基于k-means聚類算法的入侵檢測系統的研究與實現

湖北工業大學 謝繼韜

基于k-means聚類算法的入侵檢測系統的研究與實現

湖北工業大學 謝繼韜

本文通過將模式識別中的K近鄰算法和K-均值算法融合在一起，將其運用到入侵檢測領域中，使它能夠適應入侵檢測的需要，通過實驗分析表明，在運用結合之后的算法后，系統不僅能夠保證實時性，并且具有了一定的未知入侵檢測能力。

聚類算法；入侵檢測；研究

伴隨著網絡和計算機技術的遍及和迅猛發展，無數的網絡用戶正面臨著日趨嚴重的安全問題，計算機安全和網絡安全，現在最大的威脅就是網絡攻擊和入侵，作為當今比較多的安全防護技術中的主動防御方式的入侵檢測技術，已經成為了當今網絡安全研究的一個非常重要的研究課題。模式識別同樣也是計算機領域中研究的一個比較熱的課題，模式識別在樣本數據的聚類和分類方面已經取得了比較良好的效果，聚類算法和分類算法具有很多優點，比如成熟度高、速度快等。

隨著Internet高速發展，個人、企業以及政府部門越來越多地依靠網絡來傳輸信息，正由于網絡的開放性和共享性，使它容易被外界攻擊和破壞，信息安全的保密性受到嚴重影響。網絡安全問題已成為世界各國政府，企業和廣大互聯網用戶最關心的一個問題[1]-[4]。

IDS（入侵檢測），通俗地說，也就是對入侵行為的發現，它通過計算機網絡或計算機系統中有一些關鍵點收集信息和分析來自網絡或系統是否有違反安全策略和攻擊的跡象。入侵檢測的軟件與硬件的組合便是入侵檢測系統（入侵檢測系統IDS）。從其他安全產品不同，需要更智能的入侵檢測系統，它必須是能夠獲得的數據進行分析，和有用的結果。一個合格的入侵檢測系統可以大大簡化管理員的工作，以確保網絡的安全運行。

IDS（入侵檢測系統）技術被定義為：識別惡意意圖和行為的計算機或網絡資源的過程中，作出回應。IDS是一個獨立的系統來完成上述功能。IDS可以檢測系統的入侵企圖或行為（入侵）技術授權的對象（人或程序），同時監控授權的系統資源（濫用）的非法營運的對象。

入侵分析的任務是要提取的巨大數據來發現入侵的痕跡。入侵分析過程將需要提取檢測規則進行了比較，發現入侵事件和入侵。一方面盡可能地提取數據，以便獲得足夠的證據證明入侵；另一方面，由于千變萬化的入侵，并導致日益復雜的規則，以確定入侵，入侵檢測技術的入侵檢測系統入侵分析，以確保效率，并滿足實時要求，必須權衡系統的性能測試設計和分析戰略的能力，并有可能犧牲一部分，以確保可靠的檢測技術，運行穩定，響應速度快。

分析策略是入侵分析的核心，系統的檢測技術能力，在很大程度上取決于分析策略。通常被定義為完全獨立的檢測技術規則的實施、分析、策略。定義基于網絡的入侵檢測系統的規則，通常使用的消息模式匹配序列，檢測技術將聽消息模式匹配序列比較結果進行比較，以確定是否有非正常的網絡行為。因此，入侵檢測技術不能主要是看過程可以映射到基于對網絡數據包的序列模式匹配的入侵或它的主要特點。一些入侵地圖，如ARP欺騙是容易的，但一些入侵是困難的地圖，如病毒是從互聯網上下載。一些入侵，即使在理論上可以被映射，但實施是不可行的，例如，一些網絡行為需要通過非常復雜的步驟或更長的過程中，以證明其入侵特點，這樣的行為是由于非常大的模式匹配的序列，需要大量的數據包匹配，所以實際上是不可行的。然而，由于多層協議分析的需要，或有一些入侵行為，是在強烈的背景下，需要消耗大量的處理能力，檢測技術，因此在實現有很大的困難。

模式識別是一個基本的人類的智慧，在日常生活中，經常在“模式識別”。在20世紀40年代和50年代出現的計算機，人工智能的興起，在20世紀60年代初的快速發展，并成為一門新的學科。

而“模式識別”則是在某些一定量度或觀測基礎上把待識模式劃分到各自的模式類中去。什么是模式和模式識別？從廣義上講，有事情可以觀察到的時間和空間，如果它可以區分它們是否相同或相似的，可以稱之為模式，狹隘的，模式是通過觀察特定個人的事情，與時間和空間分布的信息；格局屬于類或相同的類模型一般稱為模式類（或簡稱為類）。模式識別是被認模式被分為一定的措施或觀察的基礎上，總稱模式類。

[1]王艷華，馬志強.藏露入侵檢測技術在網絡安全中的應用與研究.信息技術，2009，6：41-44.

[2]夏煜，郎榮玲，戴冠中入侵檢測系統的智能檢測技術研究綜述.計算機工程與應用，2001，24：32-34.

[3]壬強.計算機安全入侵檢測方案的實現.計算機與信息技術，2007，14：288，320.

[4]張志剛，吳建設.入侵檢測技術在網絡安全中的應用.黃石理工學院學報，2008.24(5)：l3-15.

2017-09-10）