn)行劃分，入侵?jǐn)?shù)據(jù)劃分為個(gè)集合。令表示入侵?jǐn)?shù)據(jù)集合，個(gè)入侵?jǐn)?shù)據(jù)聚類(lèi)集合美好組成，由網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)聚類(lèi)表示為，，其中，且，在進(jìn)行入侵?jǐn)?shù)據(jù)劃分中滿足計(jì)算條件。對(duì)一類(lèi)聚類(lèi)的入侵?jǐn)?shù)據(jù)集合評(píng)判準(zhǔn)則為，在網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)盡可能相似的情況下判定為同一聚類(lèi)集合，在網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)不相似的情況下判定為非同一聚類(lèi)集合。

假設(shè)為入侵?jǐn)?shù)據(jù)與聚類(lèi)集合的關(guān)聯(lián)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)矩陣，表示在網(wǎng)絡(luò)中聚類(lèi)為中心，表示在網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)中與數(shù)據(jù)集合聚類(lèi)中心的相似程度。

2 NIDBGC入侵檢測(cè)算法實(shí)現(xiàn)

根據(jù)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)類(lèi)型，在進(jìn)行NIBGC計(jì)算方法時(shí)，通常由兩個(gè)階段組成。

第一個(gè)階段為leader型對(duì)入侵?jǐn)?shù)據(jù)階段，此階段是根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的相似性，對(duì)相似程度較高的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)進(jìn)行聚類(lèi)集合，完成對(duì)入侵?jǐn)?shù)據(jù)初始聚類(lèi)分析。第二階段為入侵?jǐn)?shù)據(jù)遺傳化階段。此階段對(duì)第一階段的入侵?jǐn)?shù)據(jù)集合進(jìn)行組合，對(duì)各聚類(lèi)信息進(jìn)行標(biāo)識(shí)，確定數(shù)據(jù)為入侵?jǐn)?shù)據(jù)還是正常數(shù)據(jù)。

NIDBGC網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測(cè)算法是Leader聚類(lèi)在線初始聚類(lèi)，通過(guò)下一階段的計(jì)算來(lái)盡可能減少運(yùn)算程度，壓縮數(shù)據(jù)空間，增強(qiáng)算法適應(yīng)性。

2.1 Leader聚類(lèi)階段

Leader聚類(lèi)階段，初始的相似入侵?jǐn)?shù)據(jù)聚類(lèi)步驟如下。

步驟1：設(shè)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)為空，。

步驟2：設(shè)定網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)為，，其中為入侵?jǐn)?shù)據(jù)數(shù)量，當(dāng)時(shí)，c1=c1fc1，其中fc1為入侵?jǐn)?shù)據(jù)初始聚類(lèi)c1的一個(gè)leader，將此點(diǎn)設(shè)置為入侵?jǐn)?shù)據(jù)集合中心點(diǎn)，轉(zhuǎn)到步驟4，否則計(jì)算fc1與c1的相似程度，當(dāng)為當(dāng)前入侵?jǐn)?shù)據(jù)檢測(cè)集合數(shù)量，fc1為c1中心點(diǎn)。

步驟3：當(dāng)時(shí)，d（fc1，Ij）或其中d0為檢測(cè)入侵?jǐn)?shù)據(jù)預(yù)設(shè)聚類(lèi)相似程度。

步驟4：如，則此計(jì)算方法結(jié)束。否則直到轉(zhuǎn)到步驟2。

2.2 正規(guī)化處理s

2.3 遺傳優(yōu)化階段

在網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)完成leader聚類(lèi)階段后，可以得到集合，其中決定各集合之間相似程度系數(shù)，在此階段算法中作用十分重要，直接影響網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測(cè)結(jié)果。在NIDBGC算法中，設(shè)置=2.3可以確保在檢測(cè)過(guò)程中聚類(lèi)有較好的集合效果。

在網(wǎng)絡(luò)中引入遺傳算法進(jìn)行入侵?jǐn)?shù)據(jù)檢測(cè)是自適應(yīng)全局優(yōu)化概率算法。是利用編碼與解碼來(lái)實(shí)現(xiàn)高速超高帶寬網(wǎng)絡(luò)空間與解之間的映射，通過(guò)交叉變異和選擇對(duì)檢測(cè)數(shù)據(jù)種群進(jìn)行優(yōu)化。遺傳主要由初始化和進(jìn)化兩部分組成，主要包含以下幾個(gè)階段。

（1）染色體表達(dá)。在leader階段，網(wǎng)絡(luò)中的入侵?jǐn)?shù)據(jù)已經(jīng)基本保證初始聚類(lèi)的實(shí)現(xiàn)，采用中心聚類(lèi)來(lái)參與下一步進(jìn)化有利于縮小檢測(cè)空間，降低計(jì)算復(fù)雜程度。

以二進(jìn)制編碼為例，設(shè)定初始檢測(cè)入侵?jǐn)?shù)據(jù)集合為c1，產(chǎn)生進(jìn)行種群數(shù)量以代表入侵?jǐn)?shù)據(jù)分布。如果集合被選中，則進(jìn)化種群為1，否則為0。根據(jù)NIDBGC算法，在第一階段的初始聚類(lèi)中，包含的集合種類(lèi)最多，此時(shí)，設(shè)置聚類(lèi)參數(shù)為1，考慮到合并優(yōu)化問(wèn)題，則進(jìn)一步降低了計(jì)算復(fù)雜程度。

（2）選擇操作。遺傳算法，是適者生存，優(yōu)勝劣汰的進(jìn)化方式。在高速超高帶寬網(wǎng)絡(luò)中引入NIDBGC算法，按一定規(guī)則將檢測(cè)入侵?jǐn)?shù)據(jù)進(jìn)行歸類(lèi)，參與進(jìn)化，將其他聚類(lèi)標(biāo)識(shí)為入侵?jǐn)?shù)據(jù)。

表示網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)聚類(lèi)初始平均距離，入侵?jǐn)?shù)據(jù)數(shù)量為。

在網(wǎng)絡(luò)中提出退火選擇運(yùn)算，是基于該算法局部和脫離局部算法的能力，增強(qiáng)遺傳算法的優(yōu)化性能。

2.4 遺傳優(yōu)化算法實(shí)現(xiàn)

在網(wǎng)絡(luò)中實(shí)現(xiàn)遺傳優(yōu)化檢測(cè)入侵?jǐn)?shù)據(jù)步驟如下：

程序初始，代入初始系數(shù)，變異率及交叉率，提出退火因子及初始溫度。進(jìn)行評(píng)價(jià)和選擇。進(jìn)行交叉操作、變異操作，終止條件判斷。輸出結(jié)果。

3 結(jié)語(yǔ)

提出一種改進(jìn)網(wǎng)絡(luò)入侵信號(hào)監(jiān)控系統(tǒng)，該系統(tǒng)基于遺傳聚類(lèi)的網(wǎng)絡(luò)入侵檢測(cè)檢測(cè)算法即NIDBGC算法。由Leader聚類(lèi)和遺傳優(yōu)化兩個(gè)部分組成。通過(guò)Leader聚類(lèi)階段對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行初步分類(lèi)，以降低網(wǎng)絡(luò)入侵信號(hào)檢測(cè)難度，通過(guò)遺傳優(yōu)化算法利用編碼與解碼來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)空間與解之間的映射，用交叉變異和選擇對(duì)檢測(cè)數(shù)據(jù)種群進(jìn)行優(yōu)化。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵的檢測(cè)。仿真實(shí)驗(yàn)表明，改進(jìn)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)比傳統(tǒng)方法平均檢測(cè)大于50%，誤檢率約為1.5%，充分表明算法的有效性。

參考文獻(xiàn)

[1] Cinclair C，Pierce L，Matzner S.An application of machine learning to network intrusion detection[C]//In Proceedings of the15th Annual Computer Security Applications Conference IEEEComputer Society Press.2003.

[2] Ghosh AK，Schwartzbard A.A study in using neural network for anomaly and misuse detection[C]//In：Proceeddings of the 8th USENIX Security Symposium.USA.USENIX Association.1999.

[3] 潘伊麗，馬君顯.濫用入侵檢測(cè)技術(shù)分析[J].公安大學(xué)學(xué)報(bào)，2002，30（4）：29-33.